2021 bringen Visa, Mastercard, AMEX & Co. die Scheme Token-Technologie für E-Commerce-Kartenzahlungen auf den europäischen Markt. Als zertifizierter Scheme Token Service Provider erklärt Ihnen Computop die Funktionsweise und die Vorteile des Verfahrens.

  • Mehr Convenience beim Bezahlen per Kreditkarte im Internet
  • Höhere Conversion Rates dank Scheme Tokens
  • Mehr Sicherheit für Händler und Kunden

(Hier geht es zu Teil 1 der Artikelreihe: Tokenisierung von Kartenzahlungen im E-Commerce und in Mobile Wallets

Auf einen Blick: Was sind Scheme Tokens?

Scheme Tokens (auch Network Tokens) werden zur Abwicklung von Kartenzahlungen im E-Commerce und in Mobile Wallets wie Google Pay und Apple Pay genutzt (und können somit auch am Point of Sale zum Einsatz kommen). Die Kartengesellschaft (Scheme) übernimmt hierbei die Rolle des Token Services und das Management des Token-Systems. Auf diese Weise kann eine End-to-End-Tokenisierung des Zahlungsflusses vom Händler bis zum zuständigen Scheme gewährleistet werden.

Ähnlich wie das Kreditkarten-Wallet Click to Pay (siehe hier) beruht auch die Scheme Token-Technologie auf einem einheitlichen technischen Regelwerk, das von EMVCo definiert wurde, dem internationalen Verband der 6 führenden Kreditkartengesellschaften Visa, Mastercard, American Express, Discover, JCB und China Union Pay.

Die Entwicklung des Scheme Token-Konzeptes hat zum Ziel, Onlinezahlungen per Kredit- und Debitkarte für Konsumenten noch sicherer und einfacher zu gestalten und dabei gleichzeitig hohe Autorisierungsraten wie im stationären Handel zu erzielen. Zu diesem Zweck sollen künftig die Karten-Klardaten von Käufern – wie z. B. die Kartennummer (PAN) – so weit wie möglich aus dem Online-Zahlungsfluss herausgehalten werden. An die Stelle der physischen Karte tritt der Scheme Token (teilweise auch als Network Token bezeichnet), der im Vergleich zu bereits etablierten Gateway-Token-Systemen mit einer Reihe zusätzlicher Vorteile aufwarten kann (siehe unten).

Einsatz von Scheme Tokens im Onlinehandel

So wie die von Payment Service Providern bereitgestellten Gateway Tokens lösen auch Scheme Tokens ein zentrales Problem für Onlinehändler, die Kredit- und Debitkarten in ihrem Shop akzeptieren: Die Speicherung von Kartendaten in den eigenen Systemen.

Denn Kartendaten dürfen im Shop-Backend nur mit einer gültigen, vollumfänglichen PCI DSS Zertifizierung gespeichert werden. Das Erlangen eines solchen Zertifikates ist für den Händler mit erheblichen Aufwänden und zusätzlichen Investitionen verbunden.

Mit dem Einsatz von Scheme Tokens entfällt diese Anforderung: Das Zahlungsmittel „Kredit- oder Debitkarte“ kann als Token im Kundenkonto (und damit im eigenen Shop-Backend) hinterlegt werden. Wiederkehrende Kunden müssen ihre Zahlungsdaten bei Anschlusskäufen so nicht erneut eingeben. Diese technische Möglichkeit wird im Payment-Umfeld auch als Credential on File (COF) bezeichnet.

Die folgenden Ausführungen beziehen sich auf den Einsatz von Scheme Tokens im E-Commerce (Onlineshops bzw. Shopping Apps). Eine Beschreibung von Scheme Tokens in Mobile Wallet-Systemen, sowie Erläuterungen zur grundlegenden Funktionsweise und den allgemeinen Vorteilen von Tokenisierung finden sich in Teil 1 dieser Artikelreihe.

Architektur eines Scheme Token Services

Zwar hat EMVCo für seine assoziierten Kartengesellschaften (Schemes) einen einheitlichen technischen Standard zur Umsetzung festgelegt – jedoch ist Scheme Tokenisierung kein zentral organisiertes System: Jedes Scheme betreibt seinen eigenen Scheme Token Service, der situationsabhängig zum Einsatz kommt, je nachdem, welche Kartenmarke (z.B. Visa oder Mastercard) der Kunde zum Bezahlen verwendet (siehe Abbildung 1).

