Glossar

13.09.2023

Card on File

"Card on file"-Transaktionen beziehen sich auf Transaktionen, bei denen die Karteninformationen nicht manuell vom Karteninhaber während des Bezahlvorgangs eingegeben werden, sondern aus zuvor gespeicherten Daten abgerufen werden. Die Karteninformationen werden also "on file”, d.h. “auf Datei" gehalten."

Was ist eine "Card on File"-Transaktion?

"Card on File"-Transaktionen sind Transaktionen, bei denen die Kartendaten gespeichert, anstatt vom Karteninhaber jedes Mal erneut eingegeben zu werden. Dabei gibt es zwei Wege, diese Transaktionen zu initiieren:

Durch den Karteninhaber, wenn seine Zahlungsdaten zur Wiederverwendung beim Checkout gespeichert wurden.
Durch den Händler bzw. Merchant, wenn der Karteninhaber diesem die Erlaubnis erteilt hat, Zahlungen mit der Karte durchzuführen, z.B. für wiederkehrende Zahlungen wie Abonnements.

"Card on File" wird häufig mit COF abgekürzt. Die Abkürzung COF kann auch auf "Credentials on File" verweisen, was dasselbe bedeutet - gespeicherte Zahlungsinformationen werden verwendet, anstatt vom Karteninhaber beim Bezahlen eingegeben zu werden.

Welche Anforderungen gibt es für die Speicherung von Kartendaten?

Das Speichern von Kreditkartendaten erfordert die Einhaltung strenger PCI DSS-Anforderungen, die von den Card Schemes vorgeschrieben werden. Es gibt verschiedene PCI DSS Zertifizierungsstufen, die vom Volumen der verarbeiteten Transaktionen und davon abhängen, ob die Kreditkartendaten direkt oder von einem Drittanbieter gespeichert werden.

Die PCI DSS-Anforderungen garantieren, dass sensible Karteninformationen sicher gespeichert werden, um sie vor Hackerangriffen, Datenlecks, Betrügern, usw. zu schützen. Da die Erfüllung dieser Anforderungen kostspielig ist und jährliche Audits erfordert, lagern Merchants die Speicherung von Kartendaten in der Regel an einen 3d Party Provider mit sicherem Vault aus (z. B. IXOPAY). Die meisten Händler bevorzugen diese Option, weil sie dadurch ihren PCI-DSS-Umfang und die dazugehörigen Kosten stark reduzieren können. Statt jährlicher Audits ist lediglich ein einfacher Selbstbewertungsfragebogen (SAQ - self assessment questionnaire) erforderlich. Wenn die Händler jedoch alle Anforderungen erfüllen, über die erforderliche Infrastruktur verfügen und bereit sind, sich jährlichen Audits zu unterziehen, können sie die Kreditkartendaten auch in ihrem eigenen PCI Vault speichern.

Wie werden COF Transaktionen verarbeitet, wenn die Kartendaten nicht beim Merchant gespeichert sind?

Um sicherzustellen, dass Merchants "Card on File"-Transaktionen verarbeiten können, ohne die Kreditkartendaten lokal zu speichern, wird ein Sicherheitsmechanismus namens Tokenisierung verwendet. Wenn der Kunde seine Kreditkartendaten zum ersten Mal eingibt, werden die Daten direkt an einen Vault Provider gesendet und dort in verschlüsselter Form gespeichert. Anschließend wird vom Vault Provider ein sogenanntes Token generiert. Dieses Token besteht aus einer Reihe zufälliger Zeichen, die nicht zurückverfolgt werden können, um die zugrundeliegenden Kreditkartendaten zu ermitteln. Die Händler können dieses Token speichern, ohne das Risiko einzugehen, sensible Daten preiszugeben und verwenden ihn als Referenz für die im Vault gespeicherten Kartendaten.

Bei der Durchführung einer Card-on-File Transaktion übermittelt der Händler/Merchant den Token als Teil der Transaktion, zusammen mit anderen Informationen wie dem zu belastenden Betrag. Dieses Token wird dann verwendet, um die zugehörigen Kreditkartendaten im sicheren Vault zu ermitteln. Die rohen Kartendaten werden anschließend direkt an den Payment Provider zur Abwicklung weitergeleitet.

Wie können Merchants sicherstellen, dass die Kreditkartendaten sicher gespeichert werden?

Die beste Möglichkeit für Händler, den Schutz und die sichere Speicherung von Kreditkartendaten zu gewährleisten, ist die Nutzung eines 3d Party PCI Vault. Dadurch muss der Händler nicht mehr sicherstellen, dass seine Infrastruktur dem Standard entspricht und es entfällt die Notwendigkeit einer kostspieligen jährlichen PCI DSS-Neuzertifizierung. Außerdem wird die Haftung vom Merchant auf den Vault Provider verlagert.

Wird ein Drittanbieter mit der Speicherung von Kreditkartendaten beauftragt, sollten Merchants jedoch sicherstellen, dass die Daten niemals direkt vom Händler selbst abgerufen oder verarbeitet werden können. Die verschlüsselten Kartendaten sollten direkt beim Checkout an den Vault Provider gesendet werden.

Was sind die Vorteile einer "Card on File"-Transaktion?

Sie erleichtern den Bezahlvorgang für Return-Customers, indem die Daten nicht bei jedem Kauf erneut eingegeben werden müssen. Stattdessen können die Kunden einfach eine zuvor verwendete Zahlungsmethode auswählen, die beim letzten Kauf bereits abgespeichert wurde. Der Effekt: Beschleunigte Kaufabwicklung, kein Risiko einer Eingabe von falschen Informationen und geringere Abbruchquoten.

Sie ermöglichen Recurring Payments, bei denen Merchants die Karte in regelmäßigen Abständen belasten, z. B. für Abonnements. Sobald eine Zahlung fällig ist, belastet der Merchant die Karte, ohne dass der Kunde selbst agieren muss. Die Händler müssen jedoch sicherstellen, dass die Kreditkartendaten immer auf dem neuesten Stand sind, da sonst die Gefahr besteht, dass eine Zahlung fehlschlägt, wenn sich die Kartendaten geändert haben (z. B. wenn eine neue Karte ausgestellt wird, weil die alte abgelaufen ist).

Wie können Merchants sicherstellen, dass die Kreditkartendaten auf dem neuesten Stand sind, wenn Karten regelmäßig neu ausgestellt werden?

Händler können entweder einen wie bei IXOPAY verwenden oder sich auf die von den Kartensystemen ausgegebenen Netzwerk-Tokens verlassen.

Bei der Verwendung eines Account bzw. Card Updaters werden die Kreditkartendaten regelmäßig an das Kartensystem gesendet, um zu prüfen, ob sich die Kartendaten geändert haben. Ist dies der Fall, werden die im Vault gespeicherten Informationen entsprechend aktualisiert und so sichergestellt, dass die Zahlungen weiterhin mit der Karte abgewickelt werden können.

Netzwerk-Tokens sind Token, die direkt von den Kartensystemen ausgegeben werden. Die Card Schemes stellen sicher, dass die zugehörigen Karteninformationen auf dem neuesten Stand gehalten werden. Das Netzwerk-Token behält seine Gültigkeit, auch wenn sich die zugrundeliegenden Kartendaten ändern, und garantiert so, dass die Karte weiterhin belastet werden kann.

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate