Karten-Tokenisierung

PAN → Token. Kartendaten nie auf Ihren Servern.

Tokenisierung ersetzt die Kartennummer (PAN) durch einen zufälligen Token. In Ihren Systemen erscheint nur der Token: selbst wenn jemand ihn sieht, kann er die Karte nicht ableiten.

Was ist

Was ist Karten-Tokenisierung?

Sie ersetzt die Kartennummer durch einen Token. Er sieht aus wie jeder andere Code: Selbst wenn jemand ihn sieht, kann er die Karte nicht ableiten. Die echte Nummer verbleibt in unserem Vault, nicht auf Ihren Servern.

Keine Verschlüsselung

Bei der Verschlüsselung bleibt die Kartennummer in Ihren Systemen. Bei der Tokenisierung erhalten Sie einen zufälligen Token an ihrer Stelle. Er kann ohne den Vault nicht umgekehrt werden.

Weniger PCI-Pflichten

Wenn Ihre Systeme nur den Token halten, nicht die Kartennummer, sinken die PCI-Pflichten erheblich. Viele wechseln von Hunderten von Kontrollen (SAQ D) auf einige Dutzend (SAQ A).

Funktioniert mit jedem PSP

Verwenden Sie denselben Token für Abonnements, Rückerstattungen oder den Wechsel zu einem anderen Verarbeiter. Sie müssen den Kunden nicht erneut nach seiner Karte fragen, wenn Sie den Anbieter wechseln.

tokenization-flow.json

// 1. Kunde gibt Karte ein

4111 1111 1111 1234
PCI Proxy Vault · zertifizierte Verwahrung

// 2. Nur der Token verbleibt in Ihren Systemen

tok_eu_9f8e7d6c5b4a1234

// 3. Kartennummer: nie auf Ihren Servern

Verschlüsselter Vault · nur EU · Zugriff protokolliert

PCI DSS

Stufe 1 zertifiziert

AES-256

Verschlüsselte Daten im Vault

100% EU

Daten nur in Europa

< 50ms

Durchschnittliche API-Antwort

Vergleich

Drei Token-Typen im Vergleich

Netzwerk-Tokens, Gateway-Tokens und PCI Proxy Tokens sind nicht dasselbe. Sie unterscheiden sich in Portabilität, PCI-Pflichten und der Freiheit bei der Wahl des Verarbeiters.

Merkmal Netzwerk-Token Gateway-Token PCI Proxy Token EMPFOHLEN
Ausgegeben von Kartennetzwerke (Visa, Mastercard) Ihr PSP / Gateway PCI Proxy (unabhängig)
PSP-Portabilität Nur beim selben Netzwerk Nein, Anbieterabhängigkeit Jeder PSP
Automatische Kartenupdates Ja, automatisch Gateway-abhängig Ja
Reduziert PCI-Pflichten Kaum Kaum Stark
Funktioniert auch am Telefon Nur E-Commerce Nur E-Commerce E-Commerce, Telefon, API
Token-Formate

Wie ein Token aussehen kann

Das Format hängt davon ab, wie Sie ihn in Ihrem Back-Office oder Ihrer Datenbank verwenden möchten. Wir helfen Ihnen, das richtige zu wählen.

format-preserving

// Originale Kartennummer

"4111 xxxx xxxx 1234"

// Token-Ausgabe

"4111 8273 6540 1234"

↑ gleiche Form, mittlere Ziffern geändert

Gleiche Form wie die Kartennummer

Gleiche Länge wie die Kartennummer. Sie können ihn in bereits vorhandenen Spalten speichern, ohne die Datenbank zu ändern.

random-opaque

// Originale Kartennummer

"5412 7512 3456 7890"

// Token-Ausgabe

"tok_eu_a3f9b2c14d8e"

↑ Präfix + zufällige Zeichenkette

Zufälliger Code

Zeichenketten wie tok_eu_ ohne Bezug zur Kartennummer. Schwieriger, Muster zu erkennen oder etwas zu erraten.

bin-retention

// Originale Kartennummer (19-stellig)

"3714 496353 98431"

// Erste Ziffern für das Kartennetz

"3714 4963 7f2a 9c1b 8e4d"

↑ Visa oder Mastercard erkennbar, Rest zufällig

Erste Ziffern für das Kartennetz

Behalten Sie die ersten Ziffern, um Visa, Mastercard u. ä. zu identifizieren. Der Rest ist zufällig und sicher.

Der Vault

Wo wir die Karte sicher aufbewahren

Hier speichern wir die Zuordnung zwischen Token und Kartennummer. Er ist isoliert, verschlüsselt und PCI DSS Level 1 zertifiziert. Sie verwalten ihn nicht – wir tun es.

PCI DSS Level 1 Zertifizierte Umgebung
Nur EU

Schicht 1

Netzwerksegmentierung

Separates Netzwerk vom Rest. Kein direkter Internetzugang. Kleinere Angriffsfläche.

Schicht 2

Verschlüsselte Daten im Ruhezustand

Jede Kartennummer wird vor der Speicherung verschlüsselt. Schlüssel in dedizierter Hardware, nie im Klartext zugänglich.

Schicht 3

Geschützte Schlüssel

Automatische Schlüsselrotation. Zugang nur für diejenigen, die ihn wirklich benötigen, mit Dual Control.

Schicht 4

Protokollierter Zugang

Jede Vault-Operation wird protokolliert: wer, wann, von wo. Unveränderliche Logs für PCI-Audits.

