PAN → Token. Kartendaten nie auf Ihren Servern.
Tokenisierung ersetzt die Kartennummer (PAN) durch einen zufälligen Token. In Ihren Systemen erscheint nur der Token: selbst wenn jemand ihn sieht, kann er die Karte nicht ableiten.
Was ist Karten-Tokenisierung?
Sie ersetzt die Kartennummer durch einen Token. Er sieht aus wie jeder andere Code: Selbst wenn jemand ihn sieht, kann er die Karte nicht ableiten. Die echte Nummer verbleibt in unserem Vault, nicht auf Ihren Servern.
Keine Verschlüsselung
Bei der Verschlüsselung bleibt die Kartennummer in Ihren Systemen. Bei der Tokenisierung erhalten Sie einen zufälligen Token an ihrer Stelle. Er kann ohne den Vault nicht umgekehrt werden.
Weniger PCI-Pflichten
Wenn Ihre Systeme nur den Token halten, nicht die Kartennummer, sinken die PCI-Pflichten erheblich. Viele wechseln von Hunderten von Kontrollen (SAQ D) auf einige Dutzend (SAQ A).
Funktioniert mit jedem PSP
Verwenden Sie denselben Token für Abonnements, Rückerstattungen oder den Wechsel zu einem anderen Verarbeiter. Sie müssen den Kunden nicht erneut nach seiner Karte fragen, wenn Sie den Anbieter wechseln.
// 1. Kunde gibt Karte ein
// 2. Nur der Token verbleibt in Ihren Systemen
// 3. Kartennummer: nie auf Ihren Servern
PCI DSS
Stufe 1 zertifiziert
AES-256
Verschlüsselte Daten im Vault
100% EU
Daten nur in Europa
< 50ms
Durchschnittliche API-Antwort
Drei Token-Typen im Vergleich
Netzwerk-Tokens, Gateway-Tokens und PCI Proxy Tokens sind nicht dasselbe. Sie unterscheiden sich in Portabilität, PCI-Pflichten und der Freiheit bei der Wahl des Verarbeiters.
| Merkmal | Netzwerk-Token | Gateway-Token | PCI Proxy Token EMPFOHLEN |
|---|---|---|---|
| Ausgegeben von | Kartennetzwerke (Visa, Mastercard) | Ihr PSP / Gateway | PCI Proxy (unabhängig) |
| PSP-Portabilität | Nur beim selben Netzwerk | Nein, Anbieterabhängigkeit | Jeder PSP |
| Automatische Kartenupdates | Ja, automatisch | Gateway-abhängig | Ja |
| Reduziert PCI-Pflichten | Kaum | Kaum | Stark |
| Funktioniert auch am Telefon | Nur E-Commerce | Nur E-Commerce | E-Commerce, Telefon, API |
Wie ein Token aussehen kann
Das Format hängt davon ab, wie Sie ihn in Ihrem Back-Office oder Ihrer Datenbank verwenden möchten. Wir helfen Ihnen, das richtige zu wählen.
// Originale Kartennummer
"4111 xxxx xxxx 1234"
// Token-Ausgabe
"4111 8273 6540 1234"
↑ gleiche Form, mittlere Ziffern geändert
Gleiche Form wie die Kartennummer
Gleiche Länge wie die Kartennummer. Sie können ihn in bereits vorhandenen Spalten speichern, ohne die Datenbank zu ändern.
// Originale Kartennummer
"5412 7512 3456 7890"
// Token-Ausgabe
"tok_eu_a3f9b2c14d8e"
↑ Präfix + zufällige Zeichenkette
Zufälliger Code
Zeichenketten wie tok_eu_ ohne Bezug zur Kartennummer. Schwieriger, Muster zu erkennen oder etwas zu erraten.
// Originale Kartennummer (19-stellig)
"3714 496353 98431"
// Erste Ziffern für das Kartennetz
"3714 4963 7f2a 9c1b 8e4d"
↑ Visa oder Mastercard erkennbar, Rest zufällig
Erste Ziffern für das Kartennetz
Behalten Sie die ersten Ziffern, um Visa, Mastercard u. ä. zu identifizieren. Der Rest ist zufällig und sicher.
Wo wir die Karte sicher aufbewahren
Hier speichern wir die Zuordnung zwischen Token und Kartennummer. Er ist isoliert, verschlüsselt und PCI DSS Level 1 zertifiziert. Sie verwalten ihn nicht – wir tun es.
Schicht 1
Netzwerksegmentierung
Separates Netzwerk vom Rest. Kein direkter Internetzugang. Kleinere Angriffsfläche.
Schicht 2
Verschlüsselte Daten im Ruhezustand
Jede Kartennummer wird vor der Speicherung verschlüsselt. Schlüssel in dedizierter Hardware, nie im Klartext zugänglich.
Schicht 3
Geschützte Schlüssel
Automatische Schlüsselrotation. Zugang nur für diejenigen, die ihn wirklich benötigen, mit Dual Control.
Schicht 4
Protokollierter Zugang
Jede Vault-Operation wird protokolliert: wer, wann, von wo. Unveränderliche Logs für PCI-Audits.
Daten nur in der EU
Alles verbleibt in europäischen Rechenzentren. Kartendaten verlassen die Europäische Union nie. DSGVO-Konformität und Anforderungen europäischer Banken.
