Tokenisierung.
REGULATORIK / RAHMENBEDINGUNGEN TOKENISIERUNG
Grundsätzlich muss jede Art der Verschlüsselung dem Schutzbedarf der Daten bei Speicherung und Übertragung gerecht werden.[1] Der Regulator achtet im Kartengeschäft insbesondere auf die Sicherheit im Zahlungsverkehr und der Stärkung des Verbraucherschutzes. Diese wurden in den letzten Jahren vor allem durch die Umsetzung der PSD2-Vorgaben und der sicheren Kundenauthentifizierung weiter gestärkt.
Ebenso kann sich ein technischer Regulierungsbedarf zur Sicherung der Interoperabilität oder zur Einhaltung eines Mindestsicherheitsstandards ergeben. Dies ist bei der Tokenisierung von Kartennummern der Fall, die allgemeingültig für alle beteiligten Schemes durch den PCI-Standard geregelt ist.[2]
Regulierungen für Gesamtlösungen inklusiv einer Tokenisierung (z. B. Tokens mit Update-Funktion) erfolgen durch den entsprechenden Lösungsanbieter. Dies kann ein Zahlungssystem oder eine übergeordnete Spezifizierungsinstitution wie z. B. EMVCo sein.[3]
TECHNIK / FUNKTIONEN DER TOKENISIERUNG
Die Generierung eines Tokens kann grundsätzlich auf drei Arten erfolgen:
- Anwendung einer mathematisch reversiblen kryptografischen Funktion auf die zu schützende (Karten- oder Konto-)Nummer
- Nicht-reversible Verschlüsselung (z. B. Hash Funktionen)
- Der zu schützenden Nummer wird ein Token aus einem Token-Bestand zugewiesen
Eine Echtheitsprüfung kryptographisch generierter Tokens kann, je nach Verschlüsselungsmechanismus, auch durch Stellen erfolgen, die nicht auf die ursprüngliche Nummer zurückrechnen können. Dies erlaubt unterschiedlichste Rollenmodelle für die Parteien, die einen Token nutzen.
Reversible Tokens haben den Vorteil, dass sie durch eine berechtigte Stelle jederzeit in die ursprüngliche Nummer zurückgerechnet werden können. So kann bspw. der Payee für Folgetransaktionen den gleichen Token nutzen, ohne die Nummer zu speichern. Im Falle eines Geldwäscheverdachtes kann aber der PSP des Payers für entsprechende Ermittlungen die Nummer ermitteln. Ebenso bei der Untersuchung eines Betrugsfalles.
Tokens können bei einem Payee für mehrere regelmäßig (Abos) oder unregelmäßig (z. B. Reisestellenkarten) wiederkehrende Zahlungen hinterlegt werden. Technisch werden dabei unterschiedliche, payee-bezogene Tokens generiert, um die Tokens auch im digitalen Einsatz zu entkoppeln.
Zentraler Tokenservice
USER EXPERIENCE MIT TOKENISIERUNG
Die UX variiert stark in Abhängigkeit des Einsatzgebietes der Tokenisierung. Im Allgemeinen stellt es sich für den Payer bei der Bezahlung so dar, dass er entweder Karten-/Kontodaten oder einen Token, den er von seinem PSP erhalten hat, weitergibt. Der Token beinhaltet dann ggf. bereits zusätzliche Daten, wie ein Verfallsdatum. Durch Hinterlegung des Tokens in einer Payment Wallet kann die Handhabung/UX weiter vereinfacht werden. Der Payer muss dann die meist lange Karten- oder Kontonummer nur noch einmalig bei Registrierung hinterlegen um sie zukünftig automatisiert zu nutzen.
Diese Vereinfachung wäre aber prinzipiell auch ohne Tokenisierung zu erreichen, ist jedoch mit einem deutlich höheren Datensicherheitsrisiko verbunden. Die UX des Payees hängt davon ab, ob er einen vom Payer übertragenen Token lediglich handhaben muss oder ob er selbst übertragene Karten-/ Kontodaten tokenisiert.
Für die Tokenisierung von Daten im Payee-Umfeld sind entsprechende Standardlösungen beziehbar. Der Installationsaufwand wird durch die höhere Sicherheit bei der Datenhaltung kompensiert. Z. B. gelten für die Speicherung nicht tokenisierter Kartendaten die strengen PCI-Vorschriften mit verpflichtenden Revisionsprüfungen.
STRATEGISCHES POTENZIAL DER TOKENISIERUNG FÜR KARTENZAHLUNGEN
Tokenisierung wird als Schlüsseltechnologie angesehen, um die mehr oder weniger offenen Zahlungssysteme sicher in das digitale Zeitalter zu überführen.
Manche Zahlungsverfahren, insbesondere Kryptowährungen, werden durch Tokenisierung überhaupt erst ermöglicht. Andere, z. B. Kartenzahlungen, funktionieren prinzipiell ohne Tokenisierung – auch im Internet. Die Tokenisierung erhöht jedoch spürbar das Sicherheitsniveau. Sie verringert das Risiko millionenfacher Rückbuchungen betrügerischer Transaktionen und den Austausch zahlreicher, kompromittierter Karten. Damit leistet Tokenisierung einen Beitrag zur wirtschaftlichen Abwicklung von Internetzahlungen über Karten und Konten.
In Kombination mit Update-Funktionen ermöglicht Tokenisierung die dauerhafte Hinterlegung von Karten für Abonnements, wie z. B. für Streaming-Dienste. Bei Verfall der Karte kann so das Abo weiterlaufen. Der Verlust des Plastiks in der echten Welt oder die Kompromittierung der Kartendaten im digitalen Umfeld haben durch Tokenisierung keine Auswirkung mehr auf den jeweils anderen Einsatzbereich.
Während Kryptowährungen und die Tokenisierung von Kartendaten bereits im ausgereiften Stadium ein starkes Wachstum im Einsatz erleben, sind in andere Felder der Tokenisierung erst angedacht oder im Erprobungsstadium. Insbesondere der Bereich der Kryptozahlungen ist hier noch sehr dynamisch.
Zurück zum Thema Karte.