Das Verschlüsseln der Kredit- und Debitkartendaten bei bargeldlosen Zahlungen soll Betrug verhindern. Wenn die Karteninformationen auf PCI DSS-zertifizierten Servern spezieller Unternehmen gespeichert werden, ist die Gefahr der Entwendung, zum Beispiel durch das Abhören einer Verbindung zwischen Kassensystem und POS-Terminal, geringer. Im E-Commerce ist es längst Standard, die Kartendaten in einen iFrame im Shop-Checkout einzugeben, der direkt vom PSP zur Verfügung gestellt wird und die Daten verschlüsselt dorthin überträgt. Das Äquivalent im stationären Handel ist der Punkt-zu-Punkt-verschlüsselte Übertragungsprozess moderner PCI P2PE-Terminals.
Damit Kunden im Onlinehandel ihre Kartennummer nicht jedes Mal erneut eingeben müssen, erhält der Shop von seinem PSP eine Ersatznummer, die nicht zur Zahlung geeignet ist. Diese kann im Kundenkonto gespeichert werden und löst die Anzeige der letzten vier Ziffern der Primary Account Number (PAN) aus, so dass der Kunde seine Karte identifizieren kann. Beim Kauf wird die Ersatznummer an den PSP übertragen, der mit Hilfe der sicher gespeicherten Originalnummer die Transaktion abwickeln kann.
3-D Secure 2-Protokoll unterstützt
VISA, Mastercard und vier weiteren Unternehmen unterhalten gemeinsam die weltweite Organisation EMVCo, die EMV-Spezifikationen überwacht und Tokenisation-Spezifikationen entwickelt. EMVCo hat unter Beteiligung von EMVCo-Mitgliedern und anderen Branchenvertretern auf diesem Rahmenwerk aufgebaut, um die Verfügbarkeit und Verwendung von Tokens rund um die Welt zu fördern. Visa stellt Tokens im “VISA Token Service” zur Verfügung, bei Mastercard läuft die Tokenisierung unter dem Programm „MDES for Merchants“ (Mastercard Digital Enablement Service).
Diese Services umfassen nicht nur die Kartennummer und das Ablaufdatum, sondern können auch die Eingabe der CVC-Nummer (Customer Verification Code) ersetzen, Informationen über das genutzte Endgerät einfließen lassen, beim Risikomanagement unterstützen und auf Smartphones eine kundenindividuelle Kartengrafik anzeigen lassen. Zudem wird für jede Transaktion ein eigenes Kryptogramm erstellt, was die Sicherheit für Kunden und Händler weiter erhöht.
Das Verfahren unterstützt das neue 3-D Secure 2-Protokoll und ermöglicht die Auslösung von wiederkehrenden Zahlungen per Kreditkarte (Merchant Initiated Transactions MIT). Die Ausgabe der Card Scheme Tokens an Händler und kleinere PSPs, Acquirer oder Wallet-Anbieter erfolgt zumeist über besonders zertifizierte PSPs. Deutsche Zahlungsplattformen wie z. B. der Payment Service Provider Computop stellen Token sowohl für VISA als auch für Mastercard bereit.
Das neue 3-D Secure 2
Das seit dem Jahr 2002 bestehende, weltweit standardisierte 3-D Secure-Protokoll (3DS) bietet zusätzliche Sicherheit bei Kreditkartentransaktionen. Mit dem Verfahren verifizieren sich Onlinekäufer:innen gegenüber ihrer kartenausgebenden Bank (Issuer) als rechtmäßige Karteninhaber. Im Gegensatz zu einem herkömmlichen Bezahlvorgang per Kreditkarte im Internet verlangt 3-D Secure einen zusätzlichen Sicherheits-Code, was die missbräuchliche Verwendung von Kreditkarten erschwert. 3-D Secure 2 eine Weiterentwicklung des bisherigen 3-D Secure-Protokolls dar. Mit jeder Bestellung per Kreditkarte werden fortan bis zu 100 Datenpunkte an den Issuer übermittelt. Basierend auf diesen Datenpunkten führt der Issuer eine Echtzeit-Risikobewertung durch. Besteht Betrugsverdacht, wird der Käufer durch eine zusätzliche Sicherheitsabfrage (z. B. mittels Push-TAN) zur erneuten Bestätigung seiner Identität aufgefordert.