Wenige Aspekte des Finanzlebens haben sich mehr verändert als die Durchführung von Zahlungstransaktionen. Unternehmen (vor allem solche, die Kartenzahlungen abwickeln) stehen bei dieser Transformation an der Spitze des Trends und müssen mit den Daten arbeiten, die der Zahlungsabwicklung zugrunde liegen, darunter Primärkontonummern (PANs).
Für Unternehmen ist die sichere und effiziente Nutzung von PANs keine nebensächliche Aufgabe. Sie ist ein zentraler Aspekt des Geschäftsbetriebs, der direkte Auswirkungen auf den Ruf und das Vertrauen der Kundschaft eines Unternehmens haben kann. Für robuste und konforme Zahlungssysteme müssen Unternehmen das regulatorische Umfeld, die Sicherheitsmaßnamen und praktische Überlegungen zu PANs kennen. Diese Kenntnisse erscheinen vielleicht zu detailspezifisch, um für Unternehmen bedeutungsvoll zu sein. Je komplexer und umfassender aber Zahlungssysteme und Betrugspräventionsbemühungen werden, desto wichtiger wird aber das Verständnis der Zahlungsgrundlagen für alle Unternehmen, die Kartentransaktionen durchführen.
Im Folgenden werden die Funktionsweise von PANs, die wichtigen Unterschiede zwischen PANs und anderen Kontonummern, die Standards, denen PANs unterliegen, und die Best Practices erläutert, mit denen Unternehmen PANs schützen und ihre Verwendung verbessern können.
Worum geht es in diesem Artikel?
- Was ist eine primäre Kontonummer (Primary Account Number, PAN)?
- So funktionieren PANs
- PANs und Kontonummern: Vergleich
Was ist eine primäre Kontonummer (Primary Account Number, PAN)?
Eine primäre Kontonummer (Primary Account Number, PAN) ist der technische Begriff für die Nummer einer Zahlungskarte, also die Ziffernfolge (in der Regel 12 bis 19Stellen), die auf einer Kredit-, Debit- oder Prepaidkarte geprägt oder gedruckt ist und den Aussteller und das jeweilige Konto identifiziert. Die PAN wird dem Konto einer Karteninhaberin oder eines Karteninhabers von einem Finanzinstitut zugewiesen und ist ein wichtiges Datenelement, das die Kommunikation zwischen den bei der Zahlungsabwicklung beteiligten Parteien erleichtert. Die PAN muss gesichert werden, da Missbrauch oder unautorisierter Zugriff zu betrügerischen Transaktionen oder Identitätsdiebstahl führen kann.
So funktionieren PANs
Alle Beteiligten in der Zahlungsabwicklungsbranche müssen mit der Rolle der primären Kontonummer vertraut sein. Diese eindeutige Kennung liegt allen Zahlungstransaktionen zugrunde und verknüpft Karteninhaber/innen mit ihren in der Datenbank des Ausstellers gespeicherten Kontodaten.
Die folgenden Schritte veranschaulichen die Rolle der PAN bei einer Kartenzahlungstransaktion:
1. Einleitung einer Transaktion
Wenn Karteninhaber/innen eine Transaktion einleiten, liest das Zahlungsterminal die PAN von der Karte ab, entweder über den Magnetstreifen, über den EMV-Chip oder über die Nahfeldkommunikation (Near-Field Communication, NFC) (bei kontaktlosen Zahlungen).
2. Tokenisierung
Die Tokenisierung erhöht die Transaktionssicherheit, insbesondere bei digitalen oder Card-Not-Present(CNP)-Umgebungen. Bei diesem Vorgang wird die PAN für jede Transaktion durch ein eindeutiges Token ersetzt, sodass die echten Kontodetails geschützt sind, falls Transaktionsdaten kompromittiert werden.
3. Datenübertragung
Die Transaktionsinformationen, einschließlich PAN, Transaktionsbetrag und Unternehmensinformationen, werden verschlüsselt und an die Bank des Unternehmens gesendet (auch als Händlerbank oder Acquirer bezeichnet).
4. Weiterleitung von Informationen
Die Händlerbank sendet diese Informationen dann über ein Kartennetzwerk an die Bank der Karteninhaberin/des Karteninhabers (auch als ausstellende Bank oder Aussteller bezeichnet).
5. Validierungsprüfungen
Die ausstellende Bank ermittelt das Konto der Karteninhaberin/des Karteninhabers anhand der PAN und prüft den Kontostand, die Gültigkeit der Karte und potenzielle Betrugsanzeichen, bevor sie die Transaktion genehmigt.
6. Transaktionsgenehmigung
Sobald die ausstellende Bank die Transaktion genehmigt hat, wird die Antwort über das Kartennetzwerk an die Händlerbank und schließlich an das Terminal des Unternehmens geleitet, normalerweise innerhalb weniger Sekunden.
