Tokinisierte Zahlungen
Schützen Sie sensible Kartendaten und vereinfachen Sie die PCI-Compliance mit den tokenisierten Zahlungen von Cardflo. Durch das Ersetzen tatsächlicher Kartennummern durch einzigartige, nicht sensible Token können Sie Transaktionen sicher verarbeiten, ohne Rohkartendaten zu speichern.
Dies reduziert Ihren PCI DSS-Umfang und erhöht die Datensicherheit.
- Kategorie
- Sicherheit
- Funktionen
- 10
- Verfügbar auf
- Alle Pläne
Der Überblick
Tokenisierung ist ein Sicherheitsprozess, der sensible Primäre Kontonummern (PANs) durch nicht-sensible digitale Identifikatoren, bekannt als Tokens, ersetzt. Innerhalb des Zahlungsstapels findet dieser Mechanismus typischerweise auf Gateway- oder PSP-Ebene statt, wodurch sichergestellt wird, dass Rohkartendaten nicht auf dem Händlerserver gespeichert werden.
Durch die Entkopplung des Transaktionsidentifikators von den ursprünglichen Finanzdaten können Unternehmen ihren PCI-DSS-Compliance-Umfang auf einfachere Selbstbewertungsfragebögen reduzieren. Diese Tokens können auf bestimmte Händler, Gerätetypen oder Transaktionsklassen beschränkt werden, was eine granulare Kontrollebene bietet, die regulären PAN-Daten fehlt.
Wenn eine Transaktion initiiert wird, wird der Token an den Tresor übermittelt, wo die entsprechende PAN zur Autorisierung mit dem Acquirer und Issuer abgerufen wird.
Diese Architektur stellt sicher, dass selbst im Falle eines Datenbankbruchs die erfassten Daten für unbefugte Parteien nutzlos bleiben, da die Tokens nicht rückentwickelt werden können, um die ursprünglichen Kartendaten preiszugeben.
Wie es funktioniert
Datenerfassung und Tresorverwaltung
Wenn ein Kunde seine Kartendaten während des Bezahlvorgangs eingibt, werden die sensiblen Daten direkt an einen sicheren Tresor gesendet. Diese Übertragung erfolgt über einen verschlüsselten Kanal, wie TLS 1.
2 oder höher, wodurch sichergestellt wird, dass die Händlerumgebung niemals mit der Klartext-Primärkontonummer oder sensiblen Authentifizierungsdaten in Berührung kommt.
Token-Ausgabe und Zuordnung
Der Tresor gibt den Token an den Händler oder Orchestrator zurück, der ihn anstelle der rohen Kartennummer in seiner Datenbank speichert.
Dieses Token fungiert als Zeiger, der es dem Unternehmen ermöglicht, die Zahlungsmethode für wiederkehrende Abrechnungen oder One-Click-Käufe zu referenzieren, ohne direkt verbotene sensible Authentifizierungsdaten zu verarbeiten.
Autorisierung und Routing
Für nachfolgende Transaktionen sendet der Händler den Token an das Zahlungs-Gateway. Der Gateway- oder Tresor-Anbieter tauscht den Token gegen die ursprüngliche PAN aus und leitet die Anfrage an den Acquirer weiter.
Der Issuer autorisiert dann die Transaktion basierend auf den entschlüsselten Anmeldeinformationen, wobei standardmäßige Autorisierungsabläufe ohne Kompromisse bei der Sicherheit beibehalten werden.
Token-Lebenszyklus-Management
Token können aktualisiert, gesperrt oder gelöscht werden, ohne das zugrunde liegende Kartenkonto zu beeinflussen. Wenn ein händlerspezifisches Token kompromittiert wird, kann es nicht von anderen Unternehmen verwendet werden.
Darüber hinaus können Account Updater-Dienste die gespeicherten PAN-Daten aktualisieren, während der vom Händler gehaltene Token statisch bleibt, wodurch kontinuierliche Abrechnungszyklen gewährleistet werden.
