Tokenisierung im Zahlungsbereich bedeutet nicht immer dasselbe: Es gibt zwei grundlegend unterschiedliche Ansätze – Netzwerk-Tokenisierung und Zahlungs-Tokenisierung (auch bekannt als Händler-Tokenisierung oder Vault-Tokenisierung) –, die unterschiedliche Probleme lösen, auf verschiedenen Ebenen der Zahlungsinfrastruktur operieren und sich in Bezug auf Kontrolle, Portabilität und PCI-Compliance-Auswirkungen erheblich unterscheiden. Das Verständnis der Unterschiede ist entscheidend, um die richtige Architektur für jeden Anwendungsfall zu wählen.
Was ist Netzwerk-Tokenisierung?
Netzwerk-Tokenisierung ist ein Dienst, der von Kartennetzwerken direkt bereitgestellt wird – vor allem durch Visa Token Service (VTS) und Mastercard Digital Enablement Service (MDES). Bei dieser Form der Tokenisierung wird der PAN einer Karte durch einen netzwerkspezifischen Token ersetzt, der denselben 16-stelligen Kartenformat hat (BIN-Routing bleibt erhalten) und direkt zwischen Händlern, PSPs und dem Netzwerk verwendet wird.
Der Netzwerk-Token ist an einen bestimmten Händler oder Gerätebereich gebunden (Domain Control), was bedeutet, dass er außerhalb dieses Kontexts nicht nutzbar ist. Dies reduziert das Missbrauchsrisiko erheblich: Ein gestohlener Netzwerk-Token kann nicht für Transaktionen auf anderen Händlerplattformen verwendet werden. Netzwerk-Tokens ermöglichen auch automatische Kartenaktualisierungen (Account Account Updates), ohne dass der Karteninhaber eingreifen muss.
Was ist Zahlungs-Tokenisierung (Vault-Tokenisierung)?
Zahlungs-Tokenisierung (auch Vault-Tokenisierung oder Händler-Tokenisierung) ist ein Prozess, bei dem der PAN durch einen vom Vault-Anbieter generierten internen Token ersetzt wird. Im Gegensatz zum Netzwerk-Token hat dieser Token kein Kartennummernformat und keine BIN-Informationen: Er ist eine opaque Referenz, die nur im Kontext des Vault-Anbieters sinnvoll ist.
Der Vault-Token bietet dem Händler die vollständige Kontrolle: Er kann mit mehreren PSPs und Acquirern verwendet werden, er ist PSP-agnostisch und ermöglicht proprietäre Geschäftslogiken (Routing, Auszahlungen, Rückerstattungen). Der Vault-Anbieter (wie PCI Proxy EU) löst den Token sicher in den PAN auf, um die Autorisierung beim Acquirer abzuschließen, ohne dass der PAN jemals den Händlerserver passiert.
Vergleichstabelle: Netzwerk-Token vs. Vault-Token
| Merkmal | Netzwerk-Token (VTS/MDES) | Vault-Token (PCI Proxy EU) |
|---|---|---|
| Ausgegeben von | Visa / Mastercard Netzwerk | Vault-Anbieter |
| Token-Format | 16-stellig (wie PAN) | Opaque (anpassbar) |
| BIN-Routing | Beibehalten | Nicht beibehalten |
| PSP-Portabilität | Eingeschränkt (netzwerkabhängig) | Vollständig (PSP-agnostisch) |
| Domain Control | Ja (händler-/gerätespezifisch) | Durch Vault-Policies konfigurierbar |
| PCI-Scope-Reduzierung | Ja (für Kartendaten) | Ja (für alle PAN-Flüsse) |
Häufig gestellte Fragen
Kann ich Netzwerk-Tokenisierung und Vault-Tokenisierung zusammen verwenden?
Ja, sie sind komplementär. Netzwerk-Tokens können in einem Vault gespeichert werden: Der Vault speichert den Netzwerk-Token (statt des Klartext-PAN), und der Händler verwendet einen Vault-Token als primären Identifier. Dies kombiniert die Vorteile beider Ansätze: Domain Control und automatische Kartenupdates des Netzwerk-Tokens, plus PSP-Portabilität und proprietäre Geschäftslogiken des Vault-Tokens.
Reduziert Netzwerk-Tokenisierung meinen PCI-Scope?
Netzwerk-Tokenisierung reduziert das Risiko von PAN-Missbrauch im Falle eines Diebstahls, da Token domain-gebunden sind. Die PCI-Scope-Reduzierung hängt jedoch davon ab, wer den Netzwerk-Token verwaltet: Wenn der Händlerserver den Netzwerk-Token direkt empfängt und speichert, kann der PCI-Scope je nach Implementierung größer sein als bei der Verwendung eines Vault-Tokens.
Unterstützt PCI Proxy EU Netzwerk-Tokenisierung über seinen Vault?
PCI Proxy EU unterstützt verschiedene Tokenisierungsarchitekturen, einschließlich Szenarien, in denen Netzwerk-Tokens im Vault gespeichert werden. Die Architektur kann entsprechend den spezifischen Anforderungen des Händlers in Bezug auf PSP-Routing, Kartenaktualisierung und PCI-Scope-Management konfiguriert werden. Kontaktieren Sie unser Team für eine technische Beratung.
Möchten Sie verstehen, welche Tokenisierungsarchitektur für Ihren spezifischen Stack am besten geeignet ist? Entdecken Sie PCI Proxy EU.