Die PAN spielt eine wesentliche Rolle bei der Zahlungsabwicklung und Unternehmen müssen die PAN-Sicherheit ernst nehmen. Sicherheitsstandards wie der Payment Card Industry Data Security Standard (PCI DSS) schützen PANs bei der Speicherung, Verarbeitung und Übertragung. Diese Maßnahmen umfassen:
Verschlüsselung
Bei diesem Prozess wird die PAN in eine codierte Form konvertiert, sodass niemand sie ohne Entschlüsselungsschlüssel lesen kann. Die PAN wird bei der Übertragung vom Transaktionspunkt (z.B. einem Zahlungsterminal) zu den jeweiligen Finanzinstituten verschlüsselt. Dank der Verschlüsselung können die Transaktionsdaten selbst dann nicht gelesen oder genutzt werden, wenn sie von Betrügerinnen/Betrügern abgefangen werden.Kürzung
Bei der Kürzung wird ein Teil der PAN bei der Anzeige entfernt. Auf einem Beleg oder Zahlungsbestätigungsbildschirm sehen Sie dann beispielsweise vielleicht nur die letzten vier Ziffern der PAN, während der Rest durch X oder Sternchen ersetzt wird. Die Kürzung schützt die PAN, da die ganze Nummer nicht an Stellen angezeigt wird, wo Betrügerinnen oder Betrüger sie sehen und kopieren könnten.Maskierung
Bei der Maskierung wird ähnlich wie bei der Kürzung ein Teil der PAN verborgen, in der Regel, während Karteninhaber/innen die Nummer eingeben oder sie auf einem Bildschirm angezeigt wird. Wenn Sie beispielsweise Ihre Kartennummer auf einer Website eingeben, wird häufig jedes eingegebene Zeichen direkt durch ein Sternchen ersetzt. So wird verhindert, dass Menschen, die Ihnen über die Schulter schauen, oder böswillige Erfassungs-Software-Programme die ganze PAN lesen können.
Diese Maßnahmen stärken das Vertrauen der Kundschaft, da sie zeigen, wie wichtig die Sicherheit der Zahlungsdaten für das Unternehmen ist. Unternehmen, die Kartenzahlungen abwickeln, sind zur Einhaltung dieser Standards verpflichtet und ihnen können Bußgelder auferlegt werden, wenn sie dieser Pflicht nicht nachkommen.
PANs und Kontonummern: Vergleich
PANs und Kontonummern dienen beide als eindeutige Kennungen für Finanzkonten, haben aber unterschiedliche Anwendungen, besonders im Kontext der Zahlungsabwicklung. Hier finden Sie einen Überblick über die Hauptunterschiede:
PAN
Eine PAN ist eine 12- bis 19-stellige Nummer auf einer Kredit-, Debit- oder Prepaidkarte. Diese Kennung wird von der ausstellenden Bank oder dem Finanzinstitut der Karte ausgegeben. Die PAN identifiziert das Konto der Karteninhaberin oder des Karteninhabers und enthält Informationen zum Kartenaussteller und -typ.
Die PAN wird bei Kartentransaktionen verwendet, sowohl bei Point-of-Sale(POS)-Terminals als auch bei Online-Zahlungen. Da die PAN ein sensibles Datenelement ist, das die Kommunikation zwischen den an der Zahlungsabwicklung beteiligten Parteien ermöglicht, müssen Unternehmen hohe Sicherheitsstandards beim Umgang damit ansetzen. Standards wie PCI DSS geben Regeln zum Schutz von PANs bei der Speicherung, Verarbeitung und Übertragung vor.
Kontonummer
Eine Kontonummer ist eine eindeutige Kennung für ein Konto bei einer Bank oder einem anderen Finanzinstitut. Im Gegensatz zur PAN enthält die Kontonummer keine Informationen zum Kartenaussteller oder -typ. Sie ist stattdessen direkt mit dem Konto einer Einzelperson oder eines Unternehmens verknüpft und wird in erster Linie für direkte Transaktionen mit der Bank verwendet, wie Einzahlungen, Abhebungen oder Überweisungen.
In der Regel werden Kontonummern für Lastschriftverfahren, elektronische Überweisungen und andere Arten direkter Banküberweisungen eingesetzt. Sie finden die Kontonummer auf Kontoauszügen oder können sie im Online-Portal oder über den Kundenservice Ihrer Bank abrufen. Obwohl auch Kontonummern gesichert werden müssen, unterliegen sie nicht denselben strengen PCI DSS-Standards wie PANs, da sie nicht bei Kartentransaktionen verwendet werden.
PANs und Kontonummern dienen beide als eindeutige Kennungen, haben aber unterschiedliche Anwendungen. Unternehmen, die Kartenzahlungen abwickeln, müssen die aufsichtsrechtlichen Bestimmungen zu PANs kennen und diese Daten schützen. Kontonummern werden zwar eher bei direkten Banktransaktionen eingesetzt, müssen aber ebenfalls von Unternehmen, die derartige Aktivitäten ausführen, gesichert werden.
Die granularen Details von Kartenzahlungen, wie etwa PANs, erscheinen dabei wie geringfügige Faktoren, die für Unternehmen nicht von großer Bedeutung sein sollten. Bei all den technologisch bedingten Veränderungen an der Abwicklung von Kartenzahlungen kann ein Verständnis der genauen Komponenten von Kartentransaktionen Unternehmen aber einen Vorteil beim Anpassen und Verbessern ihrer Zahlungstechnologie verschaffen.
