Was ist die Portabilität von Kreditkartendaten?

Die Portabilität von Kreditkartendaten ist ein Mechanismus zur Übertragung von Kundenzahlungsdaten, insbesondere Primary Account Numbers (PANs), zwischen verschiedenen Zahlungsdienstleistern (unter Berücksichtigung von Sicherheits- und Compliance-Aspekten). Dies deutet auf eine mögliche Korrelation zwischen der Diversifizierung von Finanzinstituten für die Kartenspeicherung und bestimmten geschäftlichen Vorteilen hin.

Hier sind die Hauptmerkmale portabler Systeme:

•       Sicherer Export: Das System bietet einen Prozess für den Export PCI-konformer Daten an einen anderen Anbieter, vorbehaltlich einer formellen Anfrage.
•     Formatstandardisierung: Gewährleistung, dass die übertragenen Daten in einem Format vorliegen, das die empfangende Partei nutzen kann.
•       Tokenisierungs-Kompatibilität: Einsatz von Tokens, die zwischen verschiedenen Verarbeitungsgateways gewechselt oder umgeleitet werden können.
•   Compliance-Wahrung: Aufrechterhaltung einer ununterbrochenen Nachweiskette, die den Payment Card Industry Data Security Standards (PCI DSS) entspricht.

Die Übertragung von Händlerdaten kann deren Interaktionen mit Zahlungsanbietern beeinflussen und möglicherweise Abhängigkeiten von spezifischen Zahlungsabwicklern oder Anbietern mit sich bringen. Eine gängige Praxis unter Anbietern sind proprietäre Tokenisierungssysteme; werden Karten bei diesen Anbietern gespeichert, funktionieren die daraus resultierenden Tokens typischerweise nur innerhalb deren Umgebung.

Wenn ein Händler wechselt, können vom Anbieter Austrittsgebühren erhoben werden, und die Datenfreigabe kann Formatkompatibilitätsprobleme für verschiedene Systeme mit sich bringen. Finextra weist auf einen möglichen Zusammenhang zwischen Anbieterbindung (Vendor Lock-in) und Unternehmen hin, die eine Differenz von 20 % bis 30 % bei den Bearbeitungsgebühren feststellen, was mit Änderungen in den Verhandlungspositionen mit ihrem aktuellen Anbieter korrelieren könnte.

Portabilität wird maßgeblich durch die PCI-DSS-Anforderungen (Payment Card Industry Data Security Standard) beeinflusst. Insbesondere vermeiden Händler oft die Speicherung unverschlüsselter Kreditkartennummern auf ihren Servern, oder es ist ihnen untersagt, was bestimmte Risiken mindern kann. Folglich nutzen Händler, anstatt die Daten selbst zu verwalten, die Dienste des Anbieters, der die Daten speichert und dann einen “Token” ausstellt.

Auf der gebenden und empfangenden “Seite” müssen die Anbieter die PCI Level 1 Standards einhalten, damit die Datenmigration möglich ist. Ferner müssen die Daten während des Migrationsprozesses, der ein “Vault-to-Vault“-Prozess ist, sicher und verschlüsselt übertragen werden. Ein solcher Transfer hält den Händler aus dem PCI-Geltungsbereich heraus, die Daten gelangen nicht in die Hände des Händlers, ermöglicht aber dennoch die Bewegung der Daten.

Konzeptionell handelt es sich um eine Übertragung zwischen zwei getrennten, sicheren Umgebungen. Der Händler beantragt die Datenmigration, und der aktuelle Anbieter verwendet den öffentlichen Schlüssel des neuen Anbieters (das Ziel), um die Datenbank der Kartennummern zu verschlüsseln.

1.   Anfrage: Der Händler initiiert den Datenexport von Anbieter A.
2.   Sicherung: Anbieter A schützt die PANs und Ablaufdaten durch Verschlüsselung.
3.   Versand: Daten werden über sicheres SFTP oder eine dedizierte API übertragen..
4.   Empfang: Anbieter B entschlüsselt die Informationen und gibt neue Tokens für die Nutzung durch den Händler aus.

Ein neutraler oder zentralisierter Token-Vault bezieht sich auf eine Drittpartei, die von der Umgebung des Zahlungsabwicklers getrennt ist. Anstatt dass der Abwickler die Kartendaten, das erledigt der Vault. Wenn eine Kartentransaktion erforderlich ist, übermittelt der Vault die Informationen an den vom Händler ausgewählten Prozessor.

Der Zugriff auf portable Daten ermöglicht es Unternehmen, einen Multi-PSP-Ansatz in Betracht zu ziehen. Dies ermöglicht es einem Händler, sich mit mehreren Zahlungsabwicklern gleichzeitig. Wenn beispielsweise Prozessor A einen besseren Tarif für europäische Karten anbietet und Prozessor B für US-Karten günstiger ist, kann der Händler die Transaktionen an den entsprechenden Prozessor leiten.

Punkte, die bei der Entscheidung für eine Multi-Prozessor-Strategie zu beachten sind:

•   Geographische Reichweite: Bietet der Anbieter lokalen Zahlungsmethoden?
•   Kostenoptimierung: Haben Sie die Option, “kostengünstiges Routing” in Echtzeit zu nutzen?
•   Technischer Aufwand: Verfügt Ihr Team über die Kapazität, mehrere zu handhaben? API-Integrationen?