Customer Profiles: Facilitating Card on File Payments in IXOPAY

29.06.2023 | Expertise

Treue Kunden sind wiederkehrende Kunden. Etwas, was wiederkehrende Kunden vermeiden möchten, ist die erneute Eingabe ihrer Zahlungsinformationen. Indem Sie ihnen ermöglichen, aus zuvor verwendeten Zahlungsoptionen auszuwählen, erleichtern Sie ihnen das Checkout-Szenario und verbessern die Kundenerfahrung erheblich. Die stellt nicht nur Ihre treuen Kunden zufrieden, sondern verringert auch die Absprungrate. Die Abwicklung von Card-On-File-Transaktionen oder wiederkehrenden Zahlungen erfordert die sichere Speicherung der Zahlungsinformationen der Kunden, damit sie wiederverwendet werden können.

IXOPAY ermöglicht es Ihnen, Kundeninformationen einschließlich Zahlungsinstrumenten und Transaktionshistorie direkt in der Plattform abzurufen. Sie können auch die Customer Profile API verwenden, um auf Kundeninformationen zuzugreifen und diese zu aktualisieren.

Kundeninformationen in IXOPAY

Customer Profiles (Kundenprofile) in IXOPAY wurden dazu geschaffen, um Kundeninformationen wie Name, Rechnungsadresse, E-Mail-Adresse usw. zu speichern. Neben der Hinterlegung von Basisdaten können Customer Profiles auch mehrere unterschiedliche Zahlungsinstrumente enthalten, wie Kreditkarten, Bankkonten oder alternative Zahlungsmethoden wie Apple Pay und Google Pay. Wenn für einen Kunden mehrere Zahlungsinstrumente zu einem Profil hinzugefügt wurden, kann eines davon als bevorzugte Zahlungsmethode festgelegt werden. Die vollständige Transaktionshistorie kann von jedem im Customer Profile hinterlegten Zahlungsinstrument eingesehen werden. 

Beim Anzeigen der Checkout-Seite können bereits gespeicherte Zahlungsinstrumente für den Kunden angezeigt werden, wobei die bevorzugte Zahlungsmethode vorausgewählt ist. Neue Zahlungsinstrumente können gespeichert werden, wenn ein Kunde einen Kauf erfolgreich abschließt. Hierfür ist ein Kontrollkästchen auf Ihrer Checkout-Seite erforderlich, z.B. "Zahlungsdetails speichern".

Customer Profiles werden innerhalb von IXOPAY in sogenannten Containern gespeichert, die individuell die unterschiedlichen Customer Profiles zusammenfassen. Diese Container können Zahlungsanbietern (genauer gesagt den verwendeten Connectors) zugewiesen werden. Wenn ein Kunde sich dazu entscheidet, seine Zahlungsdetails zu speichern, wird sein Customer Profile dem Container zugeordnet, der mit dem zur Transaktionsverarbeitung verwendeten Anbieter verknüpft ist.

Segregation und Freigabe von Customer Profiles innerhalb eines Unternehmens

IXOPAY verwendet sogenannte Tenants und Sub-Tenants, um die Struktur einer Organisation abzubilden. Mit Hilfe dieser Struktur kann man z.B. die regionale Hierarchie eines Unternehmens (z.B. globale, regionale, lokale Niederlassungen) oder die Organisationsstruktur (z.B. Produktlinien oder Abteilungen) darstellen. Zugriffsrechte können individuell vergeben werden, um eine zielgenaue Weitergabe der Kunden- und Zahlungsdaten zu gewährleisten.

Customer-Profile-Container können zwischen Sub-Tenants geteilt werden. Zum Beispiel könnte ein globaler Händler Sub-Tenants haben, die regionale Märkte wie "Nordamerika" und "EU" repräsentieren. Der EU-Untermieter hat dann mehrere Sub-Tenants wie "Spanien", "Benelux", "Frankreich" usw. In diesem Setup können Zahlungsdetails zwischen den Sub-Tenants in Europa geteilt werden, indem auf der Ebene des EU-Untermieters ein Container erstellt wird und die Option "Shared with Subtenants" im Container für den "EU"-Sub-Tenants aktiviert wird. Wenn dies erfolgt ist, können Sub-Tenants in den USA oder Kanada (Sub-Tenants des "Nordamerika"-Tenants) nicht auf diese Customer Profiles zugreifen. Diese Konfiguration stellt sicher, dass Kundendetails gemäß den Anforderungen der DSGVO nicht mit Entitäten außerhalb der EU geteilt werden.

