Grundlagen

Was ist ein PCI Proxy und brauchen Sie einen? Praxisleitfaden

23. Mai 2025 10 Min. Lesezeit PCI Proxy EU

Ein PCI Proxy ist eine Technologieplattform, die Kartendaten-Flüsse abfängt und Kartennummern (PANs) durch Tokens ersetzt, bevor die Daten die eigenen Systeme eines Händlers oder Dienstleisters erreichen. Durch diese Interposition verlassen die Kartendaten niemals das sichere Vault des PCI-Proxy-Anbieters: Die eigenen Systeme des Händlers sehen ausschließlich Tokens und verlassen damit die Cardholder Data Environment (CDE). Das hat direkte Auswirkungen auf die PCI DSS-Compliance: Wer keine CDE hat, braucht deutlich weniger Kontrollen, günstigere Bewertungen und ein erheblich niedrigeres Haftungsrisiko.

Was ist ein PCI Proxy und wie funktioniert er?

Wie ein PCI Proxy technisch funktioniert

Das Kernkonzept ist die Proxy-Interposition: Statt dass der Browser des Kunden Kartendaten direkt an den Server des Händlers sendet, sendet er sie an den sicheren PCI-Proxy-Endpunkt. Der Proxy empfängt den PAN, speichert ihn im HSM-geschützten Vault, und gibt einen Token an den Händler zurück. Dieser Token kann für Autorisierungen, Rückerstattungen und wiederkehrende Zahlungen verwendet werden, ohne dass der Händler jemals den echten PAN verarbeiten muss.

Es gibt zwei Hauptimplementierungsmuster:

  • Client-seitig (JavaScript SDK / iFrame): Ein sicheres JavaScript-Widget oder iFrame des PCI Proxy lädt im Browser des Kunden und erfasst die Kartendaten direkt. Das Formular sendet den PAN direkt an den Vault, ohne dass er den Browser-zu-Server-Weg des Händlers passiert. Der Server des Händlers erhält nur einen Token.
  • API-seitig (Server-zu-Server): Für Back-Office-Szenarien (Call Center, Importprozesse) sendet der Mitarbeiter oder das System den PAN an den Vault-API und erhält einen Token zurück. Dieser Token wird dann in interne Systeme gespeichert.

In beiden Fällen ist das Ergebnis dasselbe: Die eigenen Systeme des Händlers, sein Netzwerk, seine Datenbanken und seine Backups enthalten niemals PANs. Sie verlassen die CDE.

Was ein PCI Proxy für PCI DSS-Compliance bedeutet

Die Compliance-Auswirkungen einer PCI Proxy-Implementierung sind direkt und messbar:

  • SAQ-Reduktion: Händler, die sich vollständig auf einen PCI-Proxy verlassen, qualifizieren sich für SAQ A (22 Fragen) statt SAQ D (ca. 350 Fragen). Das spart Hunderte von Stunden an jährlichem Compliance-Aufwand.
  • Kein Penetrationstest: SAQ-A-Händler sind nicht der jährlichen Pen-Test-Anforderung unterworfen. Einsparung: 5.000–20.000 €/Jahr.
  • Keine vierteljährlichen ASV-Scans: SAQ-A-Händler benötigen keine vierteljährlichen Schwachstellenscans. Einsparung: mehrere hundert Euro/Jahr.
  • Reduziertes Haftungsrisiko: Wenn keine Kartendaten in den eigenen Systemen gespeichert sind, gibt es bei einer Datenpanne keine Kartendaten zu kompromittieren.

PCI Proxy vs. Payment Gateway: Was ist der Unterschied?

Ein häufiges Missverständnis ist die Verwechslung eines PCI Proxy mit einem Payment Gateway. Die Unterschiede sind fundamental:

  • Payment Gateway: Verarbeitet Zahlungstransaktionen vom Ende bis zum Ende. Es kommuniziert mit Acquiring-Banken, leitet Autorisierungen weiter und verrechnet Transaktionen. Ein Payment Gateway erfordert typischerweise ein direktes Verhältnis mit dem Händler und der Acquiring-Bank.
  • PCI Proxy: Spezialisiert sich auf die Tokenisierung von Kartendaten und die sichere Speicherung von PANs. Der PCI Proxy ist an keiner Transaktion direkt beteiligt: Er stellt Tokens aus, die zur Autorisierung durch das bestehende Payment Gateway des Händlers verwendet werden können.

Der strategische Vorteil eines PCI Proxy ist, dass er gateway-agnostisch ist: Der Händler kann seinen bestehenden Payment Gateway behalten und einfach einen PCI Proxy davor schalten, um PANs aus den eigenen Systemen zu entfernen.