Architektur Scheme Token-System
  • Im Gegensatz zu anderen Token-Systemen (wie z.B. Gateway-Token-Systeme, siehe hier) befindet sich der Token Service – und damit die zentrale Steuerungseinheit des Systems inklusive Token Vault – immer im Besitz der jeweiligen Schemes. Der Scheme Token Service verantwortet die Erstellung und Verwaltung der Tokens und nimmt bei den Transaktionen das Matching von Token und den zugehörigen Kartendaten vor.
  • Der Token Requestor bezeichnet den Onlineshop bzw. die Shopping App des Händlers, die den Token als Ersatz für die vom Kunden verwendete Karte anfordert. Findet der Token in einem Mobile Wallet-System Anwendung, ist der Token Requestor der Betreiber des Wallets. In bestimmten Fällen kann auch der Payment Service Provider des Händlers die Rolle des Token Requestors einnehmen (siehe Kapitel zu den Implementierungs-möglichkeiten).
  • Die Token Service Provider (TSP) bilden die Schnittstelle zwischen dem a) Scheme Token Service und dem Token Requestor sowie zwischen dem b) Scheme Token Service und der Issuer-Bank. Zu ihren Aufgaben gehört die initiale Anbindung des Händlers und der Issuer-Banken an das Scheme Token-System, die Übermittlung von Tokens sowie das sogenannte Lifecycle- und Card Art Management (siehe Kapitel „Vorteile“). Die Rolle des Token Service Providers wird nicht von der Kartengesellschaft selbst, sondern von zertifizierten Dritt-Parteien ausgeübt. Der für den Händler (also den Token Requestor) zuständige TSP ist in der Regel auch der Payment Service Provider des Händlers.

Ablauf einer Scheme Token-Zahlung

Wie wird ein Scheme Token erstellt?

Kauft ein Kunde zum ersten Mal in einem Shop und legt gleichzeitig ein Kundenkonto an, gibt er seine Kartendaten über eine in den Checkout- bzw. Registrierungsprozess eingebundene Payment Page an den Payment Service Provider (PSP) des Händlers weiter.

Um den Token anzufordern, leitet der PSP die Kartendaten gleichzeitig an den entsprechenden Scheme Token Service (z.B. den Visa Token Service im Fall einer Visa Karte) weiter. Der Token Service informiert die zuständige kartenausgebende Bank (Issuer) über die Token-Anfrage und ersetzt, nachdem der Issuer seine Zustimmung erteilt hat, die Kartendaten durch einen Token. Anschließend erhält der Token Requestor den Token, um ihn im Kundenkonto des Karteninhabers zu hinterlegen.

Erstellung eines Scheme Tokens im Credential on File-Modus (COF)

Wie wird der Erstkauf abgewickelt?

Der PSP leitet zunächst die Kartendaten an den Händler-Acquirer weiter, um den Erstkauf über das reguläre Abwicklungsverfahren für Online-Kartenzahlungen (ohne Tokenisierung) abzuschließen. Der Grund hierfür ist, dass die Beantragung, Erstellung und Speicherung eines Tokens in Verbindung mit einer laufenden Transaktion (Tokenization during Transacting) die Zahlung minimal verlangsamt – und so zu einer nachteiligen User Experience führen kann.

Wie kommt der Scheme Token bei Folgekäufen zum Einsatz?

Sobald der Scheme Token im Kundenkonto des Käufers gespeichert ist, kann er für Folgekäufe und Abonnement-Zahlungen verwendet werden. Hierzu ist erforderlich, dass sich der Käufer in seinem Kundenkonto beim betreffenden Shop anmeldet.

Der Fluss der Zahlungsdaten und Autorisierungsbenachrichtigungen wird im nachfolgenden Schaubild dargestellt.

Zahlungsfluss Kartenzahlung unter Verwendung eines Scheme Tokens im Credential on FIle-Modus (COF)

Scheme Tokenization und 3-D Secure 2

Auch Online-Kartenzahlungen, die per Scheme Tokenisierung abgewickelt werden, unterliegen nach wie vor dem 3-D Secure 2-Protokoll. Sobald der Token den Directory Server des Schemes erreicht, wird er an den Scheme Token Service weitergeleitet, welcher die passende PAN ermittelt. Von hier an nimmt das 3DS2-Procedere seinen üblichen Lauf.

