Visa-tokenisering vid betting – så skyddas ditt kortnummer

Redaktionen «Visa Betting» juni 12, 2026 Lästid: 6 min

Varje gång du sparar ditt Visa-kort hos ett spelbolag händer något som de flesta spelare aldrig tänker på: ditt riktiga kortnummer lagras aldrig. Istället skapas en token, en slumpmässig sifferserie som representerar ditt kort utan att avslöja det. Den tekniken heter tokenisering, och den har förändrat säkerhetslandskapet för kortbetalningar i grunden. Visa hanterar 90 procent av alla onlinetransaktioner bland de ledande betalningsnätverken, och tokenisering är en av de tekniker som gör det möjligt i den skalan.

Vad är tokenisering och hur fungerar det?

Jag brukar förklara tokenisering med en garderobsbiljett. Du lämnar in din jacka (ditt kortnummer) och får en biljett (en token). Biljetten har inget värde i sig, den fungerar bara hos den specifika garderoben (spelbolaget). Om någon stjäl biljetten kan de inte bära din jacka på stan. De kan inte ens ta ut den, för biljetten fungerar bara i den kontext den skapades för.

Tekniskt sett fungerar det så här: när du anger ditt kortnummer hos ett spelbolag skickar systemet numret till Visas Token Service. Visa skapar en unik token, en 16-siffrig serie som ser ut som ett kortnummer men inte är det, och kopplar den till ditt riktiga kort i sina system. Spelbolaget får och lagrar enbart token. Vid varje framtida transaktion skickas token till Visa, som översätter den tillbaka till ditt riktiga kortnummer, genomför auktoriseringen med din bank, och returnerar resultatet.

Det geniala med tokenisering är att den är osynlig för dig. Du märker ingen skillnad i betalningsupplevelsen. Insättningen tar lika lång tid, uttaget fungerar likadant. Men bakom kulisserna är dina kortuppgifter skyddade på ett sätt som var otänkbart för tio år sedan.

Varje token är dessutom domänbunden, den fungerar bara hos det spelbolag den skapades för. Om samma spelare registrerar sitt Visa-kort hos tre olika operatörer skapas tre separata tokens. Det innebär att en dataläcka hos ett spelbolag inte komprometterar dina kortuppgifter hos de andra.

PCI DSS-standarden och spelbolag

PCI DSS, Payment Card Industry Data Security Standard, är det regelverk som styr hur företag får hantera kortuppgifter. Alla licensierade spelbolag som accepterar Visa måste uppfylla PCI DSS, och certifieringen granskas årligen av auktoriserade revisorer.

Vad innebär PCI DSS i praktiken? Det ställer krav på krypterad lagring av kortdata, segmenterade nätverksmiljöer som separerar betalningssystem från övrig IT-infrastruktur, regelbundna säkerhetstest och penetrationstester, samt restriktioner för vem inom organisationen som har åtkomst till kortuppgifter.

Tokenisering förändrar spelreglerna för PCI DSS-efterlevnad fundamentalt. Om spelbolaget lagrar tokens istället för riktiga kortnummer minskar deras PCI DSS-scope dramatiskt. De behöver inte säkra riktiga kortnummer, för de har inga. Det reducerar både kostnaden och risken för operatören, och det reducerar risken för dig som spelare.

Det finns dock en nyans. Tokenisering eliminerar inte alla risker. Om en angripare får åtkomst till token och tillhörande CVC i samma angrepp kan de i teorin initiera en transaktion hos det specifika spelbolaget. Det är därför 3D Secure, som kräver BankID-bekräftelse vid varje transaktion, fungerar som ett kompletterande skyddslager. Token plus 3D Secure plus PCI DSS: tre lager som var och en fångar upp det de andra missar.

Visas investering i tokeniseringstekniken är massiv. Med 4,7 miljarder aktiva kort och en total transaktionsvolym på 14,5 biljoner dollar under 2025 hanterar Visa miljarder tokens dagligen. Den skalan innebär att tekniken är testad i en utsträckning som få andra säkerhetssystem kan matcha. Varje förbättring som görs i tokeniseringsinfrastrukturen sprids automatiskt till alla anslutna spelbolag och banker, inklusive de svenska.

Fördelar för dig som spelare

Den mest direkta fördelen: du behöver inte ange ditt kortnummer varje gång. Vid din första insättning anger du alla uppgifter, nummer, giltighetsdatum, CVC. Därefter ersätts den proceduren med att du väljer ditt sparade kort och bekräftar via BankID. Det sparar 10 till 15 sekunder per insättning och eliminerar risken att du matar in fel nummer.

Den viktigare fördelen: dataskydd vid intrång. Om spelbolagets databas komprometteras, och databas intrång är tyvärr inte ovanliga, oavsett bransch – exponeras dina tokens, inte ditt kortnummer. Tokens är värdelösa utanför det specifika spelbolagets kontext. Det innebär att du inte behöver spärra ditt kort och begära ett nytt, vilket är fallet vid en traditionell dataläcka utan tokenisering.

En tredje fördel som sällan diskuteras: kontinuitet vid kortbyte. Om du får ett nytt Visa-kort, exempelvis vid utgånget giltighetsdatum eller om banken byter kortnummer – kan Visa automatiskt uppdatera token hos spelbolaget. Det sker via Visa Account Updater, och det innebär att du inte behöver manuellt registrera det nya kortet hos varje spelbolag du använder. Funktionen är inte universell, den beror på din banks och spelbolagets implementation. Men den minskar friktionen vid korttransaktioner avsevärt.

Det finns också en indirekt fördel: snabbare checkout. När spelbolaget lagrar en token istället för att kräva ny kortinmatning vid varje transaktion minskar antalet steg i insättningsprocessen. Det kanske sparar bara 10 sekunder per insättning, men vid live betting, där varje sekund räknas – kan det vara skillnaden mellan att hinna placera en insats och att missa ett odds.

Tokenisering representerar den typ av säkerhetsinnovation som fungerar bäst: den som du aldrig behöver tänka på. Den skyddar dina kortuppgifter utan att förändra din upplevelse. I en bransch där hundratusentals Visa-transaktioner processas dagligen, och där spelbolag hanterar känsliga finansiella data i stor skala, är det inte bara en bekvämlighet, det är en nödvändighet.

Skapad av redaktionen på ”Visa Betting”.