Im Bereich der Zahlungssicherheit existieren zwei verschiedene Arten von Tokenisierung: Netzwerk-Tokenisierung, die von Kartennetzwerken (Visa, Mastercard) ausgegeben wird, und Zahlungs- oder Händler-Tokenisierung, wie die von PCI Proxy EU. Obwohl beide dasselbe Ziel verfolgen – die Elimination der PAN aus dem Händlerfluss –, operieren sie auf verschiedenen Ebenen und erfüllen verschiedene Funktionen. Das Verständnis der Unterschiede ist entscheidend für die Wahl der richtigen Architektur.
Was ist Netzwerk-Tokenisierung?
Netzwerk-Tokenisierung ist ein Standard, der von Kartennetzwerken (Visa mit VTS, Mastercard mit MDES, Amex mit Token Service) über den EMVCo-Rahmen gepflegt wird. Das Netzwerk ersetzt die PAN durch ein Netzwerk-Token, einen 16-stelligen Wert, der wie eine Kartennummer aussieht, aber mit einem bestimmten Gerät oder Händler verknüpft ist. Netzwerk-Tokens werden verwendet, um Transaktionen direkt bei den Netzwerken zu verarbeiten.
Netzwerk-Tokens haben spezifische Merkmale: Sie sind gerätebezogen (ein Token ist an ein Gerät gebunden – wie es bei Apple Pay oder Google Pay der Fall ist), sie haben einen kryptografischen Zahlungsnachweis (TAVV, Transaction Authentication Verification Value), der Betrug reduziert, und sie funktionieren nur innerhalb des Netzwerks, das sie ausgegeben hat. Visa-Tokens können nicht für Mastercard-Transaktionen verwendet werden.
Was ist ein PCI Proxy Token?
Ein PCI Proxy Token (oder Händler-Token) ist ein zufälliger Bezeichner, der vom PCI Proxy EU Vault generiert und verwaltet wird. Er hat keine mathematische Beziehung zur PAN und funktioniert außerhalb des PCI Proxy EU Systems nicht. Händler verwenden diesen Token zum Speichern, Suchen und Initiieren von Transaktionen: Der Vault empfängt den Token, ruft die PAN ab und sendet sie an den ausgewählten PSP.
PCI Proxy Tokens sind PSP-agnostisch: Derselbe Token kann verwendet werden, um Transaktionen über verschiedene PSPs oder Acquirers zu initiieren. Sie sind nicht gerätebezogen und haben kein Ablaufdatum, es sei denn, der Händler legt es ausdrücklich fest. Sie sind die ideale Lösung für Card-on-File, Abonnements und PSP-Multi-Routing-Szenarien.
Vergleichstabelle: Netzwerk-Token vs. PCI Proxy Token
| Merkmal | Netzwerk-Token | PCI Proxy Token |
|---|---|---|
| Aussteller | Visa, Mastercard, Amex | PCI Proxy EU Vault |
| Gerätebindung | Ja (Apple Pay, Google Pay) | Nein |
| PSP-Kompatibilität | Nur mit unterstützenden PSPs | PSP-agnostisch |
| Kryptografischer Nachweis | Ja (TAVV) | Nein (PAN-Übertragung direkt) |
| Ideal für | Wallet-Transaktionen, Mobile Pay | Card-on-File, Abonnements, Multi-PSP |
Häufig gestellte Fragen
Sind Netzwerk-Tokenisierung und PCI Proxy Tokenisierung komplementär?
Ja, oft. Ein Händler kann beide gleichzeitig verwenden: Netzwerk-Tokenisierung für Wallet-Zahlungen (Apple Pay, Google Pay) und PCI Proxy Tokenisierung für Card-on-File-Szenarien und PSP-unabhängige Verwaltung der gespeicherten Kartenbasis. PCI Proxy EU unterstützt Netzwerk-Tokens in seinem Ökosystem, sodass Händler beide Arten von Tokens einheitlich verwalten können.
Reduziert Netzwerk-Tokenisierung den PCI-Scope?
Ja, teilweise. Netzwerk-Tokenisierung reduziert das Transaktionsbetrugsrisiko dank des kryptografischen Nachweises, und in einigen Szenarien kann sie den PCI-Scope reduzieren, wenn die PAN niemals die Systeme des Händlers passiert. Für die spezifischen Regeln zur Scope-Reduzierung basierend auf der verwendeten Netzwerk-Token-Architektur sollten Sie sich mit Ihrem Acquirer beraten.
Können Netzwerk-Tokens für Card-on-File verwendet werden?
Ja, Netzwerk-Tokens können für Card-on-File verwendet werden, wenn der PSP die Funktionalität unterstützt. In diesem Fall ist der Token an den spezifischen Händler-PSP-Kanal gebunden. Das Hauptlimit ist die PSP-Bindung: Bei einem PSP-Wechsel muss der Token re-generiert werden, während PCI Proxy Tokens PSP-agnostisch bleiben. Für komplexe Multi-PSP-Szenarien ist PCI Proxy Tokenisierung flexibler.
Möchten Sie verstehen, welche Art von Tokenisierung für Ihren Anwendungsfall besser geeignet ist? Sprechen Sie mit PCI Proxy EU.