Welche Vorteile bieten Scheme Tokens?

Keine PAN im Zahlungsfluss

Da die Rolle des Token Services von der Kartengesellschaft selbst ausgeübt wird, reduzieren Scheme Token-Systeme den Kontakt der Karten-Klardaten mit den am Zahlungsfluss beteiligten Akteuren auf ein Minimum. Im Gegensatz zu Gateway-Token-Systemen gelangt auch der Acquirer lediglich in Kontakt mit dem Token. Die einzigen Kontaktpunkte zur PAN sind damit der Token Service Provider (als Teil des Systems), sowie Scheme und Issuer (welche als Herausgeber der Karte ohnehin im Besitz der PAN sind). Damit wird ein Diebstahl der Klardaten so gut wie unmöglich.

Verlässliche Verifizierung des Karteninhabers

Bereits beim initialen Token Request werden – vergleichbar mit dem 3-D Secure 2-Prozess – diverse Daten zu Karteninhaber, Transaktion und Kundenkonto an den betreffenden Issuer übermittelt. Die Daten stellen die zweifelsfreie Verifizierung des Karteninhabers sicher und ermöglichen eine fundierte Risikoanalyse in Bezug auf die Token-Vergabe.

Smart Token-Prinzip

Bei Scheme Tokens handelt es sich um sogenannte Smart Tokens. Dies bedeutet, dass die Eigenschaften bereits erstellter Tokens auch nachträglich modifiziert werden können, ohne einen neuen Token beantragen und ausstellen zu müssen. Die praktische Umsetzung erfolgt anhand der nachfolgenden technischen Features Lifecycle Management, Card Art, Domain Control und Token-Kryptogramm.

Lifecycle Management

Jedes Scheme Token-System beinhaltet ein sogenanntes „Lifecycle Management“, welches –mithilfe der Token Service Provider – einen Informationsaustausch zwischen Token Requestor (Händler), Token Service und Issuer ermöglicht (siehe Abbildung 1).

So kann zum Beispiel der Händler den Token Service anweisen, einen Token zu pausieren, wieder zu reaktivieren oder ganz zu löschen.

Im Gegenzug können auch Karteninformationen, die von der Issuer-Bank kommen, direkt berücksichtigt werden. Läuft etwa die mit dem Token verbundene Karte ab und wird erneuert, können Ablaufdatum, PAN, Kontaktinformationen zum Karteninhaber etc., direkt im Token Vault des Token Services aktualisiert werden, ohne dass ein neuer Token erstellt werden muss.

Auch wenn der Issuer einen Betrugsverdacht in Zusammenhang mit dem Token oder der Karte selbst feststellt, kann umgehend eine Deaktivierung des Tokens eingeleitet werden.

Scheme Tokens bilden den „Look-and-Feel“ der realen Karte nach

Händler können für einen Token vom betreffenden Token Service die passende „Card Art“ beziehen, d.h. Informationen zum realen optischen Erscheinungsbild der physischen Karte. Der Karteninhaber sieht somit in seinem Kunden-Account ein authentisches Abbild seiner Karte im Design der Issuer-Bank. So entsteht ein höheres Vertrauen in den Zahlungsprozess. Zusätzlich enthält das Abbild den Namen des Karteninhabers sowie die letzten 4 Ziffern der PAN.

Verknüpfung mit spezifischen Domains und Endgeräten

Als wirksamen Schutz gegen Diebstahl und Missbrauch kann der Token Requestor (Händler) den Anwendungsbereich der Scheme Tokens auf konkrete Shop-Domains oder auf einzelne Endgeräte des Karteninhabers begrenzen. Bei der Anforderung des Tokens muss der Händler hierzu die nötigen Daten wie Domain-Adresse, Geräte-ID und Geräte-Eigenschaften an den Scheme Token Service übergeben.

Das Kryptogramm: Validierung für spezifische Transaktionen

Als zusätzlicher Schutz gegen Betrug lässt sich die Token-Gültigkeit auch auf einzelne Transaktionen beschränken, ohne dass nach der erfolgten Transaktion ein neuer Token angefordert und erstellt werden muss.

