Börja nu  Kontakta säljteamet 
Börja nu  Kontakta säljteamet 

Korttokenisering i Italien: Hur det gör betalningar säkrare

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Vad är korttokenisering, och vad används det till?
    1. Vad betyder det att tokenisera ett kreditkort?
  3. Viktiga fördelar med korttokenisering för betalningssäkerhet
  4. Skillnader mellan korttokenisering och kortkryptering
    1. Kryptering
    2. Tokenisering
  5. PSD2 och korttokenisering
    1. Stark autentisering och minskad risk
    2. Minskad risk för PSP:er och företag
    3. Tokenisering och SCA-undantag
    4. Samarbete mellan den utfärdande och inlösande banken
  6. Hur korttokenisering fungerar
    1. Tokengenerering
    2. Koppling mellan token och faktiska data
    3. Tokenanvändning i transaktionen
    4. Tokens giltighet och användningsområde
    5. Förnyelse och rotation av token
    6. När kort inte kan tokeniseras
  7. Förbättrat kundförtroende och transaktionssäkerhet med korttokenisering
    1. Kommunikation av säkerhet
    2. Minskade bedrägerier och återkrediteringar
    3. Förenklad kundupplevelse och säker minneslagring
    4. Omnikanalstrategier
    5. Differentiering på marknaden
    6. Kompatibilitet med moderna tjänster
  8. Korttokenisering med Stripe Payments
  9. Börja med Stripe 

Korttokenisering är ett av de viktigaste säkerhetsverktygen för moderna digitala betalningar. I den här artikeln förklarar vi vad det innebär att tokenisera ett kort, inklusive hur det fungerar, dess fördelar för betalningssäkerhet och skillnader jämfört med traditionell kryptering. Vi förklarar också hur det reviderade Betaltjänstdirektivet (PSD2) passar in i detta sammanhang och hur tokenisering kan öka kundförtroendet och minska säkerhetsrisker.

Vad innehåller den här artikeln?

  • Vad är korttokenisering, och vad används det till?
  • Viktiga fördelar med korttokenisering för betalningssäkerhet
  • Skillnader mellan korttokenisering och kortkryptering
  • PSD2 och korttokenisering
  • Hur korttokenisering fungerar
  • Förbättrat kundförtroende och transaktionssäkerhet med korttokenisering
  • Korttokenisering med Stripe Payments

Vad är korttokenisering, och vad används det till?

Korttokenisering är processen där känslig betalningskortdata (t.ex. kortnummer, utgångsdatum och kortverifieringsvärde [CVV]) ersätts av en token. Tokens är unika identifierare utan informationsvärde för obehöriga parter. De kan användas för att godkänna transaktioner säkert utan att exponera de faktiska kortuppgifterna. I praktiken representerar en token den krypterade formen av originalinformationen och tillåter att betalningstransaktioner endast genomförs inom system som har de nycklar eller auktorisationer som krävs för att spåra den tillbaka till den faktiska datan.

Syftet med korttokenisering är att skydda kunden och företaget från att avslöja känslig data. Även om ett system komprometteras skulle tokeniserad data (t.ex. ett tokeniserat kort) vara oanvändbar för bedrägliga aktörer. Denna mekanism minskar attackytan och förenklar efterlevnadskraven enligt Payment Card Industry Data Security Standard (PCI DSS), eftersom företaget inte lagrar eller hanterar faktiska kortdata direkt. Detta kan hjälpa till att göra digitala betalningar säkrare.

Vad betyder det att tokenisera ett kreditkort?

Att tokenisera ett kreditkort innebär att ersätta de faktiska kortuppgifterna (t.ex. kortnummer, utgångsdatum, CVV-kod) med en unik kod som kallas en token. Denna token kan användas för att godkänna betalningar utan att exponera den ursprungliga informationen. Detta kan öka säkerheten vid onlinetransaktioner.

Viktiga fördelar med korttokenisering för betalningssäkerhet

Korttokenisering erbjuder flera fördelar för dem som gör och tar emot betalningar. Förutom att skydda känsliga kunddata hjälper detta system till att minska betalningsbedrägeri, förenkla efterlevnadshanteringen och förbättra det övergripande förtroendet för betalningsupplevelsen. De viktigaste säkerhetsfördelarna är följande:

  • Riskminskning vid dataintrång
    Om bedrägliga aktörer hackar sig in i ett företags databas skulle de bara hitta tokens, som är slumpmässigt genererade nummersekvenser utan direkta länkar till de faktiska kortuppgifterna. Även om tokens skulle bli avlyssnade eller stulna, kan de inte spåras till de faktiska kortnumren utan tillgång till det säkra systemet som hanterar kopplingarna mellan tokens och originaldata. På så sätt skulle en potentiell cyberattack inte ge någon användbar information eftersom känsliga data aldrig lagras eller exponeras direkt.

  • Minskade efterlevnadsskyldigheter för PCI DSS och lägre kostnader
    Företaget lagrar eller hanterar inte själva kortdatan direkt. Detta minskar omfattningen av de kontroller som krävs av PCI DSS. Med andra ord förenklar korttokenisering efterlevnadskraven och sänker säkerhetsrelaterade kostnader samtidigt som en hög skyddsnivå upprätthålls.

  • Säkrare transaktioner och kundförtroende
    När kunder ser att ett företag använder modern teknik som korttokenisering, kan de lita på att företaget skyddar deras data. Därför kan tokenisering öka varumärkesförtroendet, vilket kan leda till högre konverteringsgrad och färre övergivna kundvagnar.

  • Flexibilitet i återkommande betalningar och minneslagring
    Företag kan lagra tokens istället för de faktiska kortnumren för framtida transaktioner, såsom återkommande betalningar, prenumerationer eller köp med ett klick (dvs. transaktioner där kunder slutför betalningar med ett enda klick utan att ange kortuppgifter igen varje gång). Detta kan säkerställa en snabb och enkel shoppingupplevelse utan att kompromissa med säkerheten.

  • Stöd för framväxande teknologier som digitala plånböcker
    Många digitala plånböcker (t.ex. Apple Pay, Google Pay) använder tokenisering som en del av sina interna säkerhetssystem för att skydda kortdata under betalningar. Därför är kreditkortstokenisering också viktigt i dessa scenarier. Att företag använder tekniken kan möjliggöra enklare och säkrare integration av digitala plånböcker, vilket ger kunderna en smidig och säker betalningsupplevelse.

Skillnader mellan korttokenisering och kortkryptering

Korttokenisering och kryptering av kortdata är liknande koncept med betydande skillnader. Nedan undersöker vi de viktigaste skillnaderna.

Kryptering

Kryptering är en teknik som används för att skydda känsliga data genom att omvandla den till en teckensekvens som är oläslig utan den nyckel som behövs för att dekryptera den. Kortnumret, utgångsdatumet och säkerhetskoden omvandlas till en krypterad kod med hjälp av en matematisk algoritm. Endast dekrypteringsnyckeln kan återställa koden till dess ursprungliga form.

Detta system används i stor utsträckning för att skydda information när den överförs (t.ex. vid inmatning av kortuppgifter på en webbplats) eller när den behöver lagras säkert i ett digitalt arkiv. Dock beror krypteringssäkerheten till stor del på nyckelskydd. Om nyckeln blir stulen eller komprometterad kan en bedräglig aktör dekryptera datan och spåra den tillbaka till de faktiska kortnumren.

Dessutom eliminerar kryptering inte helt behovet av att lagra känsliga data. Istället gör kryptering data mindre tillgänglig. Även om det är en grundläggande åtgärd är kryptering mindre effektiv än korttokenisering för att minska attackytan. Kryptering ”maskerar” data, medan tokenisering helt ersätter den och förhindrar att den lagras eller bearbetas i klartext.

Vad är ett krypterat kort?

Dessa kort omvandlar känsliga data (t.ex. nummer, utgångsdatum, säkerhetskod) till en krypterad kod med hjälp av krypteringsalgoritmer. Detta säkerställer att originalinformationen förblir oläslig och skyddad från obehörig åtkomst under överföring eller lagring.

Tokenisering

Denna process innebär att känsliga kortdata ersätts med ett alternativt värde, kallat en token. Token har ingen betydelse utanför systemet som genererade den. I grund och botten är en token en skapad identifierare som representerar det faktiska kortet endast inom en kontrollerad och säker miljö.

När en transaktion initieras använder betalningssystemet token istället för de faktiska kortuppgifterna. Betalningstjänstleverantören (PSP) hanterar det så kallade ”digitala kassaskåpet” som lagrar korrespondensen mellan tokens och verkliga data. Endast PSP:n kan spåra token tillbaka till originalkortet.

Även om en token skulle bli avlyssnad av bedrägliga aktörer kan den inte användas för att spåra kortdata eller göra bedrägliga betalningar. Faktum är att token inte har något värde utanför systemet som skapade den och kan inte dekrypteras eller återanvändas någon annanstans.

På detta sätt kan korttokenisering drastiskt minska risken för datastöld och begränsa exponeringen av känslig information. Detta kan säkerställa en högre säkerhetsnivå än enkel kryptering.

Skillnader mellan kryptering och tokenisering

Funktion

Kryptering

Tokenisering

Reversibel transformation

Ja, via en nyckel

Nej, endast systemet som hanterar korrespondensen mellan tokens och verkliga data (dvs. mappning) kan spåra tillbaka till originaldata

Centraliserad kontroll

Hantering via krypteringsnyckel

Hantering via tokenvalv, ett ”digitalt kassaskåp” som säkert lagrar relationen mellan tokens och verkliga data

Risk för kompromettering

Data komprometterad via stulna nycklar

Om tokenvalvet komprometteras blir individuella tokens oanvändbara

Primärt syfte

Dataskydd under transaktion eller i vila

Minimerar direkt exponering av känsliga data

Operativ komplexitet

Säker nyckelhantering

Hantering av valv eller externa tjänster

PSD2 och korttokenisering

PSD2 – utvecklingen av europeisk lagstiftning om digitala betalningar – införde strikta säkerhetskrav (t.ex. stark kundautentisering [SCA]) och ansvar för operatörer i betalningsprocesser. I detta sammanhang får tokenisering en strategisk roll.

Stark autentisering och minskad risk

I många situationer kräver PSD2 att kunder autentiseras med ett tvåfaktorssystem, där man väljer mellan tre möjliga verifieringskategorier:

  • Ägda föremål: Smartphones eller säkerhetstokens
  • Personlig information: Lösenord eller personliga identifikationsnummer (PIN-koder)
  • Biometrisk data: Fingeravtryck eller ansiktsigenkänning

Korttokenisering hjälper till att minska riskerna kopplade till dataexponering och förenklar införandet av säkra autentiseringstekniker.

Minskad risk för PSP:er och företag

I enlighet med PSD2 måste PSP:er och företag införa lämpliga säkerhetskontroller. Om korttokenisering redan har implementerats överförs många av ansvarsområdena för att skydda känsliga data till leverantören som hanterar tokens och valvet, vilket minskar arbetsbördan för efterlevnad.

Tokenisering och SCA-undantag

PSD2 kräver inte alltid att SCA tillämpas. Detta gäller för transaktioner som involverar små belopp eller sådana som anses vara lågrisk. I sådana fall kan användning av tokenisering med riskbedömningssystem som antagits av PSP:n hjälpa till att visa att transaktionen är säker och berättigad till undantag.

Samarbete mellan den utfärdande och inlösande banken

PSD2 främjar större interoperabilitet mellan aktörer i betalningssystemet (t.ex. utfärdaren, inlösande bank, PSP). Kreditkortstokenisering kan hjälpa till att standardisera dataskydd mellan olika enheter, vilket kan minska fragmenteringen i säkerhetssystem.

Hur korttokenisering fungerar

Här förklarar vi hur korttokenisering fungerar i en betalningsplattform. Detta inkluderar hur motsvarande cykel hanteras – från tokengenerering till transaktion.

Tokengenerering

När en kund anger sina kortuppgifter överförs de säkert till betalningssystemet. Systemet verifierar informationens giltighet genom att kommunicera med kortkretsen, såsom Visa, Mastercard eller American Express. När kontrollen är klar genererar systemet en unik token (dvs. en alfanumerisk identifierare) som representerar det tokeniserade kortet.

Koppling mellan token och faktiska data

Tokeniseringssystemet upprätthåller ett valv eller en säker databas där token är kopplad till den faktiska kortdatan. Endast det säkra interna systemet kan spåra token tillbaka till den faktiska datan. Denna åtgärd kan endast utföras under transaktionsauktoriseringsprocessen av system utrustade med nödvändiga säkerhetsuppgifter.

Tokenanvändning i transaktionen

När en betalning görs – till exempel ett återkommande köp – skickar företaget en token till betalningsgatewayen istället för den faktiska datan. Gatewayen dekrypterar den internt för att få fram den faktiska datan, vidarebefordrar auktoriseringsförfrågan till kortkretsen och får ett svar (dvs. godkännande eller avslag).

Tokens giltighet och användningsområde

En token kan ha giltighetsbegränsningar. Till exempel kan det vara begränsat till en specifik verksamhet, kontext (t.ex. endast för återkommande betalningar) eller period. Dessa begränsningar gör den ännu säkrare: även om token skulle exponeras skulle den inte automatiskt kunna användas någon annanstans.

Förnyelse och rotation av token

Periodvis eller på begäran kan systemet regenerera nya tokens för samma kort. Detta ogiltigförklarar de gamla, vilket kan förbättra säkerheten på lång sikt. Om kortet ändras – för att det har gått ut eller ersatts – kan systemet generera en ny token.

När kort inte kan tokeniseras

I vissa fall kan kortet inte tokeniseras på grund av tekniska problem eller regler relaterade till kortkretsen eller utfärdaren. Till exempel kan tokenisering nekas om kortuppgifterna är ogiltiga eller felaktigt formaterade, kortet har gått ut eller inte följer utfärdarföretagets regler. Detta kan vara fallet för vissa förbetalda kort eller lokala kretsar som inte stöds.

Problemet kan också uppstå om tokeniseringstjänsten tillfälligt är otillgänglig eller om bedrägerikontroller aktiveras som blockerar transaktionen av säkerhetsskäl under processen.

Med andra ord, när ett meddelande som ”kan inte tokenisera kreditkort” dyker upp, rapporterar systemet att det inte kunde skapa en giltig token på grund av någon av dessa tekniska eller efterlevnadsrelaterade faktorer.

Förbättrat kundförtroende och transaktionssäkerhet med korttokenisering

Att införa korttokenisering är en teknisk fråga som kan ha en direkt påverkan på kundförtroende och varumärkesuppfattning. Nedan förklarar vi hur.

Kommunikation av säkerhet

När ett företag tydligt kommunicerar hur det skyddar kunddata kan det hjälpa till att bygga förtroende. När kunder vet att deras kortinformation aldrig lagras i läsbar form utan hanteras genom tokenisering och avancerade krypteringssystem, kan de känna en känsla av trygghet och pålitlighet. Kunder vet att varje betalning sker i en kontrollerad och säker miljö, vilket kan minska rädslan för onlinebedrägerier.

Minskade bedrägerier och återkrediteringar

Tokenisering minskar risken för att stulna kortnummer används i ett företags system. Om en token komprometteras kan den inte användas utanför det sammanhang den genererades för. Detta innebär färre bedrägliga transaktioner och återkrediteringar, vilket kan sänka kostnaderna för tvisthantering.

Förenklad kundupplevelse och säker minneslagring

Företag kan säkert förvara kundernas kort. Det innebär att kunder inte behöver ange sina uppgifter igen vid varje köp: en token räcker. Detta kan förbättra inköpsprocessens smidighet, minska friktionen och öka konverteringen på lång sikt.

Omnikanalstrategier

Om ett företag accepterar olika betalningsmetoder – såsom online, via mobilapp eller i butik – kan korttokenisering hjälpa företaget att hantera betalningar enhetligt och säkert över alla kanaler. Företaget kan erbjuda kunderna konsekventa betalningsupplevelser, oavsett var de gör sina köp. Tokenisering kan också erbjuda en centraliserad infrastruktur som är lätt för företag att hantera.

Differentiering på marknaden

I en konkurrensutsatt miljö kan företag använda säkerhetsfunktioner för att särskilja sig från konkurrenterna. E-handelssidor som använder tokenisering kan sticka ut, särskilt i branscher där förtroende är viktigt (t.ex. fintech, neobankingoch marknadsplatser).

Kompatibilitet med moderna tjänster

Många digitala plånböcker (t.ex. Apple Pay, Google Pay) förlitar sig på tokenisering för att generera virtuella kortnummer. Om ett företag redan har ett system som tokeniserar kreditkort är det enklare och säkrare att integrera med dessa digitala plånböcker.

Korttokenisering med Stripe Payments

Stripe Payments arbetar direkt med stora kreditkortsnätverk – såsom Visa, Mastercard och American Express – för att tokenisera varje kunds primära kontonummer (PAN) och konvertera det till en säker nätverkstoken. Detta system håller automatiskt tokens uppdaterade, även om kortdetaljer ändras. Till exempel, om en kund förlorar sitt kort eller får ett nytt, meddelar kortnätverket Stripe och uppdaterar token i realtid. Betalningar kan fortsätta fungera utan att kunden behöver ändra sin information.

Med integrerad kretstokenhantering är lösningen redo att användas för alla företag som använder Payments. Integration med kretsar är helt automatiserad. Stripe begär och hanterar tokens åt dig. Detta eliminerar månader av teknisk utveckling. Regelbundna uppdateringar av systemet kan också hjälpa ditt företag att hålla jämna steg med förändringar i kretsarna utan din inblandning.

Läs mer om hur Stripe Payments kan hjälpa dig att tokenisera kort och göra dina onlinebetalningar säkrare.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.