Warum es wichtig ist
Reduzierter Compliance-Umfang
Das Speichern von Rohkartendaten stellt eine erhebliche Belastung für ein Unternehmen dar, da es strenge PCI-DSS-Audits und eine teure Sicherheitsinfrastruktur erfordert. Die Tokenisierung verlagert die Speicherung sensibler Daten auf einen spezialisierten Drittanbieter, wodurch sich der Compliance-Umfang des Händlers auf einfachere Selbstbewertungsfragebögen reduziert.
Dies senkt die Betriebskosten im Zusammenhang mit jährlichen Sicherheitsbewertungen und minimiert den internen technischen Aufwand, der zur Aufrechterhaltung einer autorisierten Umgebung erforderlich ist.
Verbesserte Beständigkeit gegen Datenlecks
Wenn eine Händlerdatenbank kompromittiert wird, sind herkömmliche Kartendaten sofort für betrügerische Transaktionen nutzbar. Token sind jedoch architektonisch unterschiedlich und typischerweise auf den spezifischen Händler beschränkt, der sie angefordert hat.
Ein gestohlenes Token ist für eine sekundäre Partei wertlos, da der Zahlungsabwickler das Token nur dann akzeptiert, wenn es vom autorisierten Händler präsentiert wird, wodurch die Auswirkungen von Datendiebstahl auf Karteninhaber effektiv neutralisiert werden.
Reduzierung von Kundenreibung
Der moderne Handel setzt auf die Bequemlichkeit wiederkehrender Kunden, wie One-Click-Checkouts und Abonnementmodelle. Die Tokenisierung erleichtert diese Erfahrungen, indem sie es Händlern ermöglicht, einen repräsentativen Identifier der Zahlungsmethode sicher zu speichern.
Dies eliminiert die Notwendigkeit für den Kunden, seine Kartendaten für jeden Kauf erneut einzugeben, was nachweislich die Warenkorbabbrüche reduziert und einen höheren Customer Lifetime Value durch vereinfachte Verlängerungen unterstützt.
Anwendungsfälle
Abonnement- und wiederkehrende Abrechnung
SaaS-Anbieter und Abonnementdienste verwenden Token, um geplante, vom Händler initiierte Transaktionen einzuleiten. Dies gewährleistet die Kontinuität der Zahlungen, ohne dass sensible PANs auf ihren eigenen Servern gespeichert werden müssen, was automatisierte monatliche Abrechnungszyklen ermöglicht.
One-Click-E-Commerce-Checkout
Einzelhändler speichern Token, um wiederkehrenden Kunden einen schnellen Abschluss von Einkäufen zu ermöglichen. Durch die Referenzierung einer zuvor verwendeten Karte über ihr Token umfasst der Checkout-Prozess weniger Felder, was die Reibungsverluste auf mobilen und Desktop-Plattformen gleichermaßen reduziert.
Omnichannel-Einzelhandelsumgebungen
Händler, die sowohl physische als auch Online-Shops betreiben, nutzen die Tokenisierung, um das Kundenverhalten über alle Kanäle hinweg zu verfolgen. Ein einziges Token kann eine Kundenidentität darstellen und ermöglicht einheitliche Rückerstattungen und die Integration von Treueprogrammen, unabhängig vom Verkaufsort.
Abwicklung von Marktplatzzahlungen
Plattformen, die Zahlungen zwischen Käufern und Verkäufern erleichtern, verwenden Token, um komplexe Geldströme zu verwalten. Dies ermöglicht es der Plattform, Zahlungsdaten für den Käufer zu speichern und Auszahlungen an mehrere Verkäufer zu autorisieren, ohne jemals rohe PAN-Daten preiszugeben.