Vor der eigentlichen Autorisierungsanfrage für eine Token-Transaktion fragt der Händler hierzu vom Token Service zunächst ein Kryptogramm an, welches die für die aktuelle Transaktion definierten Attribute enthält, wie zum Beispiel eine individuelle Session-ID oder eine spezifische Gültigkeitsdauer. Das Kryptogramm selbst ist verschlüsselt und kann nur von dem Token Service und dem zuständigen Issuer gelesen werden. Allen anderen Akteuren ist es hingegen nicht möglich, das Kryptogramm zu manipulieren.

Nachdem der Shop des Händlers das neue Kryptogramm erhalten hat, gibt er es zusammen mit dem eigentlichen Token in den Zahlungsfluss, von wo aus es seinen Weg zurück zu Token Service und Issuer findet. Mit der Prüfung des Kryptogramms können Token Service und Issuer sichergehen, dass die Autorisierungsanfrage tatsächlich vom betreffenden Shop kam und nicht im Zuge einer „Replay Attacke“, basierend auf einem gestohlenen Token und einem „gebrauchten“ Kryptogramm, ausgelöst wurde.

Wie komme ich als Händler an Scheme Tokens?

Alle notwendigen Schritte zur Implementierung erfolgen über den vom Händler genutzten Payment Service Provider (PSP). Händler müssen sich daher bei ihrem PSP erkundigen, ob dieser die Technologie unterstützt. Folgende Punkte sind zu beachten:

  • Der PSP sollte nach Möglichkeit selbst ein zugelassener Token Service Provider (TSP) sein und keinen Drittanbieter als Token Service Provider nutzen. Eine vom PSP zugekaufte Lösung führt zwar zu keinen Nachteilen in puncto Sicherheit und Leistungsfähigkeit. Jedoch kann die Involvierung eines zusätzlichen Technologieanbieters zu erhöhtem Integrationsaufwand führen. Zudem muss die Leistung vom PSP selbst „eingekauft“ werden, was am Ende oft zu erhöhten Servicegebühren führt.
  • Eine TSP-Zulassung bezieht sich immer nur auf einen spezifischen Scheme Token Service. Ist zum Beispiel ein PSP (in seiner Funktion als TSP) nur für den Visa Scheme Token Service zertifiziert, kann der Händler nur Scheme Tokens für Visa-Karten beziehen. Aus diesem Grund sollte der Händler sicherstellen, dass der Payment Service Provider passende TSP-Zertifizierungen für all jene Schemes besitzt, deren Karten im Onlineshop auch akzeptiert werden.

Ich nutze als Händler bereits Gateway Tokens. Welche Möglichkeiten habe ich?

Das nachfolgende Schaubild enthält eine Übersicht aller Optionen, die Händlern bei der Verwendung von Tokens für COF-Kartenzahlungen zur Verfügung stehen.

Möglichkeiten der Implementierung von Tokens im Credential on FIle-Modus (COF)

Die Einführung und flächendeckende Durchsetzung der Scheme Token-Technologie in Europa ist zentraler Bestandteil der E-Commerce-Agenda der EMVCo-Kartengesellschaften. Vor diesem Hintergrund ist es nur eine Frage der Zeit, bis jeder große Payment Service Provider entweder selbst zum Token Service Provider wird oder die Leistung über einen Technologiepartner zur Verfügung stellt. Die klassische COF-Umsetzung unter ausschließlicher Verwendung von Gateway Tokens wird somit zum Auslaufmodell.

An seine Stelle treten die oben dargestellten Optionen einer hybriden Integration oder die ausschließliche Verwendung von Scheme Tokens über den gesamten Zahlungsfluss. Die meisten Payment Service Provider werden ihren Kunden auf unbestimmte Zeit wohl eine „Hybrid-Lösung“ anbieten und damit die Möglichkeit, die bereits implementierten Gateway Tokens beizubehalten. Für den Händler würde sich hier nichts ändern, da der Kontaktpunkt zum Scheme Token Service ausschließlich beim Payment Service Provider läge, welcher in diesem Fall auch die Rolle des Token Requestors einnähme.

Interesse geweckt?

Sie haben Fragen? Treten Sie mit uns in Kontakt. Unsere Payment-Experten beraten Sie gern unverbindlich zum Einsatz von Scheme Tokens in Ihrem Shop.

Autor