Tokenization
Payment glossary
Tokenization
Als Tokenization wird ein Verschlüsselungsprozess bezeichnet, der Zahlungen per Kreditkarte noch besser absichern soll.
Wie ist der Ablauf einer Tokenization?
Bei einer Tokenization werden die sensiblen Daten bei einer Kreditkartenzahlung durch Referenzwerte ersetzt. Diese Referenzwerte werden Token genannt. Solche Token, die aus alphanumerischen Codes bestehen, sind uneingeschränkt von Anwendungen und Systemen nutzbar, während die ursprünglichen Daten, wie z.B. eine Kreditkartennummer, PCI-DSS-konform (Payment Card Industry Data Security Standard) in einem sogenannten Datentresor gespeichert werden. Der Zahlungsempfänger, beispielsweise ein Online-Händler, muss die Kreditkartendaten für die Verarbeitung einer Transaktion nicht selbst (zwischen-) speichern.
Die Kreditkartendaten werden bei diesem Vorgang zuerst an einen externen Tokenization-Server gesendet und von diesem verschlüsselt als Token weitergeleitet. Ein weiterer Server, der Token-Server, fungiert als Datentresor.
Was ist der Sinn einer Tokenization?
Die Tokenization ersetzt sozusagen die Kreditkartendaten mit den oben beschriebenen Referenzwerten und sorgt somit dafür, dass keinerlei solcher Daten in den Systemen eines Händlers gespeichert werden. Dieser Vorgang ist zum einen “PCI-DSS compliant“, zum anderen wird das ungewollte Ausspähen der Daten von unberechtigten Dritten für einen eventuellen Missbrauch massiv erschwert.
Wann wird eine Tokenization eingesetzt?
Grundsätzlich sollte bei jeder Zahlung mit einer Kreditkarte die Tokenization durchgeführt werden. Unabhängig davon, ob ein Kauf online oder offline stattfindet.
Die Tokenization bietet dem Händler den Vorteil, dass er eine sogenannte verminderte Verantwortung für die Kreditkartendaten seiner Kunden trägt und er zusätzlich nach der PCI-DSS-Richtlinie handelt. Dieses ist direkt mit eigener Zertifizierung möglich oder indirekt über einen Paymentservice-Provider.
Für den Kreditkarteninhaber ist eine weitere Absicherung seiner Zahlung immer ein Vorteil.