Eingebetteter Checkout
Der eingebettete Checkout von Cardflo integriert die Zahlungsabwicklung nahtlos direkt in Ihre Website oder Anwendung. Diese Lösung bietet ein sicheres, PCI-konformes Zahlungsformular, das auf Ihrer bestehenden Seite erscheint, Weiterleitungen eliminiert und ein konsistentes Benutzererlebnis gewährleistet.
Es wurde für Händler entwickelt, die eine einfache Integration ohne Einbußen bei Kontrolle oder Markenpräsenz suchen.
- Kategorie
- Checkout
- Funktionen
- 10
- Verfügbar auf
- Alle Pläne
Der Überblick
Der eingebettete Checkout funktioniert als clientseitige Integrationsmethode, bei der Zahlungseingabefelder vom Dienstanbieter (PSP) gehostet, aber innerhalb der bestehenden Webarchitektur des Händlers gerendert werden.
Im Gegensatz zu gehosteten Zahlungsseiten, die eine Browser-Weiterleitung zu einer externen Domain erfordern, verwendet dieses Modell iFrames oder gehostete Felder, um die Präsenz des Benutzers auf der Primärseite zu erhalten.
Der Datenfluss stellt sicher, dass sensible Daten der primären Kontonummer (PAN) niemals den Server des Händlers berühren, da die Eingabefelder direkt mit dem Gateway des Acquirers kommunizieren.
Dieser Mechanismus reduziert den Umfang der PCI-DSS-Compliance erheblich und ermöglicht es Händlern typischerweise, sich für die einfacheren SAQ A- oder SAQ A-EP-Bewertungen zu qualifizieren.
Durch die Beibehaltung der Kontrolle über das DOM um die sicheren Felder können Unternehmen das visuelle Layout und die User Journey verwalten, während die kryptografische Sicherheit und die Tokenisierungsprozesse an die Infrastrukturschicht des Zahlungsstacks delegiert werden.
Dieser Ansatz gleicht Branding-Anforderungen mit robustem Risikomanagement und technischer Sicherheit aus.
Wie es funktioniert
Initialisierung des Client-seitigen Scripts
Die Integration beginnt mit dem Laden einer JavaScript-Bibliothek vom Zahlungsanbieter auf die Checkout-Seite des Händlers. Dieses Skript erstellt sichere Container innerhalb spezifischer DIV-Elemente, wodurch sichergestellt wird, dass die kritischen Zahlungseingaben vom restlichen Code der Seite isoliert bleiben, um Cross-Site-Scripting-Schwachstellen oder Dateninterferenzen zu verhindern.
Sichere Felder-Widergabe
Der Anbieter rendert individuelle iFrames für die Kartennummer, das Ablaufdatum und den CVV. Diese Felder werden in einer PCI-konformen Umgebung gehostet, erscheinen aber als Teil des Formulars des Händlers.
Diese Trennung stellt sicher, dass der Händler nur nicht-sensible Metadaten verarbeitet, während die tatsächlichen Kartendaten direkt an das Gateway übertragen werden.
Tokenisierung und Validierung
Wenn der Kunde seine Daten eingibt, führt das System eine Echtzeitvalidierung für LUHN-Prüfungen und BIN-Identifikation durch. Bei der Übermittlung werden die sensiblen Daten gegen ein sicheres Vault-Token ausgetauscht.
Dieses Token repräsentiert das Zahlungsinstrument und ist die einzige Anmeldeinformation, die an das Backend des Händlers für die Autorisierungsanfrage übergeben wird.
Transaktionsautorisierung
Der Händler sendet das Token an seinen Server, der dann einen Autorisierungsaufruf an den Acquirer initiiert. Der Acquirer leitet dies an die Kartensysteme und den Issuer weiter.
Der Issuer sendet eine Antwort zurück, wie z. B.
einen Genehmigungs- oder Ablehnungscode, den der Händler dann dem Benutzer anzeigt.
Warum es wichtig ist
Konversionsratenoptimierung
Weiterleitungen führen oft zu Reibung und Latenz, die Hauptursachen für den Abbruch von Einkäufen sind. Indem der Kunde während der gesamten Transaktion im Domain des Händlers bleibt, fühlt sich der Zahlungsprozess wie ein kontinuierlicher Teil der User Journey an.
Diese Konsistenz trägt dazu bei, Vertrauen aufrechtzuerhalten, insbesondere bei hochwertigen Transaktionen, bei denen eine plötzliche Änderung der URL bei den Benutzern den Verdacht auf einen Phishing-Versuch oder einen technischen Fehler wecken könnte.
