Card on File

Die Möglichkeit, die Kartendaten von Kunden zu speichern, bietet Händlern und Verbrauchern eine Reihe vielfältiger Vorteile. So wird für Verbraucher der Zahlungsprozess wesentlich vereinfacht, indem Zahlungsinformationen nicht jedes Mal erneut eingetippt werden müssen. Daten können einfach mit einem Klick wiederverwendet werden und der fehleranfällige sowie umständliche Prozess des Eintippens fällt weg. Der größte Vorteil für die Händler wiederum geht genau damit einher: Je weniger Hürden für die Kunden an der Kasse, umso größer die Wahrscheinlichkeit, dass diese den Kauf auch wirklich durchführen. Aber auch die Möglichkeit, wiederkehrende Rechnungen zu erstellen, z.B. für abonnement-basierte Angebote, ist von großem Mehrwert. Händler können dem Kunden so einfach in regelmäßigen Abständen eine Rechnung ausstellen, ohne dass der Kunde überhaupt in den Prozess involviert ist.

Was bedeutet “Card on File “?

Transaktionen, bei denen die Kartendaten aus einem Speicher abgerufen und nicht manuell vom Karteninhaber eingegeben werden, werden als "Card on File"-Transaktionen bezeichnet. Die Daten werden somit "on File" gehalten und sind jederzeit abrufbar. "Card on File" wird häufig mit COF abgekürzt. Ein alternativer Begriff mit der gleichen Bedeutung ist "Credentials on File".

Die Abwicklung von Kartenzahlungen ist jedoch nicht allzu einfach, wenn man Kartendaten lokal speichern und bei Bedarf darauf zugreifen möchte, denn das Speichern von Daten unterliegt PCI DSS. Dabei handelt es sich um strenge Sicherheitsanforderungen für die Datenspeicherung, um diese sensiblen Informationen zu schützen.

Es gibt 4 Stufen der PCI DSS-Zertifizierung, die von Kreditkartensystemen vorgeschrieben werden: Welcher Stufe ein Händler angehört, hängt sowohl vom Umfang der von ihm abgewickelten Transaktionen als auch davon ab, ob die Kartendaten lokal gespeichert werden oder nicht. Unternehmen, die Kartendaten in ihren eigenen Systemen speichern, müssen weitaus strengere Anforderungen erfüllen und sich jährlichen Sicherheitsprüfungen durch eine dritte Partei, um sicherzustellen, dass die Infrastruktur alle PCI DSS-Anforderungen erfüllt.

Die Erfüllung dieser Anforderungen ist mit erheblichen Kosten verbunden: Kosten für die sichere Infrastruktur zur Speicherung von Kreditkartendaten, die Löhne für das gut ausgebildete IT-Personal, das diese Infrastruktur pflegt, und die Kosten für die jährlichen Audits.

Händler lagern daher in der Regel die Speicherung von Kartendaten an einen Drittanbieter mit sicherem Vault aus. Dadurch werden der Umfang und die Kosten des PCI DSS für den Händler erheblich reduziert und gleichzeitig die Haftung von dem Händler auf jenen Drittanbieter verlagert. Aber wie genau können Händler Card on File Transaktionen nun verarbeiten, wenn die Kartendaten nicht lokal gespeichert sind?

Wie Tokenisierung Card on File ermöglicht

Die Antwort lautet Tokenisierung. Wenn ein Kunde zum ersten Mal seine Kreditkartendaten eingibt, werden diese Daten direkt an den Drittanbieter gesendet und im Vault verschlüsselt gespeichert. Anschließend wird vom Vault Provider ein sogenannter Token generiert. Dieser Token besteht aus einer Reihe zufälliger Zeichen, die nicht zurückverfolgt werden können, um die zugrunde liegenden Kreditkartendaten zu ermitteln. Die Händler können diesen Token speichern, ohne das Risiko einzugehen, sensible Daten preiszugeben, und so mittels Token auf die im sicheren Vault gespeicherten Kartendaten verweisen.

Um eine Card-on-File-Transaktion abzuwickeln, fügt der Händler den Token einfach als Teil der Transaktion zusammen mit anderen Transaktionsdetails, wie dem Zahlungsbetrag, ein. Der Token wird dann verwendet, um die Kreditkartendaten im sicheren Vault abzurufen. Diese Kartendaten werden dann direkt an den Zahlungsdienstleister zur Verarbeitung weitergeleitet. Auf diese Weise wird sichergestellt, dass die Kartendaten niemals direkt an den Händler übermittelt werden.

