Jedes Unternehmen, das ein Abonnementmodell betreibt – von SaaS-Plattformen bis hin zu Medienunternehmen, Fitnessstudios bis hin zu E-Commerce-Abonnements – befindet sich im PCI-Scope, sobald es wiederkehrende Kartenzahlungen verwaltet. Die besondere Herausforderung bei der Abonnementabrechnung ist nicht die erste Zahlung, sondern die Verwaltung der Karteninformationen für alle nachfolgenden Abrechnungszyklen: das berühmte Card on File. Wenn diese Daten nicht korrekt durch Tokenisierung geschützt sind, wird jeder Abrechnungszyklus zu einem PCI-Risiko.
Warum jeder, der Abonnements verwaltet, im PCI-Scope ist
Das Abonnementmodell erfordert, dass das Unternehmen einen Bezug zur Karte des Kunden für zukünftige Abbuchungen behält. Dieser Bezug, sei es ein gespeicherter PAN im Klartext, ein vom PSP verwaltetes Token oder ein proprietäres internes Token, ist der Kern des PCI-Scopes für Abonnementunternehmen. Die Kombination aus PAN + Ablaufdatum zum Zweck der Abonnement-Beibehaltung reicht aus, um die CDE-Pflichten zu aktivieren, auch wenn das Unternehmen niemals einen vollständigen Kaufprozess direkt verwaltet.
Viele Abonnementunternehmen glauben, dass sie nicht in den Scope fallen, weil sie einen PSP wie Stripe oder Braintree verwenden, der die Zahlungsverarbeitung übernimmt. Dies ist teilweise wahr: Wenn das Unternehmen dem PSP alle Kartendaten vollständig überlässt und nur ein PSP-spezifisches Token (z.B. Stripe-Kunden-ID) verwaltet, ist der direkte PCI-Scope minimal. Das Problem entsteht, wenn das Unternehmen den PSP wechseln, mehrere PSPs verwenden oder ein eigenes proprietäres Abrechnungssystem entwickeln möchte – in diesem Fall ist ein portables Card-on-File-Token unerlässlich.
Card-on-File-Tokenisierung für Abonnements
Card-on-File-Tokenisierung (CoF) bedeutet, dass der PAN des Kunden beim ersten Checkout durch ein dauerhaftes Token ersetzt wird, das für alle nachfolgenden Abonnementzahlungen verwendet werden kann, ohne dass der PAN jemals erneut angefordert werden muss. Das Token ist sicher in einem PCI DSS Level 1 zertifizierten Vault gespeichert und kann nur vom Vault-Anbieter (wie PCI Proxy EU) für die Verarbeitung beim Acquirer aufgelöst werden.
Für das Abonnementunternehmen bedeutet dies, dass das Billing-System nur Tokens verwaltet, keine PANs. Die monatliche oder jährliche Abbuchungslogik kann im CRM, der Subscription-Management-Plattform oder in einem proprietären System implementiert werden, ohne jemals echte Kartendaten zu berühren. Dies reduziert den PCI-Scope auf SAQ A oder SAQ D-Merchant (mit drastisch reduziertem Umfang), je nach Komplexität der Architektur.
Verbleibende Compliance-Pflichten für Abonnementunternehmen
Auch mit CoF-Tokenisierung verbleiben für Abonnementunternehmen einige Compliance-Pflichten:
- Transaktionsprotokollierung: Alle Abbuchungsereignisse müssen für Rückverfolgungs- und Disputzwecke protokolliert werden. Protokolle dürfen keine PANs enthalten – nur Tokens und Transaktionsreferenzen.
- Zugriffskontrollen: Nur autorisiertes Personal darf auf das Billing-Dashboard und die Zahlungsverwaltungssysteme zugreifen. MFA ist für alle Benutzer mit Zugang zu sensitiven Funktionen obligatorisch.
- Vulnerability Management: Systeme, die Token verwalten, müssen regelmäßig auf Schwachstellen gescannt werden, auch wenn sie keine PANs enthalten.
- Datentransparenz mit Kunden: Unter der DSGVO müssen Abonnementunternehmen klar kommunizieren, welche Zahlungsdaten gespeichert werden und zu welchen Zwecken. Tokenisierung erleichtert diese Kommunikation.
Häufig gestellte Fragen
Kann ich denselben CoF-Token bei mehreren Acquirern verwenden?
Ja, wenn der Token vom Vault-Anbieter aufgelöst wird, um den PAN an den gewünschten Acquirer weiterzuleiten. PCI Proxy EU-Token sind acquirer-agnostisch: Das Token ist ein dauerhafter Identifier, der vom Vault in eine Echtzeit-Routing-Entscheidung umgewandelt wird. Dies ist besonders wertvoll für Unternehmen, die mehrere PSPs für Routing-Optimierung oder geografische Redundanz verwenden.
Wie migriere ich bestehende gespeicherte Kartendaten zu einem Token-Vault?
PCI Proxy EU bietet einen sicheren Datenmigrationsdienst: Bestehende PANs werden über eine verschlüsselte und segmentierte Verbindung direkt in den Vault übertragen, ohne die aktuellen Systeme des Unternehmens zu passieren. Am Ende der Migration sind die Originaldaten im Vault gespeichert, und das Unternehmen erhält Token zum Ersetzen der alten Referenzen. Die Migration kann ohne Unterbrechung des Abonnementdienstes oder Neuerfassung von Kartendaten durch Kunden erfolgen.
Was passiert, wenn eine Karte abläuft oder neu ausgestellt wird?
PCI Proxy EU unterstützt die automatische Kartenaktualisierung über Card Account Updater (CAU)-Dienste, die von Visa und Mastercard bereitgestellt werden: Wenn eine Karte abläuft oder eine neue ausgestellt wird, wird der Token automatisch mit den neuen Kartendaten verknüpft, ohne dass der Abonnent eingreifen muss. Dies reduziert Zahlungsfehler durch abgelaufene Karten und verbessert die Bindung von Abonnenten.
Verwalten Sie ein Abonnementmodell und möchten wiederkehrende Zahlungen PCI-konform und ohne manuelle Karten-Updates verwalten? Entdecken Sie PCI Proxy EU.