Trotz der herausfordernden Situation in den vergangenen anderthalb Jahren sind die weltweit führenden Kreditkartenunternehmen in puncto Entwicklung nicht untätig gewesen. Für das E- und M-Commerce-Geschäft bringen sie im Jahr 2021 zwei vielversprechende Produkte auf den europäischen Markt: Ein System zur End-to-End-Tokenisierung von digitalen Debit- und Kreditkartenzahlungen sowie ein gemeinschaftlich betriebenes, digitales Karten-Wallet.
Einheitliche E-Commerce-Lösungen der großen Kartengesellschaften
Visa, Mastercard, American Express, Discover, JCB und China Union Pay stehen auf vielen Märkten zueinander in Konkurrenz. Trotzdem ziehen sie in bestimmten Belangen am selben Strang. Möglich wird dies durch ihren Zusammenschluss im Verband EMVCo, der verbindlich und weltweit einheitlich für seine Mitglieder das technische Regelwerk zur Abwicklung von Debit- und Kreditkartenzahlungen definiert.Für den E- und M-Commerce sind infolge dieser Kooperation zwei neue Lösungen entstanden, welche noch dieses Jahr auf dem europäischen Markt ausgerollt werden sollen und künftig einen starken Einfluss auf die Abwicklung sogenannter „Card-not-Present“-Zahlungen ausüben werden.
Weniger Karten-Klardaten im Netz dank Scheme Tokens
Mit dem wachsenden Aufkommen digitaler Kartenzahlungen über das Internet befinden sich weltweit zunehmend mehr Kartendaten auf Servern von Unternehmen, die in die Zahlungsabwicklung involviert sind. Zwar werden strenge Sicherheitsanforderungen an die Akteure im Umgang mit den Daten gestellt. Dennoch gilt: Je mehr Instanzen Kartenklardaten speichern, desto mehr Angriffspunkte bieten sich für Cyber-Kriminelle, diese Daten abzugreifen.Seit langem ist es den Kartengesellschaften (Schemes) daher ein Anliegen, Kartenklardaten wie z.B. die Kreditkartennummer (PAN) oder das Ablaufdatum mithilfe einer End-to-End-Tokenisierung aus dem Online-Zahlungsprozess herauszuhalten.
Das Konzept der Tokenisierung von Debit- oder Kreditkarten ist grundsätzlich nicht neu und schon heute ein wichtiger Bestandteil des E-Commerce Payments. Jeder Onlinehändler, der seinen Kunden die Möglichkeit bietet, im Kundenkonto eine Kredit- oder Debitkarte als Zahlungsmittel zu hinterlegen, ist auf sogenannte Gateway Tokens angewiesen: Der Payment Service Provider des Händlers tauscht dabei die Kartendaten des Kunden gegen ein Pseudonym (den Token) aus und übergibt den Token zur Speicherung an das Backend des Händlers. Tätigt der Käufer eine Zahlung, wird der Token vom Payment Service Provider in die Kartenklardaten zurückgetauscht und diese zur Weiterverarbeitung an den Händler-Acquirer gegeben.
Die Scheme Tokens der Kartengesellschaften ermöglichen erstmalig eine End-to-End-Tokenisierung über die gesamte Kette des Zahlungsprozesses. Anders als bei den Gateway Tokens werden Scheme Tokens nicht vom Payment Service Provider des Händlers erstellt und verwaltet, sondern direkt von der betreffenden Kartengesellschaft (Scheme). Hieraus ergibt sich der Vorteil eines geschlossenen Token-Kreislaufs, der sich vom Händler bis zum Scheme erstreckt. Weder Onlineshop noch Payment Service Provider oder Acquirer erhalten Kontakt zu den echten Kartendaten (siehe Schaubild).
© Computop
Wirksamen Schutz gegen Diebstahl und Missbrauch der Tokens bieten die Domain- bzw. Device Control, die eine Beschränkung der Token-Anwendbarkeit auf konkrete Shop-Domains oder einzelne Endgeräte des Karteninhabers ermöglichen. Ein für jede Token-Transaktion individuell erstelltes Kryptogramm gewährleistet überdies die Echtheit jeder Autorisierungsanfrage.
Zusätzlich steigt für die Kunden der Onlinehändler der Convenience-Faktor. Denn Scheme Tokens sind „smart“ und können noch nach ihrer Erstellung modifiziert werden, ohne einen neuen Token generieren zu müssen. Somit können aktuelle Informationen zur hinterlegten Karte von der kartenausstellenden Bank (Issuer) direkt an das Token-System übergeben werden. Läuft etwa die physische Karte ab und wird erneuert, behält der im Kundenkonto hinterlegte Karten-Token trotzdem seine Gültigkeit. Bei festgestellten Unregelmäßigkeiten im Gebrauch der Karte kann umgehend eine Deaktivierung des Karten-Tokens eingeleitet werden.
