Tokenization – Basistechnologie des digitalen Bezahlens

• Technologieprovider prognostizieren starkes Wachstum von Zahlungen mit mobilen Endgeräten am Point-of-Sale (POS)

• Basistechnologie zur Erhöhung der Sicherheit sowie des Datenschutzes bei der Abwicklung mobiler Zahlungen am Point of Sale ist Tokenization

• Mittels Tokenization werden sensitive Zahlungsdaten (PAN, Ablaufdatum) durch an einen spezifischen Anwendungsfall gekoppeltes, nicht-sensitives Surrogat, den Token, ersetzt

• Globale Technologieprovider etablieren in Kooperation mit internationalen Schemes netzwerkeseitige Tokenization basierend auf von EMVCo definierten technischen Standards

• Europäische Issuer implementieren Tokenization Technologie zur Wahrung zukünftiger Reaktionsfähigkeit

Seit Oktober 2014 kann der Bezahldienst Apple Pay in Kombination mit einer Kredit- oder Debitkarte einer der Partnerbanken in den USA genutzt werden. Nachfolgend wurden sukzessive weitere Märkte wie UK, Kanada und Australien eingeführt. Mit dem Markteintritt in China im Februar 2016 wurde mittlerweile im fünften Land der Bezahldienst erfolgreich etabliert.“. Ein Indiz für die zunehmende Relevanz ist, dass beim chinesischen Marktstart dabei mehr als 40 Millionen Karten aktiviert wurden – innerhalb der ersten 48 Stunden. Diese schnelle Adaptionsrate deutet auf ein hohes Potential hin. Es ist daher davon auszugehen, dass sich der Trend um digitales Bezahlen weiter fortsetzt.

Das weltweite Transaktionsvolumen mit Mobile Wallets am Point-of-Sale (POS) summiert sich 2016 auf ca. 75 Milliarden US Dollar. Studien prognostizieren ein Wachstum auf 745 Milliarden bis 2020. Dies entspräche einer jährlichen Steigerungsrate (CAGR) von annähernd 78%. Neben Apple spielen ebenso weitere globale Technologieanbieter wie Samsung oder Google mit ihren Bezahlmethoden Samsung Pay bzw. Android Pay eine wichtige Rolle im Hinblick auf diese Entwicklung. Die Basistechnologie dieser drei sowie vieler weiterer innovativer Zahllösungen ist Tokenization.

Unter Tokenization wird die Substitution von sensitiven Daten gegen ein nicht-sensitives Äquivalent, den Token, verstanden. In Bezug auf Mobile Payments bedeutet dies konkret den Ersatz der Debit-oder Kreditkartennummer (Primary Account Number) gegen einen Token. Dieser Token hat dabei dasselbe Format wie die zugrunde liegende Karte (d.h. 16 Ziffern bei Kreditkarten, bei Debitkarten enstsprechend analoge Länge zur Karte), ist jedoch bspw. an ein spezifisches Gerät (Smartphone, Tablet, Wearable) gebunden und hat ein eigenes Ablaufdatum. Das Mapping zwischen PAN und Token, sowie die Sicherstellung der Integrität des Tokens wird durch den Token Service Provider sichergestellt.

Technische Rahmenbedingungen für Tokenization werden durch EMVCo, einer Organisation, dessen Mitglieder sich aus allen großen Kreditkartenschemes American Express, Discover, JCB, MasterCard, UnionPay und Visa zusammensetzen, definiert.

Abbildung 1: Tokenization Provisioning erfordert die Schnittstelle vom Issuer zum Tokenization Service Provider

Bei aufmerksamer Beobachtung des Marktes lässt sich erkennen, dass die großen Technologieanbieter in enger Kooperation mit internationalen Schemes zunehmend netzwerkseitige Tokenization als neuen Standard etablieren. Bei netzwerkseitiger Tokenization wird eine neue Schnittstelle vom Issuer zum Tokenization Service Provider benötigt, um dem Issuer die initiale Autorisierung von Tokens zu erlauben und Kunden zu verifizieren. Wie in der Abbildung dargestellt, wird ein aktiver Token auf dem mobilen Endgerät hinterlegt und ein Kunde kann mit diesem Gerät kontaktlos am Point-of-Sale zahlen. Grundvoraussetzung hierfür ist die erfolgreiche Registrierung sowie Autorisierung des Nutzers durch den Issuer. Aus Kundesicht ist die Customer Experience dabei mindestens analog zu einer NFC (Near Field Communication) Kreditkartenzahlung, kann jedoch durch Zusatzservices angereichert werden.