Derselbe Token bei jedem Zahlungsdienstleister
Unsere Tokens sind nicht an Stripe, Adyen oder Nexi gebunden. Verwenden Sie sie mit wem Sie wollen, wann Sie wollen.
1 Token
Ein Token, alle benötigten Zahlungsdienstleister
∞
Unterstützte PSPs
0
Karten erneut erfassen
100%
Portabilität
PSP wechseln ohne erneute Kartenanfrage
Null UnterbrechungWechseln Sie zu einem anderen Verarbeiter für bessere Kosten oder Konditionen: Tokens bleiben gültig. Sie verlieren keine gespeicherten Karten.
Mehrere Verarbeiter, ein Token
RoutingSenden Sie die Zahlung an den PSP Ihrer Wahl nach Region oder Netzwerk. Wir rufen die Kartennummer nur bei der Zahlung ab.
Abonnements und wiederkehrende Zahlungen
Karte aktualisiertSpeichern Sie den Token bei der ersten Zahlung und verwenden Sie ihn jeden Monat erneut. Auch wenn die Karte neu ausgestellt wird, bleibt der Token gültig.
Rückerstattungen und Rückbuchungen
NachverfolgungVerwenden Sie denselben Token für die Rückerstattung, auch wenn die ursprüngliche Zahlung über einen anderen PSP erfolgte. Alles protokolliert für Audits und Streitfälle.
Wenn Sie die Kartennummer benötigen
Nur autorisierte Parteien können die Karte aus dem Vault abrufen, und nur wenn es wirklich nötig ist. Jeder Zugriff wird protokolliert.
4
Aktive Schichten
0
Unbefugter Zugriff
Rollenbasierte Berechtigungen
MindestprivilegNur API-Schlüssel mit ausdrücklicher Berechtigung können die Kartennummer abrufen. Kein Standardzugriff.
Nur genehmigte IPs
NetzwerkAnfragen nur von Adressen, die Sie autorisiert haben. Alles andere wird blockiert und markiert.
Kurzes Zeitfenster
ZeitbegrenztDie Berechtigung gilt nur wenige Sekunden. Nach Ablauf ist eine neue authentifizierte Anfrage erforderlich.
Protokoll jedes Zugriffs
AuditWir erfassen, wer die Karte angefordert hat, wann und von wo. Logs für PCI-Audits aufbewahrt.
Netzwerk-Token vs. PCI Proxy Token
Nicht alle Tokens sind gleich. Die Wahl beeinflusst PCI-Pflichten, Freiheit beim PSP-Wechsel und verwendbare Kanäle.
Weniger PCI-Pflichten · Netzwerk-Token
~30%
Weniger PCI-Pflichten · PCI Proxy
bis zu 95%
PSP-Portabilität
∞ PSPs
| Dimension | Netzwerk-Token (Visa/MC) | PCI Proxy Token EMPFOHLEN |
|---|---|---|
| Ausgegeben von | Kartennetzwerke (Visa, Mastercard) | PCI Proxy (unabhängig) |
| Wirkt wo | Nur bei Visa/Mastercard-Transaktionen | In Ihren Systemen: anstelle der Kartennummer |
| PSP-Portabilität | Netzwerkabhängig | Jeder PSP |
| Reduziert PCI-Pflichten | Kaum | Stark |
| Funktioniert am Telefon | Nein | Ja |
| Speicher | Netzwerk-Vault | Vault Ihrer Wahl (EU) |
Häufig gestellte Fragen
Tokenisierung, Verschlüsselung, Vault und PSP-Wechsel: kurze Antworten.
01 Was ist der Unterschied zwischen Tokenisierung und Verschlüsselung?
Bei der Verschlüsselung bleibt die Kartennummer in Ihren Systemen: Mit dem richtigen Schlüssel lässt sie sich wiederherstellen. Die Tokenisierung ersetzt sie durch einen zufälligen Token, der ohne den Vault nicht umgekehrt werden kann. Im PCI-Kontext gelten verschlüsselte Daten weiterhin als Kartendaten; sauber implementierte Tokens nicht.
02 Kann ich Tokens bei verschiedenen PSPs wiederverwenden?
Mit Gateway-Tokens bleiben Sie an einen einzigen PSP gebunden: Wenn Sie den Anbieter wechseln, müssen Sie den Kunden erneut nach seiner Karte fragen. Mit PCI Proxy verwenden Sie denselben Token bei jedem Verarbeiter. Wechseln Sie den Anbieter, ohne gespeicherte Karten zu verlieren.
03 Wie schützt der Vault gespeicherte Kartendaten?
Die Karte verbleibt in unserem PCI DSS Level 1 zertifizierten Vault, verschlüsselt und geschützt. Nur Personen mit den richtigen Anmeldedaten können sie abrufen, und jeder Zugriff wird protokolliert. Die Daten bleiben in der EU, der Vault wird rund um die Uhr überwacht.
Bereit, Tokens statt Kartennummern zu verwenden?
Erfahren Sie, wie Sie PCI Proxy in Ihre Zahlungsabläufe integrieren, oder lesen Sie, wie es PCI-Pflichten reduziert.