Händler können über den Scheme Token Service auch die passende „Card Art“ beziehen, d.h. Informationen zum realen optischen Erscheinungsbild der physischen Karte. Der Karteninhaber sieht somit in seinem Kunden-Account ein authentisches Abbild seiner Karte im Design der Issuer-Bank, einschließlich des Namens des Karteninhabers sowie die letzten 4 Ziffern der PAN. So entsteht ein höheres Vertrauen in den Zahlungsprozess.
Unter diesem Link finden sie weitere Informationen zu den Einsatzmöglichkeiten und Vorteilen von Scheme Tokens für Onlinehändler.
Click to Pay – Das digitale Karten-Wallet
Für den deutschen E-Commerce startet Click to Pay in der zweiten Jahreshälfte 2021. Aus Nutzersicht entspricht die Lösung einem digitalen Wallet für Debit- und Kreditkarten, das gemeinsam von den im EMVCo-Verband organisierten Kartengesellschaften betrieben wird. Somit können Verbraucher die Karten aller führenden Marken (u. a. Visa, Mastercard, American Express) im Wallet hinterlegen und auf diese beim Onlineshopping zentral zugreifen.
© Computop
Die Lösung adressiert drei wesentliche Einschränkungen, die bislang mit dem unmittelbaren Bezahlen per Karte im E-Commerce (also ohne den Einsatz von Wallets) einhergingen: 1) Karten- und Lieferdaten müssen (als Neukunde) beim Checkout immer wieder erneut eingegeben werden. 2) Beim Erstkauf müssen in der Regel viele Daten auf einmal eingegeben werden. 3) Der Checkoutprozess erfordert zu viele Schritte.
Um diese Einschränkungen zu beheben, basiert auch das Click to Pay-Wallet auf der „Express-Kauf“-Funktionalität – eine Anforderung, die in den vergangenen Jahren von anderen Wallet-Diensten erfolgreich am Markt etabliert wurde: Käufer, die einen Onlineshop nur für einen Gelegenheitskauf nutzen möchten und kein Kundenkonto besitzen, können mit möglichst wenig Dateneingaben und in nur wenigen Schritten den Checkout-Prozess durchlaufen, ohne zwingend ein neues Konto beim Händler anlegen zu müssen.
Hierzu können Nutzer bei Click to Pay zum einen ihre präferierte Rechnungs- und Lieferadresse für jede Karte direkt im Wallet hinterlegen. Bei einem Kauf werden die Adressdaten dann – ähnlich wie bei dem PayPal-Express-Button – automatisch an das Shop-Backend des Händlers übergeben, sodass die Notwendigkeit einer Abfrage durch den Händler entfällt.
Zum anderen beinhaltet die Lösung eine automatische Erkennung des verwendeten Endgerätes. Nutzer, die eine Karte neu im Wallet anmelden, können ihre Zustimmung erteilen, dass das System auch ihr verwendetes Endgerät registriert und wiedererkennt. Besuchen die Nutzer anschließend mit demselben Endgerät einen Onlineshop und wählen den „Click to Pay“- Checkout, entfällt der Login im Wallet: Anstatt sich via E-Mail-Adresse und One-Time-Passcode (OTP) einloggen zu müssen, wird der Click to Pay-Nutzer automatisch erkannt und kann den Kauf – in Verbindung mit der bereits hinterlegten Lieferadresse – in nur wenigen Schritten abschließen.
© Computop
Einen weiteren Pluspunkt stellt die Sicherheitsarchitektur von Click to Pay dar. Denn die Übertragung der Zahlungsdaten basiert auf der eingangs vorgestellten Scheme Token-Technologie. Somit dürfte die Verwendung von Click to Pay künftig das Risiko von Kartenmissbrauch und damit einhergehenden Chargebacks auf ein Minimum reduzieren und zu höheren Autorisierungsraten im E-Commerce führen. Auch mit positiven Auswirkungen auf den 3-D Secure Prozess ist zu rechnen, da kartenausgebende Banken (Issuer) bei der Verwendung von Scheme Tokens seltener zum „Challenge Request“ greifen. Mit der Nutzung von Click to Pay werden Käufer damit nur noch selten zu zusätzlichen Authentisierungsmaßnahmen aufgefordert.
Unter diesem Link finden sie weitere Informationen und Details rund um das neue Bezahlverfahren Click to Pay.
