Kartensicherheit mit Tokenization

Tokenization ist ein Verfahren, bei dem sensible Daten durch nicht-sensible Ersatz-Daten, dem Token, ersetzt werden. In der Payment-Branche wird es zum Schutz der PAN (Primary Account Number, also der Kreditkartennummer) einer Karte genutzt, die durch eine eindeutige Zahlenfolge ersetzt wird.

Der Payment-Token selbst ist die eindeutige Zahlenfolge – ein auf der Grundlage einer PAN generierter sicherer Identifikator. Payment-Token werden automatisch in Echtzeit ausgestellt und online für zuvor festgelegte Domains und/oder Payment-Umgebungen verwendet. Sie sind also nur für E-Commerce und nur für einen oder mehrere bestimmte Händler ausgelegt.

Tokenisierte Zahlungen sind also Zahlungen, bei denen die PAN durch einen Token ersetzt ist. Bei tokenisierten Zahlungen wird die PAN während der Transaktion nicht übertragen; dies erhöht die Sicherheit der Zahlung und schützt die PAN. Hierin besteht die wichtigste Stärke von Tokenization als Sicherheitsmaßnahme und unterscheidet sich von anderen Sicherheitsverfahren wie z.B. der Verschlüsselung.

Da die PAN nur einmal vor dem Tokenization-Prozess und danach nie wieder versendet wird, kann sie so weniger kompromittiert werden. Die Wahrscheinlichkeit, dass der Token für betrügerische Aktivitäten verwendet werden kann, ist sehr gering – auch dann, wenn eine Datenschutzverletzung vorliegt und auf Payment-Token zugegriffen wird. Die ursprüngliche Information ist nicht im Token enthalten, so dass der Token nicht in „wahre Daten“ umgewandelt werden kann.

Der Tokenization-Service von Adyen speichert auf sichere Art und Weise Kundenkartendaten und generiert einen Token, der vom Händler wie im obigen Diagramm beschrieben für die Abwicklung nachfolgender Käufe verwendet werden kann.

Andere Token Service Provider (TSP) generieren eigene Token. Dies gilt für die wichtigsten Kartensysteme und Apple Pay.

Als Acquirer kann Adyen tokenisierte Zahlungen für Online- und/oder kontaktlose Zahlungsarten verarbeiten. Ein gutes Beispiel hierfür ist Apple Pay, das Token sowohl für Online- als auch für (kontaktlose) In-Store-Transaktionen verwendet.

Tokenization ist für alle Unternehmen geeignet, die über ein Abo-basiertes Geschäftsmodell verfügen oder deren Umsatz in wesentlichem Umfang auf Wiederholungskäufen basiert. Da Token einfach gespeichert und für die Aktivierung künftiger 1-Click-Zahlungen verwendet werden können, ist Tokenization insbesondere für Unternehmen interessant, die den Bezahlvorgang für ihre Kunden so reibungslos wie möglich gestalten möchten.

Tokenization bietet eine Reihe von Vorteilen für Händler.

Kosteneinsparungen: Tokenization von Adyen nimmt Ihnen die Last der Verwaltung der sicheren Speicherung von Karteninhaberdaten ab und senkt somit die mit der Einhaltung und Überwachung von Payment Card Industry (PCI)-Compliance verbundenen Kosten.

Höhere Sicherheit: Wenn es Betrügern gelingt, tokenisierte Daten zu stehlen, können sie die gestohlenen Tokens nicht für Online-Zahlungen verwenden, da sie keine Verbindung zwischen einem Token und den sicher von dem Payment-Partner gespeicherten Zahlungsdaten herstellen können.

Aktivierung von 1-Click-Zahlungen (oder sogar 0-Click-Zahlungen) für Käufer: Dank Tokenization können Händler Käufern die Möglichkeit bieten, ihre Zahlungsdaten auf sichere Art und Weise zu speichern, damit sie diese beim nächsten Kauf nicht erneut eingeben müssen. 1-Click-Zahlungen erhöhen die Conversion auf der Checkout-Seite durch die Optimierung des Payment-Prozesses für Käufer. Zudem ermöglichen tokenisierte Zahlungsdaten die Abwicklung von automatisieren oder geplanten Zahlungen wie z.B. für Abo-Modelle oder ähnliches.

PANs wurden ab Mitte der 1960er Jahre auf Karten mit geprägten Zahlen gedruckt. Seitdem hat sich die Technologie trotz der E-Commerce-Revolution kaum weiterentwickelt. Viel Zeit und verschiedene Technologien sind in die Betrugsprävention und Lösung von Störungen geflossen, die sich aus einer einfachen Tatsache ergeben: Die PAN wurde nie für den E-Commerce entwickelt. Es ist an der Zeit, die PAN für die Zukunft des Handels neu zu erfinden. Netzwerk-Token sind PAN 2.0.

Network Token sind Token, die von den Issuern (kartenausstellenden Banken) autorisiert und von den Kartensystemen im Austausch für eine PAN bereitgestellt werden. Network Token beinhalten Account Updates (also neue Kartendaten, neues Ablaufdatum etc.) in Echtzeit, ohne dass der Token-Wert aktualisiert werden muss. Mit ihrer globalen Reichweite durch Anbindung an alle Processors und dem verringertem PCI-Aufwand stellen sie den nächsten Schritt zur Optimierung der Zahlungsabwicklung dar.

Eine der Hauptursachen für das Fehlschlagen von Abo- oder wiederkehrenden Zahlungen sind abgelaufene, verloren gegangene oder aus anderen unvorhergesehenen Gründen geänderte Kartendaten. In diesen Fällen werden sie häufig mit einem anderen Ablaufdatum, einem anderen CVV-Code oder einer anderen Kartennummer erneut ausgestellt. Dies führt im Normalfall zur Ablehnung der nächsten Zahlung – häufig ohne, dass dies der Händler oder der Kunde sofort merken. Wenn sich im Falle von Network Tokens die Kartennummer oder das Gültigkeitsdatum ändert, wird der gleiche Token automatisch und in Echtzeit mit den neuen Informationen aktualisiert. Sollte das Konto geschlossen werden, wird der Token sofort deaktiviert, wodurch unnötige Autorisierungsversuche vermieden werden.

Außerdem sind Issuer damit in der Lage nur den spezifischen Token eines Händlers zu deaktivieren, sobald betrügerische Aktivitäten auf dem Konto dieses Händlers entdeckt werden. Alle anderen Händler, bei denen diese Karte auch hinterlegt ist (Card-on-file) oder ein Token existiert, werden davon nicht betroffen.

Desweiteren können weniger strenge Betrugspräventionen angewendet werden, da mehr Kontrolle bei der Verwendung von Zahlungsmethoden auf Händlerseite vorgenommen wird. Dies führt zu weniger fälschlicherweise abgelehnten Transaktionen, also den False-Positives, und erhöht so die Autorisierungsraten der Händler. Ein weiteres Ziel dieser Network-Token-Lösung ist die Reduzierung von Ablehnungen aufgrund ungültiger oder abgelaufener Informationen, was wiederum auch zu einer Verbesserung der Autorisierungsraten führt.

Die Tokenisierungslösung von Adyen erfordert keine Integration auf Händlerseite. Es werden automatisch Token für jede PAN generiert, die mit einer Zahlungsautorisierung gesendet wird. Auch unabhängig vom Processor (dem Zahlungsabwickler) werden Token für Visa, Mastercard und American Express ohne zusätzlichen Aufwand erstellt. Adyen kann daraufhin den Einsatz dieser Token optimieren, um die Performance des Händlers für spätere Autorisierungen zu verbessern.