Customer Profiles: Facilitating Card on File Payments in IXOPAY

29.06.2023 | Expertise

Treue Kunden sind wiederkehrende Kunden. Etwas, was wiederkehrende Kunden vermeiden möchten, ist die erneute Eingabe ihrer Zahlungsinformationen. Indem Sie ihnen ermöglichen, aus zuvor verwendeten Zahlungsoptionen auszuwählen, erleichtern Sie ihnen das Checkout-Szenario und verbessern die Kundenerfahrung erheblich. Die stellt nicht nur Ihre treuen Kunden zufrieden, sondern verringert auch die Absprungrate. Die Abwicklung von Card-On-File-Transaktionen oder wiederkehrenden Zahlungen erfordert die sichere Speicherung der Zahlungsinformationen der Kunden, damit sie wiederverwendet werden können.

IXOPAY ermöglicht es Ihnen, Kundeninformationen einschließlich Zahlungsinstrumenten und Transaktionshistorie direkt in der Plattform abzurufen. Sie können auch die Customer Profile API verwenden, um auf Kundeninformationen zuzugreifen und diese zu aktualisieren.

Kundeninformationen in IXOPAY

Customer Profiles (Kundenprofile) in IXOPAY wurden dazu geschaffen, um Kundeninformationen wie Name, Rechnungsadresse, E-Mail-Adresse usw. zu speichern. Neben der Hinterlegung von Basisdaten können Customer Profiles auch mehrere unterschiedliche Zahlungsinstrumente enthalten, wie Kreditkarten, Bankkonten oder alternative Zahlungsmethoden wie Apple Pay und Google Pay. Wenn für einen Kunden mehrere Zahlungsinstrumente zu einem Profil hinzugefügt wurden, kann eines davon als bevorzugte Zahlungsmethode festgelegt werden. Die vollständige Transaktionshistorie kann von jedem im Customer Profile hinterlegten Zahlungsinstrument eingesehen werden.

Beim Anzeigen der Checkout-Seite können bereits gespeicherte Zahlungsinstrumente für den Kunden angezeigt werden, wobei die bevorzugte Zahlungsmethode vorausgewählt ist. Neue Zahlungsinstrumente können gespeichert werden, wenn ein Kunde einen Kauf erfolgreich abschließt. Hierfür ist ein Kontrollkästchen auf Ihrer Checkout-Seite erforderlich, z.B. "Zahlungsdetails speichern".

Customer Profiles werden innerhalb von IXOPAY in sogenannten Containern gespeichert, die individuell die unterschiedlichen Customer Profiles zusammenfassen. Diese Container können Zahlungsanbietern (genauer gesagt den verwendeten Connectors) zugewiesen werden. Wenn ein Kunde sich dazu entscheidet, seine Zahlungsdetails zu speichern, wird sein Customer Profile dem Container zugeordnet, der mit dem zur Transaktionsverarbeitung verwendeten Anbieter verknüpft ist.

Segregation und Freigabe von Customer Profiles innerhalb eines Unternehmens

IXOPAY verwendet sogenannte Tenants und Sub-Tenants, um die Struktur einer Organisation abzubilden. Mit Hilfe dieser Struktur kann man z.B. die regionale Hierarchie eines Unternehmens (z.B. globale, regionale, lokale Niederlassungen) oder die Organisationsstruktur (z.B. Produktlinien oder Abteilungen) darstellen. Zugriffsrechte können individuell vergeben werden, um eine zielgenaue Weitergabe der Kunden- und Zahlungsdaten zu gewährleisten.

Customer-Profile-Container können zwischen Sub-Tenants geteilt werden. Zum Beispiel könnte ein globaler Händler Sub-Tenants haben, die regionale Märkte wie "Nordamerika" und "EU" repräsentieren. Der EU-Untermieter hat dann mehrere Sub-Tenants wie "Spanien", "Benelux", "Frankreich" usw. In diesem Setup können Zahlungsdetails zwischen den Sub-Tenants in Europa geteilt werden, indem auf der Ebene des EU-Untermieters ein Container erstellt wird und die Option "Shared with Subtenants" im Container für den "EU"-Sub-Tenants aktiviert wird. Wenn dies erfolgt ist, können Sub-Tenants in den USA oder Kanada (Sub-Tenants des "Nordamerika"-Tenants) nicht auf diese Customer Profiles zugreifen. Diese Konfiguration stellt sicher, dass Kundendetails gemäß den Anforderungen der DSGVO nicht mit Entitäten außerhalb der EU geteilt werden.