Daten nur in der EU

Alles verbleibt in europäischen Rechenzentren. Kartendaten verlassen die Europäische Union nie. DSGVO-Konformität und Anforderungen europäischer Banken.

DSGVO ISO 27001 ISO 9001 DORA
PSP-Portabilität

Derselbe Token bei jedem Zahlungsdienstleister

Unsere Tokens sind nicht an Stripe, Adyen oder Nexi gebunden. Verwenden Sie sie mit wem Sie wollen, wann Sie wollen.

1 Token

Ein Token, alle benötigten Zahlungsdienstleister

Unterstützte PSPs

0

Karten erneut erfassen

100%

Portabilität

PSP wechseln ohne erneute Kartenanfrage

Null Unterbrechung

Wechseln Sie zu einem anderen Verarbeiter für bessere Kosten oder Konditionen: Tokens bleiben gültig. Sie verlieren keine gespeicherten Karten.

Mehrere Verarbeiter, ein Token

Routing

Senden Sie die Zahlung an den PSP Ihrer Wahl nach Region oder Netzwerk. Wir rufen die Kartennummer nur bei der Zahlung ab.

Abonnements und wiederkehrende Zahlungen

Karte aktualisiert

Speichern Sie den Token bei der ersten Zahlung und verwenden Sie ihn jeden Monat erneut. Auch wenn die Karte neu ausgestellt wird, bleibt der Token gültig.

Rückerstattungen und Rückbuchungen

Nachverfolgung

Verwenden Sie denselben Token für die Rückerstattung, auch wenn die ursprüngliche Zahlung über einen anderen PSP erfolgte. Alles protokolliert für Audits und Streitfälle.

Sicherheit

Wenn Sie die Kartennummer benötigen

Nur autorisierte Parteien können die Karte aus dem Vault abrufen, und nur wenn es wirklich nötig ist. Jeder Zugriff wird protokolliert.

4

Aktive Schichten

0

Unbefugter Zugriff

Rollenbasierte Berechtigungen

Mindestprivileg

Nur API-Schlüssel mit ausdrücklicher Berechtigung können die Kartennummer abrufen. Kein Standardzugriff.

Nur genehmigte IPs

Netzwerk

Anfragen nur von Adressen, die Sie autorisiert haben. Alles andere wird blockiert und markiert.

Kurzes Zeitfenster

Zeitbegrenzt

Die Berechtigung gilt nur wenige Sekunden. Nach Ablauf ist eine neue authentifizierte Anfrage erforderlich.

Protokoll jedes Zugriffs

Audit

Wir erfassen, wer die Karte angefordert hat, wann und von wo. Logs für PCI-Audits aufbewahrt.

Direkter Vergleich

Netzwerk-Token vs. PCI Proxy Token

Nicht alle Tokens sind gleich. Die Wahl beeinflusst PCI-Pflichten, Freiheit beim PSP-Wechsel und verwendbare Kanäle.

Weniger PCI-Pflichten · Netzwerk-Token

~30%

PCI PROXY

Weniger PCI-Pflichten · PCI Proxy

bis zu 95%

PSP-Portabilität

∞ PSPs

Dimension Netzwerk-Token (Visa/MC) PCI Proxy Token EMPFOHLEN
Ausgegeben von Kartennetzwerke (Visa, Mastercard) PCI Proxy (unabhängig)
Wirkt wo Nur bei Visa/Mastercard-Transaktionen In Ihren Systemen: anstelle der Kartennummer
PSP-Portabilität Netzwerkabhängig Jeder PSP
Reduziert PCI-Pflichten Kaum Stark
Funktioniert am Telefon Nein Ja
Speicher Netzwerk-Vault Vault Ihrer Wahl (EU)
FAQ

Häufig gestellte Fragen

Tokenisierung, Verschlüsselung, Vault und PSP-Wechsel: kurze Antworten.

01 Was ist der Unterschied zwischen Tokenisierung und Verschlüsselung?

Bei der Verschlüsselung bleibt die Kartennummer in Ihren Systemen: Mit dem richtigen Schlüssel lässt sie sich wiederherstellen. Die Tokenisierung ersetzt sie durch einen zufälligen Token, der ohne den Vault nicht umgekehrt werden kann. Im PCI-Kontext gelten verschlüsselte Daten weiterhin als Kartendaten; sauber implementierte Tokens nicht.

02 Kann ich Tokens bei verschiedenen PSPs wiederverwenden?

Mit Gateway-Tokens bleiben Sie an einen einzigen PSP gebunden: Wenn Sie den Anbieter wechseln, müssen Sie den Kunden erneut nach seiner Karte fragen. Mit PCI Proxy verwenden Sie denselben Token bei jedem Verarbeiter. Wechseln Sie den Anbieter, ohne gespeicherte Karten zu verlieren.

03 Wie schützt der Vault gespeicherte Kartendaten?

Die Karte verbleibt in unserem PCI DSS Level 1 zertifizierten Vault, verschlüsselt und geschützt. Nur Personen mit den richtigen Anmeldedaten können sie abrufen, und jeder Zugriff wird protokolliert. Die Daten bleiben in der EU, der Vault wird rund um die Uhr überwacht.

PCI DSS Stufe 1 Verschlüsselter Vault Jeder PSP Daten in der EU

Bereit, Tokens statt Kartennummern zu verwenden?

Erfahren Sie, wie Sie PCI Proxy in Ihre Zahlungsabläufe integrieren, oder lesen Sie, wie es PCI-Pflichten reduziert.