In Zahlen
Typische Reduzierung der Anzahl der Sicherheitskontrollen, die ein Händler verwalten muss, wenn er eine Tresor-basierte Tokenisierungsstrategie im Vergleich zur Speicherung roher PAN-Daten anwendet.
Beobachtete Branchenbereiche für Autorisierungsverbesserungen bei Verwendung von Netzwerktokens, da Issuer diesen gesicherten Anmeldeinformationen oft ein höheres Vertrauen entgegenbringen.
Die relativen finanziellen Auswirkungen einer Datenbankverletzung, wenn nur Token offengelegt werden, da das Fehlen nutzbarer Kartendaten direkte betrügerische Verluste und damit verbundene Haftung verhindert.
Verwandte Begriffe
Talk to our team about a live rollout on your acquiring stack.
Was Sie erhalten mit Tokinisierte Zahlungen
- Minimieren Sie den PCI-DSS-Prüfungsbereich, indem Sie sensible Kartendaten aus internen Händlerumgebungen entfernen.
- Eliminieren Sie die Anforderung, sechzehnstellige Primärkontonummern innerhalb lokaler Datenbankstrukturen zu speichern.
- Erleichtern Sie vom Händler initiierte Transaktionen für automatisierte Abonnementverlängerungen und wiederkehrende Abrechnungszykln.
- Unterstützen Sie One-Click-Checkout-Erlebnisse für wiederkehrende Kunden, um die Zahlungsreibung beim Checkout zu reduzieren.
- Schützen Sie vor betrügerischer Nutzung gestohlener Daten, indem Sie händlerspezifische, nicht umkehrbare digitale Token verwenden.
- Ermöglichen Sie die Integration von Kontenaktualisierungen, um gültige Zahlungsdaten ohne manuelle Kundeninteraktion aufrechtzuerhalten.
- Bieten Sie eine sichere Methode zur Verarbeitung von Rückerstattungen und Teilbuchungen unter Verwendung historischer Token-Referenzen.
- Sichern Sie Kunden-Zahlungsprofile für die Verwendung auf mehreren Plattformen und verschiedenen digitalen Vertriebskanälen.
- Behalten Sie hohe Autorisierungsraten bei, indem Sie sicherstellen, dass Token mit den zugrunde liegenden Issuer-Daten synchronisiert bleiben.
- Reduzieren Sie das Risiko hoher Bußgelder und Reputationsschäden, die aus potenziellen Datenlecks resultieren.
A short scoping call, then a written plan for your MIDs.
Fragen zu Tokinisierte Zahlungen
Wie unterscheidet sich die Tockifizierung von der Standard-Datenverschlüsselung?
Verschlüsselung verwendet einen Algorithmus, um Kartendaten in verschlüsselten Text umzuwandeln, der theoretisch entschlüsselt werden kann, wenn der Schlüssel gestohlen wird. Tockifizierung ersetzt die Daten vollständig durch eine zufällige Kennung, die keine mathematische Beziehung zum Original hat.
Ein Token kann nicht rückgängig gemacht werden. Es kann nur vom autorisierten Vault-Anbieter auf die Originaldaten zurückgeführt werden.
Dies macht die Tockifizierung im Allgemeinen sicherer für die Händlerspeicherung, da die interne Umgebung niemals die Entschlüsselungsschlüssel oder die Rohdaten selbst enthält.
Kann ein Token von einem anderen Händler verwendet werden, wenn es gestohlen wird?
Typischerweise nicht. Die meisten Zahlungs-Token sind händlerspezifisch.
Wenn ein PSP oder Gateway ein Token ausgibt, ist es kryptografisch mit einer spezifischen Händler-ID (MID) verknüpft. Wenn dieses Token abgefangen und von einem anderen Händler oder einer anderen Entität präsentiert wird, lehnt der Vault oder das Gateway die Transaktion ab.
Diese eingeschränkte Nützlichkeit ist ein Hauptgrund, warum die Tokenisierung der Verschlüsselung zur Sicherung gespeicherter Anmeldeinformationen in einem verteilten Handelsökosystem vorgezogen wird.