Gesellschaftsstruktur mit begrenzter Zugriff pro Region

Sichere Speicherung von Zahlungsinformationen

Zahlungsinstrumente werden in IXOPAYs Secure Vault gespeichert. Neben Kreditkarten können im IXOPAY Vault auch andere Zahlungsinstrumente wie Apple Pay, Google Pay und IBANs von Kunden gespeichert werden. Die sichere Speicherung von Zahlungsinformationen in einem Vault ist nicht nur bewährte Praxis, die Speicherung von Kreditkartendaten unterliegt auch dem PCI DSS. Es gibt verschiedene Stufen der PCI DSS-Zertifizierung, wobei strengere Anforderungen für Unternehmen gelten, die Kreditkartendaten direkt verarbeiten und speichern. Würden Händler diese Zahlungsinformationen selbst speichern, müssten sie diese PCI DSS-Anforderungen erfüllen. Die Verwendung einer Drittanbieterlösung wie dem PCI DSS Level 1-zertifizierten IXOPAY Secure Vault reduziert den PCI DSS-Umfang der Händler und somit auch die damit verbundenen Kosten.

Beziehungen zwischen den verschiedenen Komponenten in IXOPAY

Reduzierung des PCI-Scopes durch Tokenisierung

Damit Händler in Zukunft auf die im Vault gespeicherten Zahlungsinformationen zugreifen können, werden die Zahlungsdetails tokenisiert. Das bedeutet, dass IXOPAY einen eindeutigen Identifikator generiert, der auf die Zahlungsinformationen im Vault verweist. Dieses Token enthält keine Zahlungsdaten und birgt daher kein Sicherheitsrisiko. Wenn eine Betrüger Zugriff auf das Token erhält, können dank der Verschlüsselung trotzdem keine Zahlungsdaten aus dem Token rekonstruiert werden.

Bei Kreditkarten reduziert die Speicherung von Tokens anstelle von Zahlungsdetails deutlich den PCI DSS-Umfang eines Händlers. Derselbe Ansatz kann auch auf andere Zahlungsinformationen angewendet werden, wie zum Beispiel Bankkonten. Anstatt die IBAN lokal zu speichern, verwenden Händler einfach einen Token, um auf diese Informationen zu verweisen. Sobald ein Zahlungsinstrument tokenisiert wurde, kann der Token ganz simpel für nachfolgenden Transaktionen verwendet werden.

Ein Vorteil der Verwendung von IXOPAY zur Tokenisierung von Zahlungsinformationen besteht darin, dass dasselbe Token für alle Transaktionen verwendet werden kann - ganz unabhängig davon, mit welchem Acquirer oder PSP die Transaktion durchgeführt wird. Während Zahlungsanbieter auch Token Services anbieten, sind die auf diese Weise generierten Tokens nur für diesen Anbieter gültig. Dies führt dazu, dass sich Händler an diesen Anbieter binden und sich entsprechend auch in eine Abhängigkeit begeben, wenn es zu Card-On-File-Transaktionen kommt. Die Unabhängigkeit, die IXOPAY bietet, ist besonders vorteilhaft für Händler, die eine Multi-Acquirer-Konfiguration mit Smart Routing und Ausfalloptionen verwenden oder für High-Risk-Händler, die dem sehr realen Risiko ausgesetzt sind, ihren Zahlungsanbieter kurzfristig zu verlieren.

Mit Customer Profiles arbeiten

Customer Profiles können über die Benutzeroberfläche in IXOPAY abgerufen werden. Sie können alle Customer Profiles in einem Container anzeigen. Dazu gehören auch einzelne Customer Profiles, die mit diesem Profil verknüpften Zahlungsinstrumente (nach Typ kategorisiert) und die Transaktionshistorie des Kunden. Customer Profiles werden über das User Interface bearbeitet: Die bevorzugte Zahlungsmethode kann geändert und Zahlungsinstrumente können aus einem Profil entfernt oder vollständig aus dem Vault gelöscht werden. Customer Profiles können zusätzlich auch über die Customer Profile-API aktualisiert werden. Jedes Customer Profile hat eine eindeutige ID, über die darauf zugegriffen werden kann.

