Sur une suggestion de Claude Camilli du STIF et avec le concours de SPIRTECH
Il est possible de décorréler, par un système de tokenisation/détokenisation indépendant de la carte :
A) ce qui est dans la carte et destiné en principe à un partenaire, mais physiquement accessible à tous,
B) l'identifiant des informations personnelles du titulaire de la carte dans le système d'Information de ce partenaire.
De la sorte, même si un indélicat lit et conserve A, il ne peut remonter à B ni donc aux informations personnelles du titulaire de la carte par le biais du SI de ce partenaire, sans aussi accéder au système de détokenisation.
Sa mise en œuvre avec l'AMG actuelle ne nécessite aucune modification de la spécification, et dépend de la durée de vie du token.
Pour un token inscrit une fois pour toute :
- changement sémantique : l'identifiant dans la carte réservé au secteur d'activité du partenaire devient le token ;
- la tokénisation est l'association par le système de (dé)tokénisation de ce token à l'identifiant qui permet d'accéder aux informations personnelles du titulaire de la carte dans le SI ;
- le mécanisme de (dé)tokénisation peut être réalisé de diverses façons : calcul cryptographique avec une clé sécrète, table de correspondance, etc.
Le risque de vol de données personnelles reposant sur la robustesse du processus de tokenisation et de detokenisation ce dernier devra faire l'objet de mesures de protections renforcées. Si ces mesures ne sont pas suffisantes il sera possible de modifier régulièrement ou en réaction à la détection d'un vol du processus de tokenisation/dékonisation.Pour un token régulièrement modifié, il faudrait prévoir un système de mise à jour, stocker ce token en tant qu'identifiant personnalisé (ou éventuellement en tant que contrat, mais il n'y en a que 4 dans les structures de fichiers de l'AMG commune), et il faudra éventuellement prévoir un système de CAAD.
CAAD: "Card Access Authorization Decriptor", le mécanisme du SAM qui permet d'imposer l'utilisation d'un identifiant dans les données inscrites dans les cartes, afin de contrôler avec le SAM qui écrit quoi, et éventuellement de limiter la modification d'une donnée à l'opérateur qui l'a inscrite.