Eine cloudbasierte sichere Kartenspeicherung ist die Grundlage jeder modernen Zahlungsarchitektur, die darauf abzielt, das Datenpannenrisiko und den PCI DSS-Perimeter zu reduzieren. Der Card Vault ist die Komponente, die Zahlungskartendaten empfängt, verschlüsselt und speichert und im Austausch ein opakes Token zurückgibt. Zu verstehen, wie er technisch funktioniert, welche Zertifizierungen er erfordert und warum ein interner Aufbau fast immer die falsche Wahl ist, hilft bei fundierteren Architekturentscheidungen.
Was ein Card Vault ist und wie er technisch funktioniert
Ein Card Vault ist ein sicheres System zur Speicherung von PAN (Primary Account Number) und sensiblen Daten, die mit Zahlungskarten verbunden sind. Der grundlegende technische Ablauf beinhaltet, dass die Kartennummer direkt über eine HTTPS-API an den Vault übertragen, mit kryptografischen Schlüsseln verschlüsselt wird, die in einem HSM (Hardware Security Module) verwaltet werden, und durch ein Token ersetzt wird, das an den Aufrufer zurückgegeben wird. Das Token hat dieselbe Länge und dasselbe Format wie eine PAN, enthält aber keine realen Daten und kann ohne den Vault nicht für Transaktionen verwendet werden.
Intern verwaltet der Vault das Token-zu-PAN-Mapping in einer verschlüsselten Datenbank mit extrem eingeschränktem Zugriff. Jede Detokenisierungsanforderung – also jeder Abruf der ursprünglichen PAN – wird mit Zeitstempel, Quell-IP und Anruferidentität protokolliert. Das Audit-Trail-System ist für die PCI DSS-Compliance obligatorisch und muss unveränderlich sein: Kein Operator, selbst mit Administratorrechten, kann Protokolle von Vault-Operationen löschen.
Erforderliche Zertifizierungen: PCI DSS Level 1, HSM, FIPS 140-2
Ein produktionsbereiter Vault muss PCI DSS Level 1 zertifiziert sein, das höchste Niveau des Standards, das ein jährliches Audit durch einen unabhängigen QSA und einen halbjährlichen Penetrationstest erfordert. Level 1-Zertifizierung wird nicht durch Ausfüllen eines Fragebogens erlangt: Sie erfordert eine gründliche Analyse aller technischen und organisatorischen Kontrollen, von der kryptografischen Schlüsselverwaltung bis zur physischen Rechenzentrumssicherheit.
Kryptografische Schlüssel müssen mit HSMs verwaltet werden, die nach FIPS 140-2 Level 3 oder höher zertifiziert sind. Das bedeutet, dass Schlüssel die Hardware niemals in lesbarer Form verlassen, selbst bei einer Kompromittierung der Anwendungssoftware. Die FIPS 140-2-Zertifizierung stellt sicher, dass die Hardware durch ein NIST-akkreditiertes Labor validiert wurde, um physischen und logischen Angriffen zu widerstehen. Ohne ein zertifiziertes HSM kann ein Vault keine PCI DSS Level 1-Zertifizierung erlangen.
Interner Vault vs. Vault-as-a-Service: der echte Vergleich
Der Aufbau eines internen Card Vaults erfordert eine Anfangsinvestition, die selten unter 200.000–500.000 € liegt, wenn man HSM-Hardware, redundante Infrastruktur, Entwicklung des Tokenisierungssystems, erstes Audit und Teamschulung berücksichtigt. Hinzu kommen jährliche Betriebskosten von 50.000–150.000 € für Zertifizierungspflege, Penetrationstests, Schlüsselverwaltung und dediziertes Personal. Für einen Händler mit durchschnittlichen Volumina wird der ROI dieser Wahl nie erreicht.
Ein Vault-as-a-Service wie PCI Proxy EU überträgt alle diese Kosten und Verantwortlichkeiten an den Anbieter. Der Händler zahlt basierend auf Transaktionsvolumina, gewinnt sofort die Abdeckung durch die PCI DSS Level 1-Zertifizierung des Anbieters und muss weder Infrastruktur noch Fachpersonal verwalten. Die Token-Portabilität stellt sicher, dass Kartendaten beim Anbieterwechsel zugänglich bleiben, ohne Daten von Nutzern neu erfassen zu müssen.
Häufig gestellte Fragen
Ist ein Cloud-Card-Vault so sicher wie ein On-Premise-Vault?
Wenn der Cloud-Anbieter die richtigen Zertifizierungen hat (PCI DSS Level 1, ISO 27001, SOC 2 Typ II), ist das Sicherheitsniveau gleichwertig oder höher als ein intern verwalteter On-Premise-Vault. Die meisten Unternehmen verfügen nicht über die Ressourcen, um die physischen Kontrollen, Redundanz und das Fachpersonal zu unterhalten, die Cloud-Anbieter der Infrastruktursicherheit widmen.
Bietet mein aktueller PSP einen portablen Vault an?
Die meisten PSPs bieten einen proprietären Vault an, dessen Tokens nur auf ihrer eigenen Plattform gültig sind. Dies schafft Vendor Lock-in: Beim PSP-Wechsel müssen Kartendaten von allen Kunden neu erfasst werden. Ein prozessorunabhängiger Vault wie PCI Proxy EU generiert Tokens, die mit jedem PSP verwendbar sind, und eliminiert diese Einschränkung.
Wie viel kostet der Aufbau eines internen Card Vaults?
Implementierungskosten beginnen bei ca. 200.000 € für eine minimale zertifizierbare Infrastruktur, mit jährlichen Betriebskosten zwischen 50.000 und 150.000 €. Hinzu kommen Kosten für Fachpersonal, QSA-Audits, Penetrationstests und Zertifizierungspflege. Für die meisten Unternehmen ist Vault-as-a-Service bereits im ersten Jahr wirtschaftlich vorteilhafter.
Möchten Sie einen PCI DSS Level 1 zertifizierten Card Vault ohne Infrastrukturverwaltung und ohne PSP-Lock-in? Entdecken Sie PCI Proxy EU.