Das Mapping zwischen PAN und Token wird in einer gesicherten Token Vault hinterlegt, zu welchem nur der Tokenization Service Provider Zugang hat. Beim Bezahlprozess wird der Token durch den Token Service Provider vor der Autorisierungsanfrage beim Issuer gegen die PAN im Payment Network re-substituiert. Zur Kennzeichnung einer digitalen Bezahlung erhält der Issuer sowohl Token als die zugrunde liegende Karteninformation in der Autorisierungsanfrage mitgesendet. Durch dieses Vorgehen werden weder dem Merchant noch dem Acquirer zusätzliche persönliche Informationen über die Kreditkarte des Kunden übermittelt.

Die Basisanforderung an den Issuer, um an diesem Ökosystem zu partizipieren, ist die Integration mit einem Tokenization Service Provider, welcher eine neue Entität im Gesamtsystem abbildet. Tokenization Service Provider können im Allgemeinen die Schemes selbst, wie bspw. MasterCard Digital Enablement Service (MDES) oder Visa Europe Payment Token Service (VEPTS), Drittparteien wie beispielsweise First Data, oder aber auch die Issuer selbst sein. Die Entscheidung, ob ein vorhandener Service genutzt oder eine eigene Lösung gebaut werden soll, hängt von individuellen Faktoren ab und ist situationsabhängig zu entscheiden. Dabei ist weiterhin zu unterscheiden, ob der Anwendungsfall Secure Element (z.B. Apple Pay) oder Cloud Based (z.B. Samsung Pay, Android Pay) orientiert ist. Sofern es sich um letzteren Fall handelt, wird eine weitere Partei benötigt – der HCE (Host Card Emulation) Provider.

Ein wesentlicher Vorteil von netzwerkseitiger Tokenization ist, dass die Payment Infrastruktur aus Händler bzw. Acquirer Sicht nicht anzupassen ist und alle vorhanden Schnittstellen weiter verwendet werden können. Die Zahlungen laufen über die gleichen Kommunikationskanäle wie heute, mit dem einzigen Unterschied, dass statt der Kreditkartendaten ausschließlich Token Details gesendet werden.

Darüber hinaus erhöht die Tokenization Technologie die Sicherheit von mobilen Zahlungen. Dies geschieht zum einen durch die Erhöhung der Sicherheit der Datenübermittlung, zum anderen durch die Reduzierung die Verantwortung der Händler. Sensitive Zahlungsdetails müsen nicht mehr beim Händler gespeichert werden und werden auch nicht mehr mit der Transaktion übertragen. Stattdessen werden die ausgetauschten Daten an ein Gerät, einen Händler oder gar eine Transaktion gekoppelt und verfallen nutzlos, sofern sie bei der Übertragung kontaminiert werden. Somit werden die Daten der Karteninhaber wesentlich geschützt.

Dies ermöglicht eine Vielzahl von neuen und sicheren Einsatzmöglichkeiten wie Apple Pay, Samsung Pay, Android Pay oder eigene Wallet Lösungen.

Ein wichtiger Nutzen ist außerdem die Integrationsfähigkeit von umsatzfördernden Maßnahmen in die digitalen Geschäftsprozesse. Beispielsweise können Promotionen oder Cashback Aktionen dem Kunden direkt über die Wallet mitgeteilt werden. Ebenso können Zusatzservices und Loyalty Programme für die digitalen Karten aufgeschaltet werden, um den Kunden ein umfassend komfortables Einkaufserlaubnis zu ermöglichen.

Diverse europäische Issuer haben bereits Projekte gestartet, um ihre Systeme auf Tokenization vorzubereiten und schalten sukzessive neue Anwendungsfälle auf. Die rechtzeitige Integration dieser Technologie stellt die Basis einer zukünftigen Handlungsfähigkeit dar und wird daher als essentieller Schritt in Richtung des Digitalen Bezahlens gesehen. Der festzustellende Trend zur Akzeptanz von mobilen Wallet Lösungen begründet die Notwendigkeit eines schnellen Handelns.

Literature:

Dan Schatt: Virtual Banking: A Guide to Innovation and Partnering, Wiley, 2014, Seiten 27-29

EMVCo: Technical Framework. Payment Tokenisation Specification, 2014, Seiten 22-27

Slava Gomzin: Hacking Point of Sale. Payment Application Secrets, Threats, and Solutions, Wiley, 2014, Seiten 83-85

Internet:

https://www.statista.com/outlook/331/100/mobile-wallet-pos-payments/worldwide

http://www.heise.de/mac-and-i/meldung/China-Start-Apple-Pay-von-Nutzern-ueberrannt-3113246.html