Tokenization: Behalten Sie die Kontrolle über Ihre Zahlungsdaten

Die Tokenisierung ist der neue Zeitgeist im digitalen Zahlungsverkehr, wobei viele Zahlungsanbieter und -lösungen Card Vaulting- und Tokenisierungsfunktionen anbieten. Aber was ist das eigentlich? Gibt es verschiedene Formen der Tokenisierung? Was bedeutet es für den flexiblen Zugriff, den Sie auf Ihre Daten haben? Und was passiert mit diesen Daten, wenn Sie den Zahlungsdienstleister wechseln wollen?

Was ist Tokenisierung?

Der aktuelle Trend geht weg von der klassischen Verschlüsselung, die nur einen Key zum Dechiffrieren der kodierten Daten benötigt, hin zur Tokenisierung und zum Data Vaulting. Dies ermöglicht es den Benutzern, Kreditkarteninformationen in mobilen Wallets, eCommerce-Lösungen und in POS-Software zu speichern. Dank der Speicherung sensibler Zahlungsdaten können Konsumenten, weitere Zahlungen zu tätigen, ohne ihre Karteninformationen erneut eingeben zu müssen.

Der Begriff wird verwendet, um die Praxis des Ersetzens sensibler Karteninformationen durch eine zufällig generierte Zahl, die Token genannt wird, zu beschreiben. Dies ist eine Maßnahme gegen Kreditkartenbetrug. Bei Kreditkarten wird die primäre Kontonummer (PAN) des Kunden durch Zahlen ersetzt, die als "Token" bezeichnet werden und die dann zur Abwicklung von Zahlungen verwendet werden, ohne dass die Bankdaten offengelegt werden, wobei die tatsächlichen Daten in einem PCI-konformen Tresor sicher aufbewahrt werden. Das Token ist sicher, es enthält keine Zahlungsdaten und ist nutzlos, wenn es gestohlen wird.

Wer darf Zahlungsdaten speichern/tokenisieren?

Um Daten von Kredit- oder Debitkarteninhabern zu verarbeiten, zu speichern und zu übertragen, müssen Sie (der Händler) oder Ihr Card Vaulting Anbieter dem Payment Card Industry Data Security Standard (PCI DSS) entsprechen. Es wird allgemein empfohlen, einen PCI DSS-konformen Partner zu verwenden, anstatt die Daten selbst zu speichern, da es eine teure und zeitaufwändige Aufgabe ist, den umfangreichen Anforderungen an die Datenkonformität zu entsprechend. Zusätzlich ist ein jährlicher Audit durch einen unabhängigen externen Prüfer notwendig, um den PCI DSS Status beizubehalten.

Wie funktioniert die Speicherung von Zahlungsdaten?

Es gibt mehrere Arten von Vertriebskanälen, die auch als Omnichannel bekannt sind. Dazu gehören: E-Commerce, Data Vaulting, wiederkehrende Zahlungen, Batch Processing, Virtual Terminal Proxy, Web Services, etc. Um Zahlungen akzeptieren zu können, müssen diese Kanäle mit einem Payment Gateway verbunden sein. Das Payment Gateway speichert diese Informationen in ihrem Vault (siehe oben), und wenn ein wiederkehrender Kunde einen Kauf tätigt, werden seine Zahlungsinformationen automatisch ergänzt - dies ist eine bewährte Methode zur Erhöhung der Konversionsraten. Weitere Gründe, um auf die Tokenisierung von Zahlungsdaten umzusteigen:

Es bietet einen verbesserten Datenschutz, da keine persönlichen Daten übertragen werden.
Es erhöht die Sicherheit und schützt vor möglichen Datenverlusten, der Token ist für sich allein genommen nutzlos und kann nicht dechiffriert werden.
Durch den Einsatz einer Payment Management Lösung müssen Sie keine sensiblen Informationen erfassen und reduzieren somit Ihren PCI-Compliance-Bereich.

Welche Gefahren birgt die direkte Speicherung Ihrer Daten bei Ihrem Zahlungsanbieter?

Es birgt jedoch Gefahren, diese Informationen direkt beim Payment Provider zu speichern. Einige Zahlungsverarbeiter, die einen Payment Vault anbieten, werden Ihre Daten gegen Sie verwenden und versuchen, Sie daran zu hindern, Partnerschaften mit einem anderen Anbieter einzugehen. Sie schaffen möglicherweise eine Austrittsbarriere, indem sie sich weigern, Ihre Zahlungsdaten auszuhändigen. Diese Geiselnahme im Zahlungsverkehr kann Ihr Wachstum stark einschränken und macht deutlich, wie wichtig es ist, über eine anbieterunabhängige Plattform zu verfügen.

