PCI und Tokenization: ein Erfolgskonzept
Wenn es um den Schutz sensibler Daten, wie jenen von Kreditkarten geht, zählt die Tokenization zu den bewährten Sicherheitsmechanismen. In diesem Artikel setzen wir uns mit den verschiedenen Möglichkeiten der Tokenization auseinander und beleuchten, wie sie funktionieren, welche Vorteile sie bieten und wie sich die Technologie künftig weiterentwickeln könnte.
Was ist Tokenization?
Tokenization bedeutet, dass sensible Daten wie die PAN (Primary Account Number) und CVV (Card Verification Value) durch ein sogenanntes Token ersetzt werden. Das Token selbst besteht aus einer zufälligen Folge von Zeichen und enthält keine sensiblen Informationen. Stattdessen stellt das Token lediglich eine Referenz zu den Kreditkartendaten her, die es ersetzt. Das Token selbst hat keinen tatsächlichen Wert. Dieser liegt nach wie vor auf den Kreditkartendaten. Das bedeutet, dass im Falle von Datenschutzverletzungen durch kriminelle Akteure, die sich Zugang zum Token verschaffen, kein Zugriff auf die zugrundeliegenden Kartendaten möglich ist. Kurz: Tokenization bietet den Karteninhabern zusätzliche Sicherheit.
Eine Analogie, die häufig zur Veranschaulichung der Funktionsweise von Tokens herangezogen wird, ist die Verwendung von Casino-Chips oder Jahrmarktjetons. Diese werden zwar gekauft, haben aber außerhalb des Casinos oder des Rummelplatzes keinen Wert, da die Jetons nicht für Einkäufe in Online- oder regulären Shops verwendet werden können. Der einzige Wert, den diese Chips oder Wertmarken haben, liegt in dem geschlossenen System, in dem sie akzeptiert werden - an den Pokertischen und an den Jahrmarktbuden. Im Falle der Payment Tokens gelten diese nur für einen bestimmten Händler oder ein bestimmtes Device. Werden die Tokens eines Händlers kompromittiert, hat dies keine Auswirkungen auf die Tokens anderer Händler, die dieselben Kartendaten verwenden. Werden im Gegensatz dazu die tatsächlichen Kreditkarten verwendet, werden auch im Falle eines Data Incidents die Karten akzeptiert und Einkäufe können getätigt werden.
Wie werden Zahlungen mittels Tokens durchgeführt?
Im einfachsten Fall kann ein Token als Ersatz für Kreditkartendaten verwendet werden, um eine Transaktion durchzuführen. Anstatt die PAN und CVV (während einer laufenden Transaktion) direkt zu verwahren und zu verarbeiten, speichern die Händler für Card on File (COF) Transaktionen das Token im Konto des Benutzers. Das Token wird in Folge an den Payment Service Provider (PSP) oder die Payment Orchestration Plattform (POP) des Händlers weitergeleitet, wo die eigentlichen Kreditkartendaten liegen. Der PSP oder POP leitet dann die Daten für den Händler weiter. Da das Token selbst generiert wird, ohne sensible Informationen zu enthalten, stellt dessen Lagerung ein viel geringeres Sicherheitsrisiko dar. Das wiederum reduziert die Compliance Anforderungen der Händler, da die sensiblen Daten sicher, beispielsweise in Vaults der Payment Service Provider oder in Payment Orchestration Plattformen, aufbewahrt werden. Diese Methode gewann Anfang der 2010er Jahre allmählich an Bedeutung, begleitet von aufsehenerregenden Datenschutzverletzungen, die die Notwendigkeit für die Händler untermauerten.
Die Vorteile der Tokenization
Die Tokenization bietet den Unternehmen klare Vorteile. Sie verlagert einen großen Teil der Anforderungen von PCI DSS (Payment Card Industry Data Security Standard) Compliance zum PSP oder POP. Damit werden nicht nur hohe Compliance und Security Kosten ausgelagert. Es entfällt auch der Bedarf für teure, regelmäßige externe Audits. Aber auch die Karteninhaber profitieren: wenn ein Händler lediglich einen Token lokal aufbewahrt, besteht auch bei Datenschutzverletzungen kein Risiko, dass die Informationen in falsche Hände gelangen können. Stattdessen werden die Kreditkartendaten, auf die das Token referenziert, sicher in einem PCI DSS konformen Vault des PSP oder POP (z.B. IXOPAY Card Vault) gespeichert. Diese Methode wird als “Gateway Tokenization” bezeichnet.