Sichere Speicherung von Zahlungsinformationen

Zahlungsinstrumente werden in IXOPAYs Secure Vault gespeichert. Neben Kreditkarten können im IXOPAY Vault auch andere Zahlungsinstrumente wie Apple Pay, Google Pay und IBANs von Kunden gespeichert werden. Die sichere Speicherung von Zahlungsinformationen in einem Vault ist nicht nur bewährte Praxis, die Speicherung von Kreditkartendaten unterliegt auch dem PCI DSS. Es gibt verschiedene Stufen der PCI DSS-Zertifizierung, wobei strengere Anforderungen für Unternehmen gelten, die Kreditkartendaten direkt verarbeiten und speichern. Würden Händler diese Zahlungsinformationen selbst speichern, müssten sie diese PCI DSS-Anforderungen erfüllen. Die Verwendung einer Drittanbieterlösung wie dem PCI DSS Level 1-zertifizierten IXOPAY Secure Vault reduziert den PCI DSS-Umfang der Händler und somit auch die damit verbundenen Kosten.

Reduzierung des PCI-Scopes durch Tokenisierung

Damit Händler in Zukunft auf die im Vault gespeicherten Zahlungsinformationen zugreifen können, werden die Zahlungsdetails tokenisiert. Das bedeutet, dass IXOPAY einen eindeutigen Identifikator generiert, der auf die Zahlungsinformationen im Vault verweist. Dieses Token enthält keine Zahlungsdaten und birgt daher kein Sicherheitsrisiko. Wenn eine Betrüger Zugriff auf das Token erhält, können dank der Verschlüsselung trotzdem keine Zahlungsdaten aus dem Token rekonstruiert werden.

Bei Kreditkarten reduziert die Speicherung von Tokens anstelle von Zahlungsdetails deutlich den PCI DSS-Umfang eines Händlers. Derselbe Ansatz kann auch auf andere Zahlungsinformationen angewendet werden, wie zum Beispiel Bankkonten. Anstatt die IBAN lokal zu speichern, verwenden Händler einfach einen Token, um auf diese Informationen zu verweisen. Sobald ein Zahlungsinstrument tokenisiert wurde, kann der Token ganz simpel für nachfolgenden Transaktionen verwendet werden.

Ein Vorteil der Verwendung von IXOPAY zur Tokenisierung von Zahlungsinformationen besteht darin, dass dasselbe Token für alle Transaktionen verwendet werden kann - ganz unabhängig davon, mit welchem Acquirer oder PSP die Transaktion durchgeführt wird. Während Zahlungsanbieter auch Token Services anbieten, sind die auf diese Weise generierten Tokens nur für diesen Anbieter gültig. Dies führt dazu, dass sich Händler an diesen Anbieter binden und sich entsprechend auch in eine Abhängigkeit begeben, wenn es zu Card-On-File-Transaktionen kommt. Die Unabhängigkeit, die IXOPAY bietet, ist besonders vorteilhaft für Händler, die eine Multi-Acquirer-Konfiguration mit Smart Routing und Ausfalloptionen verwenden oder für  High-Risk-Händler, die dem sehr realen Risiko ausgesetzt sind, ihren Zahlungsanbieter kurzfristig zu verlieren.

Mit Customer Profiles arbeiten

Customer Profiles können über die Benutzeroberfläche in IXOPAY abgerufen werden. Sie können alle Customer Profiles in einem Container anzeigen. Dazu gehören auch einzelne Customer Profiles, die mit diesem Profil verknüpften Zahlungsinstrumente (nach Typ kategorisiert) und die Transaktionshistorie des Kunden. Customer Profiles werden über das User Interface bearbeitet: Die bevorzugte Zahlungsmethode kann geändert und Zahlungsinstrumente können aus einem Profil entfernt oder vollständig aus dem Vault gelöscht werden. Customer Profiles können zusätzlich auch über die Customer Profile-API aktualisiert werden. Jedes Customer Profile hat eine eindeutige ID, über die darauf zugegriffen werden kann.