Die Lösung gegen Payment Provider Lock-In

Eine Möglichkeit, wie Sie die Anbieterbindung vermeiden können, ist die Verwendung einer Payment Management Platform oder eines Tokenisierungsdienstes durch einen Drittanbieters. Dabei speichert Ihr Payment Service Provider Ihre Kundenzahlungsdaten nicht und hat keinen Zugriff darauf. IXOPAY verwendet beispielsweise Tokenisierungssoftware, um zu verhindern, dass Kartennummern jemals in das System des Händlers gelangen. Wenn das Eingabefeld zur Erfassung der Zahlungsdaten erscheint, erfasst die IXOPAY-Lösung die Nummer außerhalb der ERP-Anwendung des Händlers, ruft sie ab und speichert sie sicher. An ihrer Stelle wird ein Token zurückgegeben; dies geschieht entweder über ein sicheres Browser-Feld oder über eine integrierte Checkout-Option.

Unabhängig davon, über welchen Zahlungsdienstleister Sie die Transaktion abwickeln, können Sie Ihr Kunden-Token verwenden (solange es sich um die gleiche Zahlungsmethode handelt). Dieser unabhängige Kreditkarten Vault von Drittanbietern entlastet auch die Händler bei der Einhaltung von Vorschriften und gibt ihnen die nötige Freiheit, den Anbieter zu wechseln oder neue Zahlungsdienstleister hinzuzufügen. Eine Multi-Acquirer- oder Multi-PSP-Einrichtung ermöglicht eine flexible Zahlungsinfrastruktur und gibt jedem Unternehmen die Möglichkeit, die effizienteste Zahlungsprozessstrategie für sein Geschäft zu entwickeln.

Wie geht IXOPAY mit Ihren Daten um?

IXOPAY betrachtet die Daten der Kunden als ihre eigenen, es hat kein Recht auf die Daten und fungiert lediglich als 3rd (Third) Party Vault und sichere Speichereinrichtung. Das zentrale Repository von IXOPAY ist PCI DSS, Level 1-konform. Sie können das Zertifikat hier einsehen. Um mehr über die Funktionen der Plattform zu erfahren und darüber, wie die Tokenisierung Ihr Geschäft verbessern kann, wenden Sie sich an unser Vertriebsteam, das Ihnen eine Plattform-Demo zur Verfügung stellt und alle Ihre Fragen beantwortet.

Alternative Wege, wie Zahlungsdaten in Tokens umgewandelt werden können

Der Vollständigkeit halber, möchten wir hier noch einen weiteren Weg der Tokenisierung aufzeigen: Es gibt Formen der Tokenisierung, die außerhalb des eMerchants-Geschäfts stattfinden, wie z.B. digitale oder eWallets und Network-Tokens der Card Schemes.

Ein digitales oder eWallet, wie Apple Pay oder Google Pay, funktioniert anders als eine herkömmliche Tokenisierung von Kartenzahlungen, da die Anwendung die Daten des Kunden bereits mit einem Token versehen hat. Wenn Sie eWallets als Zahlungsmethode über Ihren eShop akzeptieren, muss sich der Kunde lediglich bei der App anmelden und die Transaktion genehmigen, um den Kauf abzuschließen.

Eine noch relativ neue Form der Tokenisierung wird auch auf dem Level Payments Cards Networks umgesetzt. Dies bedeutet, dass die Zahlungsdienstleister nicht länger in der Lage sind, Ihre Daten exklusiv zu halten, da das Token vom Card Scheme Ihrer Kunden erstellt wird. Es gibt dem Verbraucher auch mehr Kontrolle darüber, wie er seine Zahlungen verwalten möchte. Damit es jedoch funktioniert, müssen sich sowohl der Karteninhaber als auch der Online Händler für diese Form der Tokenisierung registriert haben.

Erhalten Sie Kontrolle über Ihre Zahlungen mit IXOPAY

Kontakt

Über IXOPAY

IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).

IXOPAY ist Teil der 2001 gegründeten IXOLIT Group, die nationale und internationale eCommerce Kunden aus Wien, Österreich und Florida, USA betreut. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit über 65 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.

Weitere Informationen zu IXOPAY: https://www.ixopay.com

Das könnte Sie ebenfalls interessieren:

Expertise

28.07.2022

Wie Payment Orchestration die Payment Landschaft...

Payment Orchestration verändert die Payment Landschaft für Unternehmen

Mehr

Expertise

19.05.2022

Zukunftssicherer Zahlungsverkehr für KMUs

Payment Orchestration ein Tool für E-Commerce Wachstum

Mehr

Expertise

10.03.2022

Online Payments mit Hosted Payment Pages

Bieten Sie ein perfektes Setup mit Hosted Payment Pages

Mehr

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate