Nu starten  Neem contact op 
Nu starten  Neem contact op 

Kaarttokenisatie in Italië: hoe dit betalingen veiliger maakt

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Wat is kaarttokenisatie en waarvoor wordt het gebruikt?
    1. Wat betekent het om een creditcard te tokeniseren?
  3. Belangrijkste voordelen van kaarttokenisatie voor betalingsveiligheid
  4. Verschillen tussen kaarttokenisatie en kaartencryptie
    1. Encryptie
    2. Tokenisatie
  5. PSD2 en kaarttokenisatie
    1. Sterke authenticatie en minder risico
    2. Minder risico voor PSP’s en ondernemingen
    3. Tokenisatie en vrijstelling van SCA
    4. Samenwerking tussen de uitgever en de acquirerende bank
  6. Hoe kaarttokenisatie werkt
    1. Genereren van tokens
    2. Koppeling tussen token en echte gegevens
    3. Gebruik van het token bij de transactie
    4. Geldigheid en toepassingsgebied van tokens
    5. Vernieuwing en rotatie van tokens
    6. Wanneer kaarten niet kunnen worden getokeniseerd
  7. Verbeterd vertrouwen van klanten en transactieveiligheid met kaarttokenisatie
    1. Communicatie over veiligheid
    2. Minder fraude en chargebacks
    3. Eenvoudigere klantervaring en veilige opslag van gegevens
    4. Omnichannel-strategieën
    5. Onderscheid in de markt
    6. Compatibiliteit met moderne diensten
  8. Kaarttokenisatie met Stripe Payments
  9. Aan de slag met Stripe 

Kaarttokenisatie is een van de belangrijkste beveiligingshulpmiddelen voor moderne digitale betalingen. In dit artikel leggen we uit wat het betekent om een kaart te tokeniseren, inclusief hoe het werkt, de voordelen voor de betalingsveiligheid en de verschillen met traditionele encryptie. We leggen ook uit hoe de herziene Payment Services Directive (PSD2) in deze context past en hoe tokenisatie het vertrouwen van klanten kan vergroten en veiligheidsrisico's kan verminderen.

Wat staat er in dit artikel?

  • Wat is kaarttokenisatie en waarvoor wordt het gebruikt?
  • Belangrijkste voordelen van kaarttokenisatie voor de veiligheid van betalingen
  • Verschillen tussen kaarttokenisatie en kaartencryptie
  • PSD2 en kaarttokenisatie
  • Hoe kaarttokenisatie werkt
  • Verbeterd vertrouwen van klanten en transactieveiligheid met kaarttokenisatie
  • Kaarttokenisatie met Stripe Payments

Wat is kaarttokenisatie en waarvoor wordt het gebruikt?

Kaarttokenisatie is het proces waarbij gevoelige betaalkaartgegevens (zoals kaartnummer, vervaldatum en kaartverificatiecode [CVV]) worden vervangen door een token. Tokens zijn unieke identificatiecodes die geen informatieve waarde hebben voor onbevoegde partijen. Ze kunnen worden gebruikt om transacties veilig te autoriseren zonder de daadwerkelijke kaartgegevens bloot te geven. In de praktijk vertegenwoordigt een token de versleutelde vorm van de oorspronkelijke informatie en maakt het mogelijk om betalingstransacties alleen uit te voeren binnen systemen die beschikken over de sleutels of autorisaties die nodig zijn om deze terug te voeren naar de daadwerkelijke gegevens.

Het doel van kaarttokenisatie is om de klant en het bedrijf te beschermen tegen het blootgeven van gevoelige gegevens. Zelfs als een systeem wordt gehackt, zijn getokeniseerde gegevens (bijvoorbeeld een getokeniseerde kaart) onbruikbaar voor fraudeurs. Dit mechanisme vermindert het aanvalsoppervlak en vereenvoudigt de compliancevereisten onder de Payment Card Industry Data Security Standard (PCI DSS), aangezien het bedrijf de daadwerkelijke kaartgegevens niet opslaat of rechtstreeks verwerkt. Dit kan helpen om digitale betalingen veiliger te maken.

Wat betekent het om een creditcard te tokeniseren?

Het tokeniseren van een creditcard betekent dat de echte kaartgegevens (zoals kaartnummer, vervaldatum, CVV-code) worden vervangen door een unieke code, een zogenaamd token. Dit token kan worden gebruikt om betalingen te autoriseren zonder de originele informatie bloot te geven. Dit kan de veiligheid van online transacties verhogen.

Belangrijkste voordelen van kaarttokenisatie voor betalingsveiligheid

Kaarttokenisatie biedt verschillende voordelen voor mensen die betalingen doen en ontvangen. Naast het beschermen van gevoelige klantgegevens, helpt dit systeem betalingsfraude te verminderen, compliancebeheer te vereenvoudigen en het algehele vertrouwen in de betalingservaring te verbeteren. De belangrijkste veiligheidsvoordelen zijn als volgt:

  • Risicobeperking bij datalekken
    Als fraudeurs de database van een onderneming hacken, vinden ze alleen tokens, willekeurig gegenereerde reeksen cijfers die geen directe link hebben met de echte kaartgegevens. Zelfs als de tokens worden onderschept of gestolen, kunnen ze niet worden herleid tot de echte kaartnummers zonder toegang tot het beveiligde systeem dat de koppelingen tussen tokens en originele gegevens beheert. Op deze manier levert een mogelijke cyberaanval geen bruikbare informatie op, omdat gevoelige gegevens nooit worden opgeslagen of direct worden blootgesteld.

  • Minder PCI DSS-complianceverplichtingen en lagere kosten
    De onderneming slaat de echte kaartgegevens niet op en verwerkt ze niet direct. Dit vermindert de omvang van de controles die vereist zijn door de PCI DSS. Met andere woorden, kaarttokenisatie vereenvoudigt de compliancevereisten en verlaagt de beveiligingsgerelateerde kosten, terwijl een hoog beschermingsniveau gehandhaafd blijft.

  • Veiligere transacties en meer vertrouwen bij klanten
    Als klanten zien dat een onderneming moderne technologie zoals kaarttokenisatie gebruikt, vertrouwen ze er misschien op dat het bedrijf hun gegevens beschermt. Daarom kan tokenisatie het vertrouwen in het merk vergroten, wat kan leiden tot hogere conversiepercentages en minder verlaten winkelwagentjes.

  • Flexibiliteit bij terugkerende betalingen en geheugenopslag
    Ondernemingen kunnen tokens opslaan in plaats van de daadwerkelijke kaartnummers voor toekomstige transacties, zoals terugkerende betalingen, abonnementen of aankopen met één klik (d.w.z. transacties waarbij klanten betalingen voltooien met één klik zonder elke keer opnieuw kaartgegevens in te voeren). Dit zorgt voor een snelle en eenvoudige winkelervaring zonder dat dit ten koste gaat van de veiligheid.

  • Ondersteuning voor nieuwe technologieën zoals digitale wallets
    Veel digitale wallets (bijvoorbeeld Apple Pay, Google Pay) gebruiken tokenisatie als onderdeel van hun interne beveiligingssystemen om kaartgegevens tijdens betalingen te beschermen. Daarom is creditcardtokenisatie ook belangrijk in deze scenario's. Door dit te gebruiken, kunnen bedrijven makkelijker en veiliger digitale wallets integreren, waardoor klanten een soepele en veilige betaalervaring krijgen.

Verschillen tussen kaarttokenisatie en kaartencryptie

Kaarttokenisatie en kaartgegevensencryptie zijn vergelijkbare concepten met grote verschillen. Hieronder bekijken we de belangrijkste verschillen.

Encryptie

Encryptie is een techniek die wordt gebruikt om gevoelige gegevens te beschermen door ze om te zetten in een reeks tekens die onleesbaar is zonder de sleutel die nodig is om ze te ontsleutelen. Het kaartnummer, de vervaldatum en de veiligheidscode worden met behulp van een wiskundig algoritme omgezet in een versleutelde code. Alleen de decryptiesleutel kan die code in zijn oorspronkelijke vorm herstellen.

Dit systeem wordt veel gebruikt om informatie te beschermen wanneer deze wordt verzonden (bijvoorbeeld bij het invoeren van kaartgegevens op een website) of wanneer deze veilig moet worden opgeslagen in een digitaal archief. De veiligheid van encryptie hangt echter grotendeels af van de bescherming van de sleutel. Als de sleutel wordt gestolen of gecompromitteerd, kan een frauduleuze actor de gegevens ontsleutelen en deze herleiden tot de daadwerkelijke kaartnummers.

Bovendien neemt encryptie de noodzaak om gevoelige gegevens op te slaan niet volledig weg. In plaats daarvan maakt encryptie gegevens minder toegankelijk. Hoewel het een fundamentele maatregel is, is encryptie minder effectief dan kaarttokenisatie om het aanvalsoppervlak te verkleinen. Encryptie ‘maskeert’ gegevens, terwijl tokenisatie deze volledig vervangt, waardoor ze niet in leesbare tekst kunnen worden opgeslagen of verwerkt.

Wat is een versleutelde kaart?

Deze kaarten zetten gevoelige gegevens (bijvoorbeeld nummer, vervaldatum, veiligheidscode) om in een versleutelde code met behulp van encryptiealgoritmen. Dit zorgt ervoor dat de oorspronkelijke informatie onleesbaar blijft en beschermd is tegen ongeoorloofde toegang tijdens verzending of opslag.

Tokenisatie

Bij dit proces worden gevoelige kaartgegevens vervangen door een alternatieve waarde, een zogenaamd token. Het token heeft geen betekenis buiten het systeem dat het heeft gegenereerd. In wezen is het token een gecreëerde identificatiecode die alleen binnen een gecontroleerde en beveiligde omgeving de daadwerkelijke kaart vertegenwoordigt.

Wanneer een transactie wordt geïnitieerd, gebruikt het betalingssysteem het token in plaats van de daadwerkelijke kaartgegevens. De betaaldienstaanbieder (PSP) beheert de zogenaamde “digitale kluis” waarin de overeenkomsten tussen tokens en echte gegevens worden opgeslagen. Alleen de PSP kan dat token terugvoeren naar de oorspronkelijke kaart.

Zelfs als een token door frauduleuze actoren zou worden onderschept, zou het niet kunnen worden gebruikt om de kaartgegevens te traceren of frauduleuze betalingen te verrichten. Het token heeft namelijk geen waarde buiten het systeem dat het heeft aangemaakt en kan niet worden gedecodeerd of elders worden hergebruikt.

Op deze manier kan kaarttokenisatie het risico op gegevensdiefstal drastisch verminderen en de blootstelling van gevoelige informatie beperken. Dit kan een hoger beveiligingsniveau garanderen dan eenvoudige encryptie.

Verschillen tussen encryptie en tokenisatie

Functie

Encryptie

Tokenisatie

Omkeerbare transformatie

Ja, via een sleutel

Nee, alleen het systeem dat de koppeling tussen tokens en echte gegevens (d.w.z. mapping) beheert, kan de oorspronkelijke gegevens traceren

Gecentraliseerde controle

Beheer via encryptiesleutel

Beheer via tokenkluis, een “digitale kluis” die de relatie tussen tokens en echte gegevens veilig opslaat

Risico op compromittering

Gegevens gecompromitteerd via gestolen sleutels

Als tokenkluis gecompromitteerd, individuele tokens onbruikbaar

Hoofddoel

Gegevensbescherming tijdens transacties of in rust

Minimaliseert directe blootstelling van gevoelige gegevens

Operationele complexiteit

Veilig sleutelbeheer

Beheer van kluizen of externe diensten

PSD2 en kaarttokenisatie

PSD2, de evolutie van de Europese wetgeving inzake digitale betalingen, heeft strenge beveiligingseisen (bijv. sterke cliëntauthenticatie [SCA]) en verantwoordelijkheden voor exploitanten in betalingsprocessen geïntroduceerd. In deze context speelt tokenisatie een strategische rol.

Sterke authenticatie en minder risico

In veel gevallen moet je volgens PSD2 klanten verifiëren met een tweefactorauthenticatiesysteem, waarbij je kunt kiezen uit drie manieren:

  • Eigen spullen: smartphones of beveiligingstokens
  • Persoonsgegevens: wachtwoorden of pincodes
  • Biometrische gegevens: vingerafdrukken of gezichtsherkenning

Kaarttokenisatie helpt de risico's van gegevensblootstelling te verminderen en maakt het makkelijker om veilige authenticatietechnieken te gebruiken.

Minder risico voor PSP's en ondernemingen

Volgens PSD2 moeten PSP's en ondernemingen goede beveiligingsmaatregelen nemen. Als kaarttokenisatie al is geïmplementeerd, worden veel verantwoordelijkheden voor het beschermen van gevoelige gegevens overgedragen aan de aanbieder die de tokens en de kluis beheert, waardoor er minder werk is om aan de regels te voldoen.

Tokenisatie en vrijstelling van SCA

PSD2 vereist niet altijd dat SCA wordt toegepast. Dit is het geval voor transacties met kleine bedragen of transacties die als laagrisico worden beschouwd. In dergelijke gevallen kan het gebruik van tokenisatie in combinatie met risicobeoordelingssystemen die door de PSP worden toegepast, helpen aantonen dat de transactie veilig is en in aanmerking komt voor vrijstelling.

Samenwerking tussen de uitgever en de acquirerende bank

PSD2 bevordert een grotere interoperabiliteit tussen actoren in het betalingssysteem (bijvoorbeeld de uitgever, de acquirerende bank, PSP). Creditcardtokenisatie kan helpen om de gegevensbescherming tussen verschillende entiteiten te standaardiseren, wat de fragmentatie in beveiligingssystemen kan verminderen.

Hoe kaarttokenisatie werkt

Hier leggen we uit hoe kaarttokenisatie werkt in een betaalplatform. Dit omvat hoe de bijbehorende cyclus wordt beheerd, van het genereren van tokens tot de transactie.

Genereren van tokens

Wanneer een klant zijn kaartgegevens invoert, worden deze veilig naar het betalingssysteem gestuurd. Het systeem controleert de geldigheid van de informatie door te communiceren met het kaartcircuit, zoals Visa, Mastercard of American Express. Zodra de controle is voltooid, genereert het systeem een uniek token (d.w.z. een alfanumerieke identificatiecode) dat de getokeniseerde kaart vertegenwoordigt.

Koppeling tussen token en echte gegevens

Het tokenisatiesysteem heeft een kluis of beveiligde database waar het token wordt gekoppeld aan de echte kaartgegevens. Alleen het beveiligde interne systeem kan het token terugkoppelen naar de echte gegevens. Dit kan alleen tijdens het transactieautorisatieproces door systemen met de juiste beveiligingsgegevens.

Gebruik van het token bij de transactie

Wanneer een betaling wordt gedaan, zoals een terugkerende aankoop, stuurt het bedrijf het token naar de betaalgateway in plaats van de echte gegevens. De gateway decodeert het intern om de echte gegevens te verkrijgen, stuurt het autorisatieverzoek door naar het kaartcircuit en ontvangt een antwoord (d.w.z. goedkeuring of afwijzing).

Geldigheid en toepassingsgebied van tokens

Het token kan geldigheidsbeperkingen hebben. Het kan bijvoorbeeld beperkt zijn tot een specifieke onderneming, een specifieke context (bijvoorbeeld alleen voor terugkerende betalingen) of een specifieke periode. Deze beperkingen maken het nog veiliger: zelfs als het token openbaar zou worden gemaakt, zou het niet automatisch elders bruikbaar zijn.

Vernieuwing en rotatie van tokens

Het systeem kan periodiek of op verzoek nieuwe tokens voor dezelfde kaart genereren. Hierdoor worden de oude tokens ongeldig, wat op de lange termijn de veiligheid kan verbeteren. Als de kaart verandert, bijvoorbeeld omdat deze is verlopen of vervangen, kan het systeem een nieuw token genereren.

Wanneer kaarten niet kunnen worden getokeniseerd

In sommige gevallen kan de kaart niet worden getokeniseerd vanwege technische problemen of regels met betrekking tot het kaartcircuit of de uitgever. Tokenisatie kan bijvoorbeeld worden geweigerd als de kaartgegevens ongeldig of onjuist zijn opgegeven, de kaart is verlopen of niet voldoet aan de regels van de uitgevende instelling. Dit kan het geval zijn bij sommige prepaidkaarten of niet-ondersteunde lokale circuits.

Het probleem kan ook optreden als de tokenisatiedienst tijdelijk niet beschikbaar is of als fraudecontroles zijn geactiveerd die de transactie om veiligheidsredenen tijdens het proces blokkeren.

Met andere woorden, wanneer een bericht zoals “kan creditcard niet tokeniseren” verschijnt, meldt het systeem dat het geen geldig token kon aanmaken vanwege een van deze technische of compliancefactoren.

Verbeterd vertrouwen van klanten en transactieveiligheid met kaarttokenisatie

Het invoeren van kaarttokenisatie is een technische kwestie die een directe invloed kan hebben op het vertrouwen van klanten en de perceptie van het merk. Hieronder leggen we uit hoe.

Communicatie over veiligheid

Wanneer een onderneming duidelijk communiceert hoe het klantgegevens beschermt, kan dit helpen om vertrouwen op te bouwen. Wanneer klanten weten dat hun kaartgegevens nooit in leesbare vorm worden opgeslagen, maar worden beheerd via tokenisatie en geavanceerde encryptiesystemen, kunnen ze een gevoel van veiligheid en betrouwbaarheid krijgen. Klanten weten dat elke betaling plaatsvindt in een gecontroleerde en veilige omgeving, wat de angst voor online fraude kan verminderen.

Minder fraude en chargebacks

Tokenisatie vermindert het risico dat gestolen kaartnummers worden gebruikt in het systeem van een onderneming. Als een token wordt gehackt, kan deze niet worden gebruikt buiten de context waarvoor deze is gegenereerd. Dit leidt tot minder frauduleuze transacties en chargebacks, wat de kosten voor geschillenbeheer kan verlagen.

Eenvoudigere klantervaring en veilige opslag van gegevens

Ondernemingen kunnen de kaarten van klanten veilig opslaan. Dit betekent dat klanten niet bij elke aankoop opnieuw hun gegevens hoeven in te voeren: het token is voldoende. Dit kan het aankoopproces soepeler laten verlopen, wrijving verminderen en op de lange termijn de conversie verhogen.

Omnichannel-strategieën

Als een onderneming verschillende betaalmethoden accepteert, zoals online, via een mobiele app of in de winkel, kan kaarttokenisatie het bedrijf helpen om betalingen via alle kanalen op een uniforme en veilige manier te beheren. De onderneming kan klanten een consistente betaalervaring bieden, ongeacht waar ze hun aankopen doen. Tokenisatie kan ook zorgen voor een gecentraliseerde infrastructuur die gemakkelijk te beheren is voor ondernemingen.

Onderscheid in de markt

In een concurrerende omgeving kunnen ondernemingen beveiligingsfuncties gebruiken om zich te onderscheiden van concurrenten. E-commerce sites die tokenisatie gebruiken, kunnen zich onderscheiden, vooral in sectoren waar vertrouwen belangrijk is (bijvoorbeeld fintech, neobanking en marktplaatsen).

Compatibiliteit met moderne diensten

Veel digitale wallets (bijvoorbeeld Apple Pay, Google Pay) gebruiken tokenisatie om virtuele bankkaartnummers te genereren. Als een onderneming al een systeem heeft dat creditcards tokeniseert, is het makkelijker en veiliger om deze digitale wallets te integreren.

Kaarttokenisatie met Stripe Payments

Stripe Payments werkt rechtstreeks samen met grote creditcardnetwerken, zoals Visa, Mastercard en American Express, om het primaire rekeningnummer (PAN) van elke klant te tokeniseren en om te zetten in een veilig netwerktoken. Dit systeem houdt tokens automatisch up-to-date, zelfs als de kaartgegevens veranderen. Als een klant bijvoorbeeld zijn kaart kwijtraakt of een nieuwe krijgt, laat het kaartnetwerk Stripe dit weten en wordt het token in realtime bijgewerkt. Betalingen kunnen gewoon doorgaan zonder dat de klant zijn gegevens hoeft te wijzigen.

Met geïntegreerd tokenbeheer is de oplossing klaar voor gebruik voor alle ondernemingen die Payments gebruiken. De integratie met circuits is volledig geautomatiseerd. Stripe vraagt tokens aan en beheert deze namens jou. Dit bespaart maanden aan technische ontwikkeling. Regelmatige updates van het systeem kunnen je bedrijf ook helpen om zonder jouw tussenkomst gelijke tred te houden met veranderingen in de circuits.

Lees meer over hoe Stripe Payments je kan helpen bij het tokeniseren van kaarten en het veiliger maken van je online betalingen.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Er is iets misgegaan. Probeer het opnieuw of neem contact op met support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.