Sicherstellen, dass die Kartendaten up-to-date sind

Eine weitere Herausforderung für Händler besteht darin, dass Karten regelmäßig neu ausgestellt werden, z. B. wenn sie ablaufen oder gar verloren, bzw. gestohlen wurden. Ändern sich die Kartendaten, werden alle Abbuchungen von Händlern mit der alten Karte abgelehnt. Dabei haben Händler einige Möglichkeiten, um sicherzustellen, dass die gespeicherten Kreditkartendaten immer aktuell sind:

Durch die Verwendung eines Account-Updaters, der in regelmäßigen Abständen aktualisierte Kartendaten von den Kartensystemen anfordert. Alle Änderungen an den Daten werden dann im sicheren Vault aktualisiert, um sicherzustellen, dass die Zahlungen weiterhin verarbeitet werden können.
Verwendung von Netzwerk-Tokens, die direkt von den Kartensystemen (Visa, Mastercard usw.) ausgegeben werden. Die Kartensysteme stellen sicher, dass die Karteninformationen des Tokens auf dem neuesten Stand gehalten werden. Der Netzwerk-Token behält so seine Gültigkeit, auch wenn sich die zugrunde liegenden Kartendaten ändern.

Mit dem sicheren Vault von IXOPAY sind beide Optionen möglich.

Card on File in IXOPAY

IXOPAY bietet einen PCI DSS Level 1-zertifizierten Vault für die sichere Speicherung von Kreditkartendaten. Diese werden von IXOPAY verschlüsselt und es wird ein Token generiert, den Händler lokal speichern und zur Referenzierung der Kreditkartendaten verwenden können. Diese von IXOPAY generierten Token haben einen wesentlichen Vorteil gegenüber PSP-spezifischen Token: Sie können zur Abwicklung von Kartentransaktionen mit jedem über IXOPAY integrierten Zahlungsanbieter verwendet werden. Dies steht im Gegensatz zu den von PSPs generierten Token, die nur für die Verarbeitung von Kreditkartentransaktionen mit diesem einen PSP verwendet werden können.

Die Möglichkeit, Kartentransaktionen mit jedem PSP abzuwickeln, bedeutet, dass Händler die Vorteile der Cascading Optionen von IXOPAY in vollem Umfang nutzen können. Das bedeutet, wenn ein Anbieter nicht verfügbar ist oder die Transaktion abgelehnt wird, kann diese mit einem alternativen Anbieter erneut versucht werden. Verbraucher müssen so ihre Kreditkartendaten nicht erneut eingeben. Darüber hinaus können Händler den Zahlungsanbieter wechseln, ohne dass dies Auswirkungen auf ihre Fähigkeit hat, Transaktionen mit der hinterlegten Karte zu verarbeiten und somit Probleme mit Provider Lock-in zu vermeiden.

IXOPAY unterstützt auch Netzwerk-Token, die von den Card Schemes selbst ausgegeben werden. Änderungen an den Kartendaten, z. B. bei der Neuausstellung einer Karte, machen die von den Händlern gespeicherten Token nicht ungültig.

Wer profitiert von Card on File?

Card-on-File-Transaktionen kommen allen Händlern zugute, die Transaktionen abwickeln müssen, ohne dass der Verbraucher seine Kreditkartendaten eingeben muss. Dazu gehören Abonnementdienste, Online-Shops mit wiederkehrenden Kunden oder Dienste, bei denen bei Erreichen bestimmter Schwellenwerte automatisch Gebühren anfallen, z. B. beim Aufladen von Handyguthaben oder beim Kauf von Kryptowährungen. Einige Beispiele sind:

Telekommunikation: Monatliche Rechnungsstellung und automatisches Aufladen von Mobilfunkguthaben
E-Commerce-Plattformen: 1-Click-Checkout und Abonnementdienste (z. B. Amazon Prime)
Hotel- und Gaststättengewerbe: Hotels und Buchungsportale verwenden Card on File Transaktionen für Reservierungen, Nebenkosten und wiederkehrende Dienstleistungen
Exchanges: Limitierte Kaufaufträge

Die Simplizität dieser Zahlungen kommt nicht nur den Händlern, sondern auch den Verbrauchern zugute. Ein vereinfachter Bezahlvorgang für Stammkunden verringert die Zahl der abgebrochenen Einkäufe und erhöht die Konversions- und Kundenbindungsraten. Die Abwicklung von Abonnementzahlungen ohne Beteiligung des Kunden vermeidet das Risiko von Zahlungsverzug oder -ausfall und stellt sicher, dass der Verbraucher weiterhin Zugang zu diesen Diensten hat, ohne dass zusätzliche Kosten entstehen.

Wenn Sie mehr darüber erfahren möchten, wie IXOPAY Ihnen helfen kann, Ihre globalen Zahlungsprozesse zu verbessern, nehmen Sie jederzeit Kontakt auf!

IXOPAY kontaktieren

Über IXOPAY

IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).

IXOPAY betreuet nationale und internationale eCommerce Kunden von seiner Niederlassungen in Wien, Österreich und Florida, USA. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit fast 100 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.

Weitere Informationen zu IXOPAY: https://www.ixopay.com

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate

Better CX with Card on File

Was bedeutet “Card on File “?

Wie Tokenisierung Card on File ermöglicht

Sicherstellen, dass die Kartendaten up-to-date sind

Card on File in IXOPAY

Wer profitiert von Card on File?