Innerhalb IXOPAY

Technische Details

Aus technischer Sicht erfordert die Speicherung von Zahlungsinformationen und Kundendaten im Tresor von IXOPAY eine Transaktion, bei der der withRegister-Flag in der Transaktion auf "true" gesetzt ist (für Debits, Pre-Authorizations) oder eine Transaktionsanforderung des Typs "Register". Die withRegister-Flag oder der Transaktionstyp "Register" zeigen an, dass die Zahlungsinformationen im Vault gespeichert (registriert) werden sollen. Das Festlegen eines Zahlungsmittels als bevorzugtes Instrument erfolgt über die markAsPreferred-Flag im CustomerProfileData-Objekt einer Transaktionsanforderung.

Die Checkout Seite selbst muss Optionsschaltflächen enthalten, um das gewünschte Zahlungsinstrument auszuwählen, wenn mehrere Zahlungsinstrumente für einen Kunden gespeichert sind. Es wird auch ein Kontrollkästchen benötigt, um bei Hinzufügen einer neuen Zahlungsmethode dem Kunden die Option zu geben, die Zahlungsdetails zu speichern. Beispielcode für eine Hosted Payment Page finden Sie im User Manual am Ende der Customer Profile Section. Informationen zur Formatierung von Transaktionsanfragen einschließlich Beispielanfragen finden Sie in der API-Dokumentation.

Um sicherzustellen, dass sensible Informationen wie BINs und IBANs nicht direkt von Händlern verarbeitet werden, rendert die payments.js-Bibliothek von IXOPAY separate iFrames für Details wie die Kreditkartennummer und CVV. Die in diesen Feldern eingegebenen Daten werden dann direkt an den IXOPAY Vault gesendet, wo sie tokenisiert werden. Das Token kann dann zusammen mit den übrigen vom Kunden eingegebenen Informationen im System des Händlers gespeichert werden.

Profitieren Sie von IXOPAYs Vorteilen

In einem zukünftigen Artikel werden wir noch genauer auf die Vorteile des IXOPAY Vaults eingehen. Aber wie Sie sehen, ermöglicht er es Händlern, Zahlungsdetails sicher zu speichern, zu tokenisieren und wiederzuverwenden. Dadurch wird es möglich, Kartendaten für wiederholte und wiederkehrende Transaktionen zu verarbeiten, ohne dass Händler die Zahlungsdetails selbst speichern müssen - und all den damit verbundenen Aufwand vermeiden können. Je mehr Details Sie speichern, desto einfacher wird es, Zahlungen an verschiedene Anbieter weiterzuleiten. Unterschiedliche Zahlungsanbieter können unterschiedliche obligatorische Felder haben, und je mehr Daten mit einer Transaktion übermittelt werden, desto höher sind in der Regel die Autorisierungsraten. Customer Profiles spielen eine wichtige Rolle in diesem Prozess, indem sie den Zugriff auf die Transaktionshistorie eines Kunden ermöglichen und die gemeinsame Nutzung von Zahlungsdetails innerhalb der Tenant-Struktur eines Händlers ermöglichen. Die Tokenisierung von Zahlungsinstrumenten mit IXOPAY bietet Händlern auch eine größere Unabhängigkeit von PSPs und Acquirern.

Möchten Sie mehr darüber erfahren, wie IXOPAY Ihre Kundendaten sicher im Vault speichern und dadurch Ihr Payment Setup optimieren kann? Nehmen Sie Kontakt auf!

Über IXOPAY

Ihr globaler Online-Geschäftspartner

IXOPAY vereinfacht komplexe Zahlungsprozesse für globale Merchants. Merchants können zwischen einer All-in-One Payment Orchestration Plattform und Payment Optimization Modulen wählen, die Bereiche wie Omnichannel-Tokenisierung, 3DS und Netzwerktokens abdecken. Die Payment Orchestration Plattform von IXOPAY bildet den gesamten Lebenszyklus einer Transaktion von der Kasse bis zur Abwicklung und Reconciliation abdeckt an, ist PCI DSS Level 1 zertifiziert und hoch skalierbar.

Eine einzige API ermöglicht es Merchants, über 200 Zahlungsanbieter zu integrieren, die Hunderte von globalen, regionalen und alternativen Zahlungsmethoden anbieten. Die Payment Orchastration Plattform unterstützt intelligentes Routing mit Kaskadierung, hochmodernes Risiko- und Betrugsmanagement, vollautomatisierte Abgleichs- und Abwicklungsprozesse sowie umfassende Berichts- und Analysetools.


IXOPAY ist ein Unternehmen dem viele internationale Kunden vertrauen und hat Niederlassungen in Österreich und den USA.