Bei der Gateway Tokenization werden die vom Kunden eingegebenen Kartendaten an einen Gateway (PSP oder POP wie IXOPAY) gesendet. Die Daten selbst werden im sicheren Vault des Anbieters gespeichert, der dann auch das eindeutige Token für den Händler liefert und für alle weiteren COF Transaktionen verwendet werden kann. Da das Token ein signifikant geringeres Sicherheitsrisiko darstellt, kann es auch lokal beim Händler gespeichert werden, ohne den strengen Anforderungen von PCI DSS Level 1 entsprechen zu müssen. Weiters entfallen Kosten für eine entsprechende Infrastruktur. Durch diesen verringerten Anwendungsbereich und die ausschließliche Speicherung der Tokens können sich die Händler für eine niedrigere PCI DSS-Konformitätsstufe qualifizieren, was Kosten und Aufwände drastisch reduziert.
Vorteile der Tokenization auf einen Blick
- Verlagerung der PCI DSS Vorgaben an PSP oder POP, wodurch Kosten reduziert werden
- Mehr Sicherheit für die Konsumenten im Falle von Datenschutzverletzungen
- Höherer Schutz, da keine wiederholte Eingabe sensibler Daten notwendig ist
- Nahtlose Checkouts mit niedrigeren Abbruchraten
Nachteile: Lock-ins und Aktualität der Kreditkartendaten
Gateway Tokenization birgt aber auch einige Nachteile. Ein wesentlicher ist, dass der Händler dadurch leichter an einen bestimmten Payment Service Provider gebunden wird, da die Tokens nur für diesen gültig sind. Kooperiert das Unternehmen mit einem weiteren PSP oder erfolgt ein Wechsel zu einem anderen Anbieter, werden auch neue Tokens benötigt. Es ist somit nicht möglich, Transaktionen über mehrere Zahlungsdienstleister zu leiten, ohne Zugriff auf die PAN selbst zu haben. Dieser Nachteil kann durch die Nutzung einer Payment Orchestration Plattform wie IXOPAY ausgeglichen werden. Die Plattform fungiert als “Mittler” zwischen dem Händler und den Payment Service Providern und stellt dieselben Tokens für alle Anbieter zur Verfügung. Dieses Setup verknüpft die Kreditkartendaten mit der Payment Orchestration Plattform selbst. Die POP gibt die tatsächlichen Kartendaten zur Abwicklung der Transaktion an den PSP weiter und ermöglicht dem Händler mehr Flexibilität, um die optimale Transaction Route zu wählen und zwischen den PSPs zu wechseln.
Da das Token über einen Gateway Provider generiert wird, werden die Kreditkartendaten nicht automatisch aktualisiert, wenn eine Karte neu ausgestellt werden muss (beispielsweise weil sie abläuft). Die Kunden müssen daher weiterhin regelmäßig ihre Kartendaten auf der Website des Händlers aktualisieren. Eine Lösung bietet beispielsweise der Card Updater von IXOPAY, der automatisch die Aktualisierungen der Kreditkartendaten vornimmt. Einen alternativen Ansatz stellt die sogenannte “Network Tokenization” dar.
Was ist Network Tokenization?
Die Network Tokenization versucht die Nachteile der Gateway Tokenization zu umgehen. Anstelle des Gateway-Anbieters werden die Tokens direkt von den Kreditkartenunternehmen (z.B. Visa, MasterCard, American Express usw.) selbst ausgegeben. Auch diese Token können von den Händlern zur späteren Verwendung oder für wiederkehrende Zahlungen gespeichert werden (Card on File). Da das Token aber vom Scheme selbst generiert wird, müssen Änderungen der Kartendaten nicht aktualisiert werden. Stattdessen werden die Kartendaten, auf die das Token verweist, von Visa, MasterCard etc. aktualisiert. Das Token kann vom Händler verwendet werden, als ob keine Änderungen stattgefunden hätten.