Wie wirkt sich die Tockifizierung auf meine PCI-DSS-Compliance-Anforderungen aus?
Die Tockifizierung reduziert die Anzahl der Sicherheitskontrollen, die ein Unternehmen implementieren muss, erheblich. Indem sichergestellt wird, dass keine Rohkartendaten das Netzwerk des Händlers berühren, kann das Unternehmen sich für einen vereinfachten Selbstbewertungsfragebogen, wie SAQ A oder SAQ A-EP, qualifizieren.
Diese Versionen haben weitaus weniger Anforderungen als der vollständige SAQ D, der für Unternehmen obligatorisch ist, die rohe Primärkontonummern speichern, verarbeiten oder übertragen, was zu geringeren Kosten und selteneren technischen Audits führt.
Beeinflusst die Verwendung von Token meine Transaktionsautorisierungsraten?
In den meisten Fällen hat die Tockifizierung einen neutralen oder positiven Effekt auf die Autorisierungsraten. Bei Verwendung von Netzwerktokens, die von den Kartensystemen wie Visa oder Mastercard ausgegeben werden, sehen die Issuer, dass die Transaktion durch ein sicheres Authentifizierungszeichen abgesichert ist.
Dies führt oft zu höheren Vertrauenswerten und weniger Fehlablehnungen im Vergleich zu herkömmlichen PANs, die markiert werden können, wenn die gespeicherten Daten veraltet sind oder wenn die Transaktion verdächtig erscheint.
Ist ein Token dasselbe wie ein digitales Wallet-Token wie Apple Pay?
Obwohl beide das Konzept der Tokenisierung nutzen, dienen sie unterschiedlichen Zwecken. Digitale Wallets verwenden Netzwerktokens, die auf einem Gerät gespeichert sind und gerätespezifisch sind.
Händler-Tokens oder Vault-Tokens werden von einem Gateway oder PSP generiert, um in der Datenbank eines Händlers für wiederkehrende Nutzung gespeichert zu werden.
Beide Methoden zielen darauf ab, die PAN zu schützen, aber der Händler-Token ist für die serverseitige Persistenz konzipiert, während der Wallet-Token für die clientseitige Transaktionssicherheit entwickelt wurde.
Was passiert mit den Tokens, wenn ich meinen Zahlungsdienstleister wechsle?
Dies hängt davon ab, ob Sie einen anbieterspezifischen Tresor oder einen unabhängigen Tresor verwenden. Wenn die Token proprietär für einen einzelnen PSP sind, kann die Migration zu einem neuen Anbieter komplex sein und erfordert einen sicheren Datenexport- und -importprozess.
Die Verwendung eines unabhängigen Tokenisierungsdienstes oder einer Orchestrierungsebene kann eine größere Flexibilität bieten, sodass Sie zwischen verschiedenen Acquirern und Gateways wechseln können, ohne Ihre gesamte Kundendatenbank erneut tokenisieren zu müssen.
Funktioniert die Tokenisierung mit internationalen Zahlungsmethoden und APMs?
Die Tokenisierung wird hauptsächlich für Kredit- und Debitkartensysteme verwendet, aber das Konzept wird zunehmend auf alternative Zahlungsmethoden (APMs) und Open Banking angewendet.
Viele moderne Gateways bieten die Möglichkeit, Lastschriftmandate oder digitale Wallet-Identifikatoren zu tokenisieren, was eine konsistente Verwaltungserfahrung über verschiedene Zahlungsarten innerhalb des Kundenprofilsystems des Händlers ermöglicht.
Ähnliche Funktionen.
Bereit für Geschwindigkeit?
Erzählen Sie uns von Ihrem Unternehmen. Wir vermitteln Ihnen die passenden Acquirer-Partner und den richtigen Weg, normalerweise innerhalb einer Woche.
