Ein Blick unter die Haube: TSP, Wallets und der Weg des Tokens
Nachdem wir geklärt haben, warum wir tokenisieren müssen, stellt sich die Frage: Wie funktioniert das eigentlich technisch? Viele Entscheidungsträger unterschätzen die Komplexität, die hinter einem einfachen „Hinzufügen zu Apple Pay“ steckt.
Im Zentrum des Geschehens steht der TSP (Token Service Provider). In den meisten Fällen übernehmen die Schemes selbst diese Rolle – also der Visa Token Service (VTS) oder der Mastercard Digital Enablement Service (MDES). Wenn ein Kunde seine Karte digitalisiert, passiert Folgendes:
- Initialisierung: Die Wallet (z.B. Apple Pay) fragt beim Issuer an: „Darf ich diese Karte digitalisieren?“
- ID&V (Identification & Verification): Hier scheitern viele Projekte. Die Bank muss sicherstellen, dass derjenige, der die Karte dem Handy hinzufügt, auch wirklich der Kontoinhaber ist. SMS-OTP, App-to-App-Verifizierung oder Call-Center? Die Wahl der Methode entscheidet über User Experience (UX) und Betrugsraten.
- Token-Generierung: Der TSP tauscht die PAN gegen einen Token aus und verknüpft diesen kryptografisch mit dem Gerät.
- Provisionierung: Der Token landet sicher im „Secure Element“ des Smartphones.
Der entscheidende Vorteil für Issuers liegt in der Entkopplung. Die physische Karte und der digitale Token führen ein getrenntes Leben. Verliert der Kunde sein Portemonnaie, muss er die Plastikkarte sperren lassen. Der Token auf dem Handy kann – bei korrekter Konfiguration – weiterlaufen. Das verhindert Umsatzausfälle.
Doch die Tücke liegt im Detail. Die Schnittstellen zu VTS und MDES sind lebende Organismen. Spezifikationen ändern sich, neue Felder kommen hinzu. Eine Bank, die hier „einmal baut und nie wieder anfasst“, wird schnell Probleme bekommen. Eine robuste Middleware und ein tiefes Verständnis der EMVCo-Standards sind unerlässlich, um nicht bei jedem iOS-Update böse Überraschungen zu erleben.