Neuer Leitfaden für die Tokenisierung von Kartendaten
Visa Europe unterstützt Händler bei der Erweiterung von Sicherheitsvorkehrungen
Frankfurt 14. Juli 2010 – Visa Europe hat einen Leitfaden für die alternative Identifikationskennzeichnung von Kartennummern, die sogenannte Tokenisierung, vorgestellt. Die Richtlinie für Händler, Dienstleister sowie Acquirer trägt zu einer höheren Sicherheit bei Zahlungen bei und unterstützt sie dabei, die Speicherung vertraulicher Kartendaten in Zahlungssystemen auf ein Minimum zu beschränken. Darüber hinaus soll die Einhaltung der Datensicherheit und die Erfüllung der Sicherheitsanforderungen erleichtert werden. Bei der Tokenisierung wird die Kartennummer durch eine alternative Zeichenfolge zur Identifikation, ein sogenanntes Token, ersetzt. Händler und Processing-Unternehmen, die diese Token gemäß dem Visa Leitfaden einsetzen, können die Speicherung der PAN (Primary Account Number) minimieren und somit die Anzahl gefährdeter Kartendaten senken. Dies reduziert das Risiko, dass Kartendaten gestohlen werden. Infolgedessen können Händler ihre Zahlungssysteme vereinfachen und die Zahlungssicherheit erhöhen.
„Wir haben festgestellt, dass auf dem Markt ein beträchtliches Interesse an Technologien besteht, mit denen die Speicherung von Kartendaten vermieden oder verringert werden kann“, sagt Stanley Skoglund, Senior Vice President Payment System Risk von Visa Europe. „Um Händler und andere Stakeholder bei der Auswahl einer geeigneten Lösung zu unterstützen, hat Visa Europe diesen Leitfaden entwickelt“, so Skoglund weiter.
Im November 2009 veröffentlichte Visa Europe die „Best Practices for Data Field Encryption“ (Datenverschlüsselung). Mit der Lösung sollen Kartendaten geschützt und die Sichtbarkeit unverschlüsselter, sensibler Autorisierungsdaten minimiert werden. Im Leitfaden zur Tokenisierung empfiehlt Visa Europe Händlern, Processing-Unternehmen und anderen Organisationen, bei Zahlungstransaktionen Kartennummern durch Token zu ersetzen. Die neue Richtlinie baut auf der bisherigen Data Field Encryption von Visa Europe auf und schützt Kartendaten nicht nur bei ihrer Übertragung, sondern auch bei der Speicherung, zum Beispiel wenn ein Händler die Kartendaten für wiederkehrende Zahlungen benötigt.
„Tokenisierung kann durch Datensicherheitsverstöße bedingte Risiken erheblich mindern und gleichzeitig den Umfang und die Kosten von PCI-DSS-Kontrollen (Payment Card Industry Data Security Standards) reduzieren“, sagt Gary Palgon, Vice President Product Management bei nuBridges, einem Anbieter für Tokenisierungstechnologie. „Der Leitfaden von Visa Europe stellt einen wichtigen Schritt in Richtung einer branchenweiten Einführung der Technologie und Verbesserung der Zahlungs- und Geschäftsprozesse dar.“
Der Leitfaden von Visa Europe konzentriert sich vor allem auf die richtige Generierung von Token und die Verwaltung von Vergangenheitsdaten. Für eine effektive Tokenisierung stehen vier Kernkomponenten im Vordergrund:
- Generierung von Token – Definition des Prozesses, wie ein Token erstellt wird
- Abbildung von Token – Beschreibung des Zuordnungsprozesses des Tokens zu seinem ursprünglichen PAN-Wert
- Kartendatenspeicher – Bestimmung eines zentralen Kartendatenspeichers, der für den Prozess der Tokenabbildung genutzt wird
- Kryptographische Schlüsselverwaltung – Beschreibung des Prozesses, wie kryptographische Schlüssel verwaltet und genutzt werden, um Karteninhaber und Kontodaten zu schützen
Die Leitfäden von Visa für Tokenisierung und Data Field Encryption können online unter http://www2.visaeurope.com/merchant/ais/resourcesanddownloads.jsp abgerufen werden.