Auch bei diesem Modell erhält jeder Händler ein eindeutiges Token, das wiederum von Missbrauch unberührt bleibt. Für die Karteninhaber ergibt sich ein nahtloses Einkaufserlebnis, da sie ihre Kartendaten nur einmal eingeben müssen und sich dann dafür entscheiden können, ihre Daten für die zukünftige Verwendung zu speichern. Die Händler profitieren von den Vorteilen von Card on File (COF), ohne die strengen Anforderungen von PCI DSS Level 1 erfüllen zu müssen. Das Ergebnis ist eine verbesserte User Experience, was wiederum zu höheren Verkaufszahlen und niedrigeren Abbruchraten führen kann. Gleichzeitig werden die Möglichkeiten von Cyber-Betrug reduziert. Einem im Mai 2022 veröffentlichten Bericht von Visa zufolge stiegen die Akzeptanzraten bei Verwendung von Network Tokens im Vergleich zu PAN-Transaktionen um durchschnittlich 2,5 %, während betrügerische Aktivitäten um 26 % sanken.
Der nächste Schritt: Secure Remote Commerce
Die nächste große Veränderung, die sich bereits am Horizont abzeichnet, könnte die Einführung von Secure Remote Commerce (SRC) darstellen. SRC wurde vor kurzem in einigen Regionen von EMVCo, das den großen Kreditkartennetzwerken gehört, eingeführt und basiert auf dem Konzept der Network Tokenization. SRC bietet den Kunden ein Einkaufserlebnis ähnlich des “Buy Now” Buttons und wird als “Click to Pay” vermarktet.
Unter Verwendung von SRC speichern die Karteninhaber ihre tokenisierten Kartendaten in einem digitalen Wallet, das von den Schemes bereitgestellt wird. Diese Wallets bieten den Konsumenten einen zentralen Ort, an dem alle Kreditkarten (Visa, MasterCard, American Express usw.) aufbewahrt werden können. Die Tokens sind an das Gerät gebunden, auf dem das Wallet gespeichert ist (Smartphone, Notebook etc.). Auf dem Gerät selbst werden wiederum keine Kartendaten gespeichert. Die Karteninhaber sehen nur das sogenannte Kartenbild, eine grafische Darstellung der Karte und die letzten vier Ziffern der PAN, sodass die gewünschte Karte für eine Transaktion einfach ausgewählt werden kann.
Die Konsumenten melden sich für den Dienst an, indem sie entweder am Checkout ein Profil erstellen, Karten auf der Website eines Kreditkartenanbieters hinzufügen oder sich über die Website oder App des Ausstellers anmelden. Sobald die Kreditkarten in tokenisierter Form auf dem Gerät gespeichert sind, können sie bei allen Händlern, die SRC unterstützen, für Einkäufe verwendet werden.
Händler und PSPs müssen müssen aktiv an SRC beteiligt sein, um den Verbrauchern diese Option anzubieten. Die Verfügbarkeit der Funktion wird auf den teilnehmenden Websites durch das Click-to-Pay-Symbol angezeigt. Die Händler profitieren von einem einheitlichen Payment Prozess für alle Beteiligten und eine optimierte Kaufabwicklung mit geringeren Abbrüchen, die dennoch individuelle Kaufprozesse ermöglichen.
Ein weiterer Vorteil von SRC ist, dass keine Aktualisierungsdienste mehr benötigt werden. Stattdessen aktualisiert der Kreditkartenanbieter einfach die Kartendaten, auf die das Token verweist, und behält den bereits bestehenden. Vor allem für abonnementbasierte Dienste sowie Händler mit einer großen Anzahl an Stammkunden ist dies von Vorteil.
Inwieweit SRC andere Formen der Tokenisierung ersetzen wird, bleibt abzuwarten. Der Erfolg wird letztlich davon abhängen, ob Verbraucher und Händler das System annehmen und wie sich Kreditkarten im Vergleich zu den zahlreichen alternativen Zahlungsmethoden, die in den letzten Jahren immer beliebter geworden sind, entwickeln. SRC hat zweifelsohne das Potenzial, Händlern die Einhaltung von PCI DSS zu erleichtern, da sie nicht mehr direkt mit PANs umgehen müssen und eine einfach zu bedienende Checkout-Funktion auf ihren Websites anbieten können. Eines ist in jedem Fall sicher: Tokenization wird sich durchsetzen.
Möchten Sie mehr über IXOPAY erfahren?
Kontaktieren Sie Uns!Über IXOPAY
IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).
IXOPAY ist Teil der 2001 gegründeten IXOLIT Group, die nationale und internationale eCommerce Kunden aus Wien, Österreich und Florida, USA betreut. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit über 80 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.
Weitere Informationen zu IXOPAY: https://www.ixopay.com