Click to Pay: Abschied von der Kreditkartennummer

Die Kreditkarte gehört zu den beliebtesten Zahlungsarten im E-Commerce, vor allem im grenzüberschreitenden Einkauf. In traditionellen „Kartenländern“ wie den USA oder Großbritannien steht sie sogar ganz oben auf der Beliebtheitsskala. Eigentlich erstaunlich, denn die Eingabe der Kartennummer ist ziemlich unpraktisch. Das soll sich nach dem Willen der großen Kartenmarken ändern. „Click to Pay“ heißt das Zauberwort.

Wie funktioniert Click to Pay?

Den griffigen Namen Click to Pay trägt das neue Verfahren, das sich 2023 auch im deutschen Onlinehandel etablieren soll. Anders als beispielsweise Apple Pay ist Click to Pay kein sichtbares Wallet, das als App auf dem Smartphone liegt und mit einem Tippen die darin integrierten Karten ausweist. Vielmehr ist Click to Pay eine Funktionalität. Ist eine Karte dafür erst einmal freigeschaltet und beim ersten Bezahlen mit dem Gerät verbunden worden, lädt Click to Pay beim nächsten Einkauf automatisch alle notwendigen Angaben im Hintergrund.

Die manuelle Eingabe wird unnötig. Dazu wird die integrierte Geräteerkennung genutzt, und für die Authentifizierung, die die europäische Zahlungsdiensterichtlinie PSD2 vorschreibt, kann auch gleich das Verfahren des Geräts verwendet werden, zum Beispiel die Gesichtserkennung eines Smartphones. Auf diese Weise wird ein echter One-Click-Check-out möglich, bei dem alle Daten im Hintergrund bleiben – perfekt für das reibungslose Einkaufen.

Ein Scheme Token sorgt für Sicherheit

Trotzdem ist die Sicherheitsstufe noch einmal höher als bei den bislang üblichen, auch schon stark abgesicherten Kreditkartenformularen, wie sie derzeit noch überwiegend eingesetzt werden. Verantwortlich dafür ist ein sogenanntes Scheme Token. Ein Token ist zunächst nur eine Ersatznummer, die nach dem Zufallsprinzip an die Stelle der Original-PAN (PAN = Primary Account Number), also der 16-stelligen Kartennummer, rückt.[1]

Die Scheme Tokens sind eine Weiterentwicklung dieses Prinzips; sie umfassen nicht nur die eigentliche Kartennummer, sondern auch das Ablaufdatum und den CVV-Code (CVV = Card Verification Value, der dreistellige Sicherheitscode auf der Kartenrückseite). Im Datensatz enthalten ist eine digitale Kopie der Kartengrafik, sodass die Karte auch optisch vom Kunden wiedererkannt werden kann. Ein Kryptogramm ergänzt die Sicherheitsmerkmale; es verändert sich von Transaktion zu Transaktion und macht das Token selbst im unwahrscheinlichen Fall der Aufdeckung für einen betrügerischen Einsatz unbrauchbar.

Anders als frühere Tokens enthält die neue Generation auch eine Gerätebindung, sodass einerseits die Wiedererkennung vereinfacht und andererseits der Einsatz auf unberechtigten Geräten zusätzlich erschwert wird. Eine weitere Besonderheit der Scheme Tokens liegt darin, dass Änderungen wie der Ersatz der Karte nach Erreichen des Ablaufdatums zwischen der kartenausgebenden Bank (dem Issuer) und dem Kartennetzwerk kommuniziert werden, damit die Karte nicht beim Händler im Kundenkonto neu angemeldet werden muss.

Die girocard ist nicht dabei

Click to Pay ist eine Entwicklung von EMVCo, einem gemeinsamen Unternehmen der großen Kartengesellschaften. Daher wird die wechselseitige Nutzung der Debit- und Kreditkarten von Visa, Mastercard, American Express und Diners/Discover möglich sein, die deutsche girocard muss jedoch außen vor bleiben. Die Registrierung der Karten erfolgt entweder über einen speziellen Bereich auf der Website der Kartenmarke oder über die Hausbank.

Seit dem Frühjahr 2021 ist „Click to Pay mit Visa“ für Händler von Computop verfügbar, weitere Payment-Service-Provider steigen derzeit in das Thema ein. Mit der Einrichtung des neuen Verfahrens durch die vier großen amerikanischen Kartenmarken, die 2023 abgeschlossen werden soll, wird das Angebot für Onlineshops komplett, sodass mit einer zunehmenden Sichtbarkeit von Click to Pay im E-Commerce gerechnet werden darf. Denn so einfach war das Bezahlen mit der Kreditkarte noch nie.

[1] Der Payment-Service-Provider Computop hat dieses Verfahren bereits Anfang der 2000er-Jahre im E-Commerce eingeführt, damit Onlineshops eine Nummer im Kundenkonto speichern konnten, die im Falle eines Datendiebstahls keinen Schaden anrichten konnte. Mit dem Token konnten Händler eine maskierte Version der PAN speichern und im Check-out einblenden, dabei aber im Hintergrund das Token an Computop übergeben. Dieses wurde dann in der gesicherten Kommunikation mit dem Kartennetzwerk gegen die Originalnummer getauscht.

Sprechen Sie uns gerne an!

Henning Brandt / Autor BankingHub

Henning Brandt

Head of Communication Computop

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach