Die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) ist für Unternehmen, die Kreditkartendaten speichern, verarbeiten oder übertragen, von zentraler Bedeutung. Der Standard bildet die Grundlage für den Schutz sensibler Zahlungsdaten und stärkt zugleich das Vertrauen von Kunden und Geschäftspartnern.
Gerade in diesem Bereich bemerken wir als erfahrender akkreditierter Assessor, dass ein steigendes Interesse an Tokenisierung besteht. Bei der Tokenisierung wird die sogenannte Primary Account Number (PAN) durch einen nicht sensiblen Ersatzwert, einen sogenannten Token, ersetzt. Da Tokens in vielen Fällen nicht als Kreditkartendaten gelten, kann es ein effektiver Hebel sein, um Prüfaufwände, Kosten und Komplexität zur Erfüllung der PCI DSS Requirements zu reduzieren.
In diesem Beitrag zeigen wir Ihnen, welche Vorteile diese Methode für Sie als Unternehmen bietet, welche Herausforderungen es zu beachten gilt und mit welchen strategischen Überlegungen eine erfolgreiche Implementierung gelingt.
Für wen ist Tokenisierung relevant?
Egal ob Händler, Zahlungsdienstleister, Acquirer, Service Provider oder Auditor*in: Momentan kommen Akteure im Bereich der Zahlungssicherheit nicht um den Begriff Tokenisierung herum. Eine Tokenisierungslösung kann für fast alle Unternehmen, bei denen die Speicherung von Kreditkartendaten kein Kernbestandteil des Geschäftsmodells ist, eine Option sein:
- Online- oder Omnichannel-Händler
- SaaS-/IaaS-Service-Provider mit Bezahlfunktion
- Marktplatz-Betreiber und Payment Facilitators
- Hersteller von Kassensystemen oder Bestell-Apps
Im weiteren Verlauf des Artikels wird exemplarisch vom Händler gesprochen; gemeint sind jedoch alle Unternehmen, für die die Speicherung von Kartendaten nicht zum Kerngeschäft zählt und für die eine Tokenisierungslösung daher eine geeignete Option darstellen kann.
Was ist eine Tokenisierungslösung?
Je nach Geschäftsmodell und Kostenfaktor kann Tokenisierung bei Unternehmen unterschiedlich implementiert werden:
- Eine On-Premises- bzw. In-House-Lösung, die das Unternehmen in seiner eigenen IT-Infrastruktur betreibt.
- Eine ausgelagerte Lösung, bei der das Management der Tokenisierung an einen externen Tokenization Service Provider (TSP) außerhalb der Infrastruktur und Kontrolle des eigenen Unternehmens übertragen wird.
- Ein hybrides Modell, das On-Premises-Komponenten mit ausgelagerten Komponenten kombiniert.
Die folgende Abbildung veranschaulicht beispielhaft, wie sich die Zuständigkeiten zwischen einem Händler und einem TSP abhängig vom Bereitstellungsmodell der Tokenisierung unterscheiden können:
Unsere erfahrenden Expert*innen aus dem Bereich PCI & Payment Security beobachten bei ihren Kundenprojekten, dass eine Auslagerung zu einem Tokenisierungsdienstleister bzw. Tokenization Solution Provider derzeit die beliebteste Lösung ist. Bei der Auslagerung kann die Verantwortung für die Einhaltung des PCI DSS teilweise vom Händler selbst auf den TSP übergehen. Dies betrifft insbesondere jene Systemkomponenten des Tokenisierungssystems, die vom Dienstleister betrieben werden und sich außerhalb des Einflussbereichs des Händlers befinden. Dabei sieht der Prozess der Tokenisierung wie folgt aus:
Was genau sind Tokens und wie funktioniert Tokenisierung im Detail?
Wie bereits kurz erwähnt, wird bei der Tokenisierung insbesondere die Primary Account Number (PAN) durch einen stellvertretenden Wert, einen sogenannten Token, ersetzt. Bei der De-Tokenisierung handelt es sich um den umgekehrten Vorgang, bei dem ein Token gegen seinen zugehörigen PAN-Wert ausgetauscht wird. Die Sicherheit eines einzelnen Tokens beruht hauptsächlich darauf, dass es praktisch unmöglich ist, aus dem stellvertretenden Wert (dem Token) auf die ursprüngliche PAN zu schließen.
Wie wirkt sich Tokenisierung auf Ihren PCI DSS Scope aus?
Gemäß Requirement 3.5 des PCI DSS v4.0.1 ist es zulässig, Tokenisierung einzusetzen, um die PAN unlesbar zu machen, indem sie durch einen Token ersetzt wird. Da Tokens selbst nicht in den PCI DSS Scope fallen, kann Tokenisierung verwendet werden, um den Scope der Zertifizierung deutlich zu verkleinern.
Die folgenden Regelungen gelten für den Einsatz von Tokenisierung im Kontext des PCI DSS:
- Eine Tokenisierungslösung entbindet nicht von der Pflicht, PCI DSS Compliance aufrecht zu erhalten und nachzuweisen. Sie kann jedoch den Validierungsaufwand verringern, weil weniger Systemkomponenten den PCI DSS Requirements unterliegen.
- Die Wirksamkeit der Tokenisierung muss überprüft werden. Dazu gehört insbesondere der Nachweis, dass aus allen aus dem PCI DSS Scope herausgenommenen Systemkomponenten keine PAN mehr rekonstruiert werden kann.
Bei der Implementierung einer ausgelagerten Tokenisierungslösung haben unsere Expert*innen bereits bei mehreren Kunden erfolgreich unterstützt – dabei stets im Blick die Einhaltung des PCI DSS. Die nachfolgende Abbildung aus einem Kundenprojekt verdeutlicht, wie sich die Anzahl der relevanten Auditsitzungen vor und nach der Implementierung der Tokenisierungslösung bei dem speziellen Kunden verändert hat:
Wenn die Tokenisierungslösung ausgelagert wird, welche Requirements verbleiben in Ihrem Scope?
Auch nach erfolgreicher Implementierung einer ausgelagerten Tokenisierungslösung verbleibt die Verantwortung für bestimmte Aktivitäten zur Aufrechterhaltung der PCI DSS Compliance weiterhin bei dem Händler.
Die Sicherheit dieses Auslagerungsprozesses ist abhängig von der korrekten Implementierung der Tokenisierungslösung in die technische Umgebung des Händlers oder Service Providers. Die PCI Compliance muss daher für weiterhin bestehende Anforderungen hergestellt werden, die diese Schnittstelle absichern.
Zukünftig teilen sich die Aufgaben im Rahmen der PCI Compliance zwischen dem Händler und dem ausgewählten Tokenization Service Provider auf. Zwar verbleiben weiterhin bestimmte Verantwortlichkeiten bei dem Händler, jedoch konnte der PCI DSS Scope deutlich reduziert werden: Ein Teil der Compliance-Anforderungen liegt nun in der Zuständigkeit des TSP.
Wichtig: Verstehen Sie dennoch die Risiken einer Tokenisierungslösung
Tokenisierung ist eine sich entwickelnde Technologie, und wie bei vielen sich entwickelnden Technologien gibt es derzeit keine Branchenstandards für die Implementierung sicherer Tokenisierungslösungen. Sollte Ihr Unternehmen sich für eine Tokenisierung entscheiden, sollte jede Lösung vor der Implementierung sorgfältig prüfen werden, um die potenziellen Auswirkungen auf Ihre CDE vollständig zu verstehen. Denn sobald Sie die Lösung zur Tokenisierung auslagern, übertragen Sie damit nicht nur die Verantwortung für die Daten an den Tokenization Solution Provider, sondern auch das Sicherheitsrisiko zum Schutz dieser Daten. Wir empfehlen Ihnen daher eine Prüfung bei der Auswahl des TSP vorzunehmen. Ein Qualitätsmerkmal ist beispielsweise eine aktuelle PCI DSS Zertifizierung.
Tokenisierung ist auch bei Ihnen ein relevantes Thema? Oder benötigen Sie Hilfe bei der Vorbereitung oder Umsetzung von PCI DSS in Ihrem Unternehmen? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
