Reibungsloses Bezahlen ist kein Unterscheidungsmerkmal mehr. Es ist die Basis, die die Kunden erwarten, und in dem Moment, in dem ein Checkout zu viel verlangt, sinkt die Konversion. Die Tokenisierung ist der Mechanismus, mit dem Sie diese Reibung beseitigen können, ohne die Sicherheit zu schwächen, und wenn sie gut gemacht ist, kann sie mehr als nur Daten schützen. Es erhöht die Genehmigungsraten, reduziert die Zahl der fehlgeschlagenen Zahlungen und verkleinert Ihren PCI-Fußabdruck. Wenn es schlecht gemacht wird, werden Sie stillschweigend an Ihren aktuellen PSP gebunden.
Bei der Tokenisierung wird die Kartennummer eines Kunden, die Primary Account Number oder PAN, durch einen Ersatzwert ersetzt, der keine ausnutzbare Bedeutung hat. Die echten Kartendaten werden in einem sicheren Tresor aufbewahrt, niemals in Ihrer Umgebung. Für Online- und mobile Zahlungen ist der Ablauf ganz einfach:
- Der Kunde gibt seine Kartendaten an der Kasse ein.
- Ein Token wird vom Token-Dienst angefordert.
- Die Anfrage wird mit der ausstellenden Bank abgeglichen.
- Sobald die PAN genehmigt ist, wird sie durch einen Token ersetzt.
- Der Token wird verwendet, um diese und alle zukünftigen Transaktionen abzuschließen.
Von diesem Zeitpunkt an kann der Kunde wieder bezahlen, ohne etwas erneut eingeben zu müssen. Das ist das Null-Klick-Ergebnis und macht gespeicherte Anmeldedaten, Nachbestellungen mit einem Klick und Click to Pay möglich.
Tokenisierung ist keine Verschlüsselung
Diese beiden Begriffe werden oft verwechselt. Bei der Verschlüsselung werden Daten mit einem Algorithmus verschlüsselt, was bedeutet, dass sie mit dem richtigen Schlüssel rückgängig gemacht werden können. Bei der Tokenisierung wird nichts verschlüsselt. Sie tauscht den sensiblen Wert gegen einen nicht verwandten Platzhalter aus, und die ursprünglichen Daten sind im Token einfach nicht vorhanden. Es gibt keinen Algorithmus zu knacken, weil es keine mathematische Beziehung gibt, die umgekehrt werden kann.
Die praktische Konsequenz ist wichtig. Wenn ein Token gestohlen wird, hat der Angreifer etwas Wertloses gestohlen. Er kann nicht wiederverwendet, nicht zurückverwandelt und außerhalb der sicheren Plattform, die ihn ausgegeben hat, nicht in eine Kartennummer zurückverwandelt werden. Da die echten Kartendaten nie mit Ihren Systemen in Berührung kommen, sinkt Ihr Risiko, in den Geltungsbereich des PCI DSS zu geraten, erheblich, was sich direkt in geringeren Kosten und geringerem Aufwand für die Einhaltung der Vorschriften niederschlägt.
Der EMV-Chip in einer physischen Karte ist ein Beispiel für eine Verschlüsselung. Die Tokenisierung ist eine andere Disziplin, die für die „Card-Not-Present“-Welt entwickelt wurde, in der die Karte selbst nie gesehen wird.
Netzwerk-Token verändern die Wirtschaft
Nicht alle Token sind gleich, und hier lassen die meisten Händler ihren Wert auf dem Tisch liegen. Ein Gateway- oder PSP-Token wird von Ihrem Zahlungsanbieter generiert und verwaltet. Er funktioniert, aber er lebt innerhalb seiner Mauern. Ein Netzwerk-Token wird von den Kartensystemen selbst über den Visa Token Service oder den Mastercard Digital Enablement Service ausgestellt und verhält sich in drei kommerziell bedeutsamen Punkten anders.
Erstens werden Netzwerk-Tokens von den Ausstellern als vertrauenswürdiger anerkannt, was die Genehmigungsraten für genau die Transaktionen erhöht, die Sie am liebsten genehmigt haben möchten. Zweitens werden sie automatisch aktualisiert, wenn die Karte eines Kunden neu ausgestellt wird, verloren geht oder abläuft. Das bedeutet weniger abgelehnte wiederkehrende Zahlungen und weniger unfreiwillige Abwanderung, ohne dass Sie die Kunden nach neuen Daten fragen müssen. Drittens unterstützen sie die SCA- und PSD2-Logik, einschließlich der TRA-Ausnahmen und der vom Händler initiierten Transaktionsabläufe, die Abonnements und wiederkehrende Käufe im Hintergrund laufen lassen.
Das Ergebnis ist ein echtes Null-Klick-Erlebnis: Die Zahlung wird nahtlos abgeschlossen, die Zustimmungsrate ist höher und der Kunde spürt nie, dass die Maschinerie arbeitet. Wenn Sie einen umfassenderen Blick darauf werfen möchten, wie sich die Optimierung der Kasse über die Zahlung hinaus auf die Konversion auswirkt, sollten Sie neben diesem Artikel auch diesen Kontext lesen.
Das Lock-in, dem Sie nicht zugestimmt haben
Es gibt einen strategischen Haken, den Sie vor der Implementierung verstehen sollten. Wenn die Tokenisierung ausschließlich auf PSP-Ebene durchgeführt wird, werden Ihre gespeicherten Kundendaten zu Kosten für einen Wechsel. Ein Wechsel des Zahlungsdienstleisters bedeutet einen Wechsel der Token, und genau diese Reibung ist es, die Händler an einen Anbieter bindet, dem sie entwachsen sind. Die Systeme unterscheiden sich darin, wie sie die Tokenisierung technisch handhaben, und diese Unterschiede wirken sich sowohl auf Ihre Konversion als auch auf Ihre Bewegungsfreiheit aus.
Diese Frage sollten Sie jedem Anbieter direkt stellen: Wo befinden sich die Token, handelt es sich um Netzwerk-Token, und was beinhaltet die Migration eigentlich? Die Antworten sind entscheidend dafür, ob die Tokenisierung für Sie oder für Ihren Zahlungsdienstleister funktioniert, und sie werden bei einer Neuverhandlung des Zahlungsdienstleisters oder einer Zahlungsausschreibung entscheidend.
Hier kommt EcomStream ins Spiel
Die Tokenisierung befindet sich an der Schnittstelle zwischen Konvertierung, Sicherheit und PSP-Kosten, und das ist genau das Gebiet, auf dem wir arbeiten. Wir bewerten, ob Ihr Token-Setup die Autorisierungsraten erhöht oder Sie einfach nur bindet, vergleichen es mit dem, was die Systeme und Ihr Acquirer tatsächlich leisten können, und bauen es in PSP-Neuverhandlungen und RFPs ein, damit die Unabhängigkeit von Anfang an gewahrt bleibt.
EcomStream arbeitet ausschließlich für Händler. Wir sind niemals für PSPs oder Acquirer tätig, jeder Auftrag wird von Ramon Helwegen persönlich bearbeitet, und wir arbeiten auf der Basis „no cure, no pay“. Keine Vorauszahlung, kein Vorschuss, Gebühren auf Basis der Ergebnisse.
Möchten Sie wissen, wie viel Sie Ihr Zahlungssystem tatsächlich kostet? Nutzen Sie den PSP Upside Calculator für einen sofortigen Kostenvoranschlag, oder wenden Sie sich direkt an info@ecomstream.nl.