Sicherheit und Compliance-Belastung
Die Verwaltung roher Kartendaten erfordert umfangreiche Sicherheitsprotokolle und strenge jährliche Audits gemäß den PCI-DSS Level 1 Kriterien. Ein eingebettetes Modell umgeht diese Anforderungen, indem es sicherstellt, dass der Händlerserver niemals sensible PAN-Daten sieht, verarbeitet oder speichert.
Diese Verschiebung reduziert den Betriebsaufwand und die Haftung im Zusammenhang mit Datenlecks, da die Sicherheitslast auf den Dienstanbieter übertragen wird, dessen Systeme speziell für den Datenschutz entwickelt wurden.
Anwendungsfälle
SaaS-Plattform-Abonnements
Software-Anbieter nutzen eingebettete Felder, um Zahlungsdetails während der Kontoerstellung zu erfassen. Dies ermöglicht es ihnen, eine Zahlungsmethode zu erfassen und als Netzwerk-Token für wiederkehrende Abrechnungen zu speichern, ohne den Onboarding-Flow zu unterbrechen oder auf externe Websites umzuleiten.
Umfangreiche E-Commerce-Sites
Händler mit hohem Verkehrsaufkommen nutzen eingebettete Checkouts, um die Markenkonsistenz zu wahren und die Schritte bis zum Abschluss zu minimieren. Dies ist besonders effektiv für den mobilen Handel, wo die Umleitung zwischen Apps und Browsern zu Session-Timeouts oder Ladefehlern führen kann.
Unternehmensmarktplätze
Marktplätze mit mehreren Anbietern nutzen eingebettete Felder, um das Zahlungserlebnis auf ihrer Plattform zu standardisieren. Dies stellt sicher, dass die Zahlungsinfrastruktur unabhängig vom jeweiligen Anbieter sicher und konsistent bleibt und komplexe geteilte Abrechnungsprozesse im Backend erleichtert werden.
In Zahlen
Branchenuntersuchungen deuten darauf hin, dass die Entfernung von Weiterleitungen zu einer erheblichen Reduzierung des Warenkorbabbruchs führen kann, da Kunden während der Zahlungsphase seltener auf technische Schwierigkeiten oder Vertrauensprobleme stoßen.
Die Verwendung gehosteter Felder kann die Anzahl der Sicherheitskontrollen, die ein Händler jährlich auditieren muss, im Vergleich zur Handhabung roher Kartendaten erheblich reduzieren, gemäß den standardmäßigen PCI-DSS-Bewertungsmaßstäben.
Optimierte eingebettete Felder, die native Tastaturen auslösen und Echtzeit-Validierung bieten, ermöglichen typischerweise schnellere Abschlusszeiten für mobile Benutzer im Vergleich zu herkömmlichen, nicht responsiven Formularlayouts.
Verwandte Begriffe
Talk to our team about a live rollout on your acquiring stack.
Was Sie erhalten mit Eingebetteter Checkout
- Reduzierung des PCI-DSS-Geltungsbereichs auf SAQ A oder SAQ A-EP durch Isolierung sensibler Zahlungsdaten.
- Eliminierung von Cross-Domain-Weiterleitungen, um Reibungsverluste beim Checkout zu minimieren und die Kundenbindung zu verbessern.
- CSS-Anpassungsmöglichkeiten, um das Zahlungsformular an bestehende Marken-Styleguides anzupassen.
- Echtzeit-Client-seitige Validierung für Kartenformatierung, Ablaufdaten und CVV-Längenprüfungen.
- Direkte Tokenisierung von Kartendaten, um eine sichere Übertragung zum Zahlungsgateway zu gewährleisten.
- Mobilfreundliche Eingabefelder, die sich an verschiedene Bildschirmgrößen und virtuelle Tastaturlayouts anpassen.
- Unterstützung der 3-D Secure-Authentifizierung direkt im eingebetteten Flow für SCA-Konformität.
- Automatische BIN-Erkennung zur Identifizierung des Kartentyps und sofortige Anwendung relevanter Verarbeitungslogik.
- Kompatibilität mit modernen JavaScript-Frameworks einschließlich React, Vue und Angular für eine strukturierte Integration.
- Lokalisierte Sprachunterstützung für Checkout-Felder, um eine globale Kundenbasis zu bedienen.
A short scoping call, then a written plan for your MIDs.
