日本セーフネットは2010年11月4日、電子商取引サイトを営む事業者などに向け、クレジット・カード番号を別の乱数に置き換える“トークン化”のためのパッケージ製品「トークン化セキュアパック」を出荷した。監査対象が狭まるため、PCI DSSの準拠認定を受けやすくなる。価格は、データベース規模などによるが、最小構成で500万円程度から。
同製品の機能と目的は、クレジット・カード番号を、Webアプリケーション側のデータベース上で保管しなくてもよいようにすること。クレジット・カード番号がWebシステムのデータベース上に存在しないため、該当するWebシステムからカード番号が漏えいすることがなくなる。
仕組みは、Webアプリケーションで扱うクレジット・カード番号を、同様のフォーマット(16桁)を持った乱数(トークン)に置き換える、というもの。カード番号とトークンは、Webシステムとは独立した専用の管理サーバーが、1対1でヒモ付けて管理する。Webアプリケーションは、カード決済処理が発生した場合など、必要に応じて管理サーバーに問い合わせ、トークンをクレジット・カード番号に変換する。
トークンの形式は、自由に設定できる。例えば、16桁のうち下4桁を、実際のクレジット・カード番号と一致させておくといった運用が可能。これにより、Webサイトの利用者に対して、利用者のクレジット・カード番号の下4桁をWeb画面に表示して確認させる、といった処理を実現できる。
パッケージの構成要素は、Webアプリケーション(Javaアプリケーション・サーバー)側に必要なモジュールとGUI管理コンソールからなるミドルウエア「Token Manager」と、カード番号を保管してトークンとの対応表を管理するアプライアンス「DataSecure」の2つ。DataSecure自身は、既存の鍵管理サーバー・アプライアンスであり、データ暗号化機能などを備えている。