Innerhalb IXOPAY

Technische Details

Aus technischer Sicht erfordert die Speicherung von Zahlungsinformationen und Kundendaten im Tresor von IXOPAY eine Transaktion, bei der der withRegister-Flag in der Transaktion auf "true" gesetzt ist (für Debits, Pre-Authorizations) oder eine Transaktionsanforderung des Typs "Register". Die withRegister-Flag oder der Transaktionstyp "Register" zeigen an, dass die Zahlungsinformationen im Vault gespeichert (registriert) werden sollen. Das Festlegen eines Zahlungsmittels als bevorzugtes Instrument erfolgt über die markAsPreferred-Flag im CustomerProfileData-Objekt einer Transaktionsanforderung.

Die Checkout Seite selbst muss Optionsschaltflächen enthalten, um das gewünschte Zahlungsinstrument auszuwählen, wenn mehrere Zahlungsinstrumente für einen Kunden gespeichert sind. Es wird auch ein Kontrollkästchen benötigt, um bei Hinzufügen einer neuen Zahlungsmethode dem Kunden die Option zu geben, die Zahlungsdetails zu speichern. Beispielcode für eine Hosted Payment Page finden Sie im User Manual am Ende der Customer Profile Section. Informationen zur Formatierung von Transaktionsanfragen einschließlich Beispielanfragen finden Sie in der API-Dokumentation.

Um sicherzustellen, dass sensible Informationen wie BINs und IBANs nicht direkt von Händlern verarbeitet werden, rendert die payments.js-Bibliothek von IXOPAY separate iFrames für Details wie die Kreditkartennummer und CVV. Die in diesen Feldern eingegebenen Daten werden dann direkt an den IXOPAY Vault gesendet, wo sie tokenisiert werden. Das Token kann dann zusammen mit den übrigen vom Kunden eingegebenen Informationen im System des Händlers gespeichert werden.

Profitieren Sie von IXOPAYs Vorteilen

In einem zukünftigen Artikel werden wir noch genauer auf die Vorteile des IXOPAY Vaults eingehen. Aber wie Sie sehen, ermöglicht er es Händlern, Zahlungsdetails sicher zu speichern, zu tokenisieren und wiederzuverwenden. Dadurch wird es möglich, Kartendaten für wiederholte und wiederkehrende Transaktionen zu verarbeiten, ohne dass Händler die Zahlungsdetails selbst speichern müssen - und all den damit verbundenen Aufwand vermeiden können. Je mehr Details Sie speichern, desto einfacher wird es, Zahlungen an verschiedene Anbieter weiterzuleiten. Unterschiedliche Zahlungsanbieter können unterschiedliche obligatorische Felder haben, und je mehr Daten mit einer Transaktion übermittelt werden, desto höher sind in der Regel die Autorisierungsraten. Customer Profiles spielen eine wichtige Rolle in diesem Prozess, indem sie den Zugriff auf die Transaktionshistorie eines Kunden ermöglichen und die gemeinsame Nutzung von Zahlungsdetails innerhalb der Tenant-Struktur eines Händlers ermöglichen. Die Tokenisierung von Zahlungsinstrumenten mit IXOPAY bietet Händlern auch eine größere Unabhängigkeit von PSPs und Acquirern.

Möchten Sie mehr darüber erfahren, wie IXOPAY Ihre Kundendaten sicher im Vault speichern und dadurch Ihr Payment Setup optimieren kann? Nehmen Sie Kontakt auf!

Nachricht wurde nicht versendet.

Bitte Überprüfen Sie Ihre Eingabe und versuchen Sie es erneut. Oder senden Sie uns ein Email an [email protected].

Nachricht versendet

Vielen Dank für Ihre Nachricht! Wir werden uns in Kürze bei Ihnen melden. Bleiben Sie in der Zwischenzeit auf dem Laufenden und folgen Sie uns auf Social Media:

Name*

eMail Adresse*

Unternehmen

Ihr Thema*

Ihre Nachricht an uns*

* Pflichtfeld

Über IXOPAY

IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).

IXOPAY betreuet nationale und internationale eCommerce Kunden von seiner Niederlassungen in Wien, Österreich und Florida, USA. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit fast 100 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.

Weitere Informationen zu IXOPAY: https://www.ixopay.com

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate