Mit Scheme Token zieht eine neue Sicherheitstechnologie in die Kartenzahlung ein und bringt Stichworte wie Lifecycle Management, Kryptogramm oder Domain Control mit. Was verändert sich durch Scheme Token für die Acquirer und Issuer?
Tokenisierung trägt schon seit den frühen 2000er-Jahren zur Sicherheit von Kartenzahlungen im Onlinehandel bei. Doch mit der noch recht neuen Scheme Token-Technologie, die die großen Kartengesellschaften von ihrem Dienstleister EMVCo entwickeln ließen, machen Sicherheit und Komfort beim Bezahlen einen großen Schritt nach vorne.
Token – heute mehr als eine Zahlenfolge
Der Ursprungsgedanke des Token liegt darin, Händlern, die keine echten Kreditkartennummern (Primary Account Number, PAN) speichern wollen oder dürfen, eine Ersatzzahl zur Verfügung zu stellen. Genauso lang wie die PAN, doch als reale Kartennummer unbrauchbar, kann der Token im Kundenkonto des Händlers gespeichert werden. Wird er gestohlen, ist er für Datendiebe nutzlos. Im Gegensatz zur Verschlüsselung wird bei seiner Erzeugung kein bestimmtes Schema angewandt, eine Rückrechnung ist somit ausgeschlossen.
Die neuen Scheme Token sind deutlich vielseitiger. Sie stehen nicht nur für die PAN, sondern enthalten auch das Ablaufdatum der Karte, den Namen des Karteninhabers sowie die Card Art, also die Grafik auf der Kartenvorderseite. Außerdem können sie einen begrenzten Anwendungsbereich haben, also nur für Anfragen bestimmter Domains zugelassen (Domain Control) oder an bestimmte Geräte gebunden sein.
Nachfrage und Angebot
Damit Token im Zahlungsprozess entstehen, muss zunächst einmal jemand nach ihnen fragen. Häufig ist dieser Token Requestor ein Händler, bei dem eine Kundin oder ein Kunde zum ersten Mal mit Karte bezahlt. Im Fall der bisherigen Gateway Token wird der Payment Service Provider (PSP) des Händlers zum Token Service Provider und stellt die Ersatznummer zur Verfügung. Diese Rolle nehmen beim Scheme Token künftig die Kartengesellschaften selbst ein, auf Basis der gemeinsamen EMVCo-Technologie, doch je Kartenmarke individuell. In der Praxis werden jedoch große PSPs wie Computop im Auftrag von Visa oder Mastercard deren Token erzeugen. Händler sollten darauf achten, dass ihr PSP zum Kreis der zertifizierten Token Service Provider (TSP) gehört, um höhere Servicegebühren zu vermeiden. In jedem Fall erfolgt im Zuge der Tokenerstellung auch eine Anfrage an den Issuer.
Händler können nun entscheiden, ob sie das Token an ihre Domain knüpfen wollen, oder auch an das Endgerät, mit dem gerade eingekauft wurde. Das Token kann für die Wiederverwendung im Kundenkonto gespeichert werden (Credential on File, COF), so dass beim nächsten Einkauf über die Geräteerkennung bereits die richtige Karte vorgeblendet werden kann. Anders als beim Gateway Token werden die Originaldaten jedoch immer im Token Vault, dem virtuellen Tresor der jeweiligen Kartengesellschaft, gespeichert.
Scheme Token sind Smart Token
Diese zentrale Datenspeicherung nimmt die Acquirer aus der Verarbeitung von echten Kartennummern heraus. Auch sie erhalten das Scheme Token im Zahlungsfluss, die Auflösung des Tokens in die PAN und andere Echtdaten erfolgt erst zwischen Kartengesellschaft und Issuerbank, die die PAN in ihrer Rolle als Herausgeberin der Karte ohnehin hat.
Die zentrale Position des Token Vault ermöglicht auch den zusätzlichen Komfort, den das neue Verfahren für die Kundinnen und Kunden mit sich bringt. Denn jede Veränderung der Karten-Parameter kann jetzt zentral vollzogen und an die Beteiligten ausgespielt werden. Ändert sich das Ablaufdatum oder wird eine neue Karte mit geänderter Grafik ausgeliefert, so wird die Änderung im Token vermerkt und bei den Token Requestors aktualisiert, so dass ein Kunde der Grafik seiner neuen Karte schon beim ersten Online-Einkauf nach Änderung begegnet. Dies erfordert neue Prozesse für die Issuer. Auch können künftig Deaktivierungen oder Pausierungen von Karten über die Scheme Token ausgeführt werden, so dass gesperrte Karten nicht erst bei der Autorisierung abgelehnt werden, sondern bereits im Kundenkonto des Händlers nicht mehr zur Verfügung stehen. Im Idealfall lässt sich auf diesem Weg ein Lifecycle Management jeder Karte, ja letztlich der Kundenbeziehung abbilden.
Weniger Risiko, bessere Authentifizierung
Diese verbesserte Sicherheitstechnologie wirkt sich auch auf das Risikomanagement beim Issuer aus. Zahlungen, die über die besonders sicheren Scheme Token ausgelöst werden, verdienen sich einen Sicherheitsbonus in der Risikobewertung. Denn die gesamten Kartendaten sind über ein Kryptogramm gesichert, das vor der Autorisierungsanfrage angefordert und extra für die einzelne Transaktion erzeugt wird. Mit Session-ID-Ablaufzeit und Verschlüsselung gesichert, kann es nicht manipuliert werden.
Da bereits beim ersten Token Request verschiedene Daten zum Karteninhaber, zur Transaktion und zum Kundenkonto übermittelt werden, ist die Wahrscheinlichkeit einer erfolgreichen Authentifizierung bei den Folgekäufen ebenfalls höher. Gut für die Konversionsrate im Handel!
Mit den Scheme Token zieht ein neues Sicherheitsmerkmal in die Abwicklung der Online-Kartenzahlung ein (übrigens nicht nur dort, denn Token werden auch in Wallets am POS verwendet). Während die Acquirer entlastet werden, kommen auf die kartenherausgebenden Banken neue Prozesse zu – deren Einrichtung jedoch mit einem geringeren Haftungsrisiko belohnt wird.