在金融服務行業，安全和規則遵從領域中一個有爭議的熱門話題是“加密技術（存儲數據以及傳輸數據的加密）和標記化技術的對立”。由于規則遵從（比如支付卡行業數據安全標準PCI DSS）和FFIEC信息安全檢查要求（其中也包括對加密和數據保護的要求）方面的壓力，企業正試圖找到最好的方法來保護持卡人的數據以及其他敏感數據的安全。“端到端加密技術”和“標記化技術”都是比較理想的解決方案，但每種方案都有各自的優缺點，所以在技術投資之前需要仔細考慮。

讓我們從加密技術開始談起。端到端的加密意味著需要對靜止數據進行加密，然后在運送過程中保持數據的加密狀態，直到它們最終到達目的地才進行解密。如果使用的是眾所周知的、可信賴的算法對數據進行加密，那么端對端加密技術能夠提供最高級別的數據保密性。

舉個例子，支付卡業務公司使用的支付卡PIN密碼就經常采用一個特殊的硬件安全模型（HSM）（采用3DES或者其他強有力的算法）來進行加密和解密。這些模型通常使用物理的鎖和鑰匙，只有那些具有管理權限的人才能接觸到。在這種情況下，數據泄漏的可能性就比較低。還有一種情況，信用卡數據在各個網點（PoS）終端使用3DES、AES、或者其他的算法進行加密，直到數據最終到達銀行處理的時候才進行解密。加密技術的另一個好處是它更容易跟現有的PoS終端、網絡和數據庫方案，以及金融應用程序集成在一起，因為它面世的時間比較長了。

不幸的是，端到端加密不是那么簡單就能夠實現的。首先，人們往往有些迷惑，到底端到端技術是怎么構成的。如果金融數據在不同的傳輸階段使用不同的操作系統和應用軟件進行處理，那么數據可能會經過多次加密、解密以及再加密的過程，這樣就違背了端對端加密技術的初衷，因為數據在這些操作過程中是最脆弱的。許多情況下，由于商業原因，人們還會需要數據或數據的一部分；一個常見的例子就是保留經常性充值和返款（退款）的支付卡數據。另外，集中管理加密密鑰存儲非常復雜，而且也比較昂貴。在這些情況下，標記化（tokenization）技術顯得更加實用。

標記化技術工作原理：在初始認證或者初始處理之后，它用一個特殊的值或者標識來代替支付卡數據或者金融賬戶記錄。有人認為這種技術是解決加密與生俱來的在實現和管理方面所存在的復雜性的一個辦法，標記化解決方案設置起來更加靈活、更加簡單。如果使用這一技術，那么在很多情況下實際傳輸的就不是真正的金融數據，這也就排除了交易或者使用原始數據。這個標識可以無限期的存儲，這樣就能夠把這個值保留下來并在交易中繼續使用，或者允許人們在這之后的任何地方都能訪問實際數據。大多數情況下，企業都會把標記化技術外包給能夠進行處理和數據控制的公司，這樣在某種程度上也減少企業的安全管理負擔。

然而，這種外包可能成為雙刃劍。許多大型金融機構無疑會猶豫是否需要將諸如此類的安全管理技術外包出去。由于某些具體的政策、技術要求可能跟標記化不兼容，而且在環境中定位和“標記”所有的金融數據存在困難，他們可能不會采用標記化技術。對于有些大型機構來說，只需要簡單的加密整個數據庫或者整個存儲環境就可以讓金融數據得到保護，甚至那些管理員都不知道的數據也一樣受到了保護。而標記化技術依靠的是顯式的修改數據本身，如果為了使用標記化而移除這些加密控制的話，就會不經意的引起泄漏或數據丟失。由于這些原因，標記化技術現在似乎最適合那些有更多靈活要求或者需要更加精確控制數據的小型企業——比如數據存儲在哪里，數據是怎么使用的，以及誰在管理那些標識和標識處理/存儲程序等等。

展望未來，金融服務行業可能不會只選擇其中的一種技術。盡管加密技術和標記化技術各有優點和缺點，但是它們共存的機會非常多。如果企業內部采用了標記化技術，那么進行標記化的服務器和存儲區域基于安全的目的也還需要加密技術。而且由于標記化技術不能100%的覆蓋所有的應用程序和敏感的金融數據的使用情況，所以加密技術依然有用武之地。所以，并不存在簡單的解決辦法。不管是企業自己進行，還是把這些業務外包給供應商，兩種技術都需要我們對其進行管理和維護。