Tokenisierung – mehr Sicherheit im E-Commerce

0

Daten sind heute mehr denn je ein wertvolles Gut. Daher verwundert es auch nicht, dass Cyber-Kriminelle immer wieder versuchen, die sensiblen Kundendaten zu stehlen. Mit der Scheme Token-Technologie, die von EMVCo, dem Dienstleister der großen Kartengesellschaften, entwickelt wurde, können Banken und Händler jetzt noch besser im Umgang mit den Daten geschützt werden.

Die Scheme Token-Technologie, auf dem amerikanischen Markt längst etabliert, wird von den großen Kartengesellschaften nun auch für den europäischen Markt bereitgestellt. Als nach eigenen Angaben erster deutscher Payment Service Provider (PSP) hat Computop die Zertifizierung als Token Service Provider für die beiden Kartengesellschaften Visa und Mastercard erhalten.

Das sogenannte Token ist eine willkürlich erzeugte Zahlenreihe oder Buchstabenkombination, die Kreditkartendaten wie Kartennummer (Primary Account Number – PAN), Ablaufdatum oder Inhabername während des Zahlungsvorganges ersetzt. Mit einem Token ist also keine rechnerische Rückwandlung der Daten möglich. Somit können bei einem Cyber-Angriff nur die für den Kriminellen wertlosen Token gestohlen und aufgrund ihrer zufälligen Zusammenstellung nicht entschlüsselt werden.

Der Prozessablauf

An der Umwandlung der Daten des Käufers in ein Token und dem anschließenden Zahlungsprozess sind verschiedene Akteure beteiligt. Die Token selbst werden von einem Token Service Provider generiert und verteilt.

Die Speicherung der Nutzerdaten beim Händler, die auch Credential on File (COF) genannt wird, kann entweder über den PSP (COF via Gateway Tokens) oder mittels der Kartengesellschaft (COF via Scheme Tokens) erfolgen. Bei der neuen Scheme Token-Technologie nimmt die Kartengesellschaft die Rolle des Token Service Providers ein. Das bedeutet, dass die Scheme Token zwar beim PSP erzeugt und verteilt werden, aber die Klardaten nur noch bei einer Kartengesellschaft (Scheme) wie Visa oder Mastercard und der kartenausgebenden Bank (Issuer) gespeichert sind. Die Payment-Prozesskette wird damit also bis zur Kartengesellschaft vollständig tokenisiert. Bei COF via Gateway Token sind die echten Daten hingegen auch beim PSP hinterlegt.

Zusätzliche Sicherheit bietet beim Scheme Token-Verfahren das Kryptogramm. Bevor der eigentliche Bezahlvorgang über ein Token abläuft, wird hierbei vom Token Service Provider für die Transaktion zuerst ein einmaliges Kryptogramm erzeugt. Issuer und Token Service Provider können so vor der Autorisierung der Zahlung sicherstellen, dass weder ein gestohlenes Token noch ein gebrauchtes Kryptogramm im Rahmen einer Replay-Attacke genutzt werden.

Die Implementierung der Scheme Token-Technologie in einen Onlineshop erfolgt entweder über einen PSP, der als zugelassener Token Service Provider die Token selbst erzeugt und verteilt oder über einen Zahlungsdienstleiser, der die Token von einem anderen PSP bezieht und sie anschließend lediglich weiterleitet. Letzteres kann aufgrund des benötigten Zwischenschrittes zu höheren Servicegebühren führen.

Auch bei der Erstregistrierung einer Kreditkarte in einem Onlineshop kann der PSP eine entscheidende Rolle spielen: Wenn ein Kunde zum ersten Mal in einem Onlineshop einkauft und seine Karte noch nicht bei einem Token Service Provider registriert ist, unterstützt der PSP des Händlers im Hintergrund den Registrierungsprozess. Damit die Kartendaten im Anschluss in ein Token umgewandelt werden können, sendet der PSP die Klardaten an den zu der Karte gehörenden Scheme Token Service. Im nächsten Schritt informiert die Kartengesellschaft den Issuer über die Anfrage. Sobald dieser seine Einwilligung gegeben hat, werden die Daten ersetzt. Zuletzt kann das Token anstelle der Klardaten im Kundenkonto hinterlegt werden.

Die Vorteile der Scheme Token-Technologie 

Die Scheme Token-Technologie hat – neben dem Sicherheitsaspekt für den Kunden – einen entscheidenden Vorteil für den Händler: Die PCI DSS-Zertifizierung, die benötigt wird, damit Kartendaten im Shop-Backend hinterlegt werden dürfen, entfällt durch den Tokenisierungsprozess. Aufwand und Kosten, die mit einer PCI DSS-Zertifizierung einhergehen, können damit also vermieden werden. Ein weiterer wesentlicher Vorteil der Scheme Token-Technologie ist, dass mittels E-Wallets wie Click to Pay der Bezahlvorgang für den Kunden komfortabler und schneller wird und so zugleich die Zahl der möglichen Kaufabbrüche reduziert wird.

Tokenisierung – besonders die Scheme Token-Technologie – erhöht die Sicherheit im E-Commerce durch das Umwandeln sensibler Kundendaten in Token und den damit verbundenen Prozessablauf also deutlich. Außerdem ermöglichen sie Wallets wie Click to Pay und machen damit den Checkout so komfortabel und schnell wie möglich.