Fragen zu Eingebetteter Checkout
Wie unterscheidet sich ein eingebetteter Checkout von einer gehosteten Zahlungsseite hinsichtlich der Sicherheit?
Eine gehostete Zahlungsseite leitet den Benutzer zu einer vom PSP verwalteten URL weiter, während ein eingebetteter Checkout den Benutzer auf der Website des Händlers hält, indem er iFrames oder gehostete Felder verwendet.
Aus Sicherheitssicht stellen beide Methoden sicher, dass der Händler keine sensiblen Kartendaten handhabt, aber der eingebettete Ansatz bietet mehr Kontrolle über die Benutzererfahrung.
Die eingebettete Methode erfordert typischerweise eine etwas komplexere technische Implementierung als eine gehostete Seite, bietet aber einen deutlich besseren Konversionspfad für den Endbenutzer.
Erfordert die Verwendung eingebetteter Felder ein bestimmtes PCI-DSS-Zertifizierungsniveau?
Händler, die eingebettete Felder verwenden, qualifizieren sich typischerweise für SAQ A-EP oder SAQ A, abhängig davon, wie die Felder implementiert sind.
Da die sensiblen Daten in einem iFrame erfasst werden, der direkt mit dem PSP kommuniziert, wird der Server des Händlers effektiv aus dem Fluss der Kartendaten entfernt.
Dies ist eine signifikante Reduzierung der Compliance-Anforderungen im Vergleich zu einer API-basierten Integration, bei der der Händlerserver rohe Kartendaten vor der Tokenisierung vorübergehend verarbeiten könnte.
Kann ich die eingebetteten Felder so gestalten, dass sie der spezifischen Schriftart und den Farben meiner Website entsprechen?
Ja, die meisten Implementierungen eingebetteter Felder ermöglichen CSS-Styling. Obwohl die Felder selbst in einem sicheren iFrame gehostet werden, akzeptiert die Bibliothek des Anbieters in der Regel Stilobjekte, die Schriftarten, Farben, Abstände und Rahmenattribute definieren.
Dadurch erscheinen die Zahlungsfelder als native Elemente der Händlerseite, was eine konsistente Ästhetik gewährleistet und das Markenvertrauen in der letzten Phase des Checkouts unterstützt.
Was passiert, wenn die Karte eines Kunden eine 3-D Secure-Authentifizierung erfordert?
Wenn 3-D Secure für die starke Kundenauthentifizierung (SCA) erforderlich ist, löst die eingebettete Bibliothek typischerweise ein Modal oder ein Overlay aus. Der Kunde schließt die Herausforderung in diesem Fenster ab, und sobald er autorisiert ist, kehrt der Fokus zur Checkout-Seite des Händlers zurück.
Dieser Prozess erfolgt ohne eine vollständige Seitenumleitung, wodurch die Sitzung aufrechterhalten und das Risiko minimiert wird, dass der Kunde den Tab während des Authentifizierungsprozesses schließt.
Ist der eingebettete Checkout für mobile Geräte optimiert?
Branchenübliche eingebettete Checkout-Komponenten sind responsiv gestaltet. Sie verwenden Media Queries, um die Größe und das Layout von Eingabefeldern basierend auf den Bildschirmdimensionen des Geräts anzupassen.
Des Weiteren sind sie so konfiguriert, dass sie die richtigen numerischen Tastaturen auf mobilen Betriebssystemen auslösen, was die Geschwindigkeit und Genauigkeit der Dateneingabe für den Kunden verbessert und zu höheren Abschlussraten auf Handheld-Geräten führt.
Unterstützt der eingebettete Checkout alternative Zahlungsmethoden wie digitale Geldbörsen?
Eingebettete Checkouts können oft so konfiguriert werden, dass sie digitale Geldbörsen-Buttons, wie Apple Pay oder Google Pay, neben traditionellen Karteneingaben anzeigen. Diese Methoden umgehen oft die Karteneingabefelder vollständig, indem sie die gespeicherten Anmeldeinformationen der Geldbörse verwenden, um die Transaktion über ein sicheres Token zu autorisieren.
Dieser multimodale Ansatz stellt sicher, dass der Checkout für verschiedene Verbraucherpräferenzen flexibel bleibt, während ein einziger Integrationspunkt beibehalten wird.
Bereit für Geschwindigkeit?
Erzählen Sie uns von Ihrem Unternehmen. Wir vermitteln Ihnen die passenden Acquirer-Partner und den richtigen Weg, normalerweise innerhalb einer Woche.