Wer braucht einen PCI Proxy?

Ein PCI Proxy ist besonders wertvoll für:

  • E-Commerce-Händler, die aktuell SAQ C oder SAQ D ausfüllen und sich für SAQ A qualifizieren möchten.
  • Unternehmen mit Call Centers, die Karten telefonisch entgegennehmen und diese Daten aus internen Systemen entfernen möchten.
  • Reise- und Tourismusunternehmen, die Kartendaten für spätere Belastungen (Garantien, Anzahlungen) speichern müssen.
  • ISVs und Plattformen, die Zahlungsfunktionen in ihre Produkte integrieren und PCI DSS nicht selbst verwalten möchten.
  • Unternehmen mit Legacy-Systemen, die nicht einfach auf ein vollständig externalisiertes Payment Gateway migrieren können, aber dennoch PANs aus internen Systemen entfernen möchten.

PCI Proxy EU: Warum europäisch?

Für europäische Händler hat die geografische Verortung des Datenvaults strategische Bedeutung: Kartendaten, die in einem europäischen Rechenzentrum gespeichert werden, unterliegen ausschließlich europäischem Recht. PCI Proxy EU speichert alle Kartendaten in ISO-27001-zertifizierten Rechenzentren innerhalb der EU, vollständig DSGVO-konform und ohne Datentransfer in Drittländer. Für Branchen wie Finanzdienstleistungen, Gesundheitswesen und öffentliche Aufträge, die aus regulatorischen Gründen europäische Datenspeicherung benötigen, ist das kein optionales Feature, sondern eine Anforderung.

Häufig gestellte Fragen

Wenn ich bereits Stripe oder Adyen verwende, brauche ich noch einen PCI Proxy?

Das hängt von Ihrer Integration ab. Wenn Sie die Hosted Payment Pages oder vollständig externen Checkout-Flows von Stripe/Adyen verwenden, und Kartendaten niemals Ihre eigenen Server berühren, haben Sie bereits eine ähnliche Architektur. Wenn Sie jedoch Stripe Elements oder ähnliche Lösungen auf eigenen Seiten verwenden, oder wenn Sie mehrere Zahlungsanbieter haben und Kartendaten zwischen diesen portieren müssen, kann ein PCI Proxy den Wechsel zwischen Providern erleichtern und einen einheitlichen Token-Namespace bereitstellen.

Wie lange dauert die Integration eines PCI Proxy?

Für einfache E-Commerce-Integrationen (Online-Checkout mit iFrame oder JavaScript SDK) kann die technische Integration in 2–5 Tagen abgeschlossen sein. Für komplexere Integrationen mit mehreren Kanälen (Online, Call Center, physisch), Legacy-Systemen und mehreren Payment Gateways können mehrere Wochen realistisch sein. PCI Proxy EU bietet Entwickler-Dokumentation und technischen Support für alle Integrationsszenarien.

Was passiert mit bestehenden Kartendaten in der Datenbank?

Wenn Sie bereits Kartendaten in einer Datenbank gespeichert haben (was gegen PCI DSS verstößt, falls es sensible Authentifizierungsdaten oder unverschlüsselte PANs sind), müssen diese sicher gelöscht werden, nachdem sie in Tokens umgewandelt wurden. PCI Proxy EU bietet einen Migrationsprozess für bestehende Kartendatenbestände: PANs werden vom Vault tokenisiert, die Tokens ersetzen die PANs in den Datenbanken, und die originalen PANs werden sicher gelöscht.

Brauchen Sie einen PCI Proxy? Wenn Sie Kartenzahlungen akzeptieren und Ihre PCI DSS-Compliance vereinfachen möchten, lautet die Antwort fast immer Ja. PCI Proxy EU entdecken und erfahren Sie, wie einfach die Integration ist.

Verwandte Artikel

Strategie

PCI DSS Scope-Reduzierungsstrategie

3-Schritte-Strategie zur Reduzierung des PCI DSS-Scopes mit Tokenisierung.

 PCI DSS

PCI DSS SAQ A

Was SAQ A ist und wie man sich als Händler mit PCI Proxy dafür qualifiziert.

PCI Proxy EU Team

RoxPay, PCI DSS Tokenisierung in Europa

Inhalte geprüft von Experten für Zahlungsverkehr und PCI DSS-Compliance.

PCI Proxy EU: Tokenisierung für europäische Händler

Entfernen Sie Kartendaten aus Ihren Systemen, qualifizieren Sie sich für SAQ A und reduzieren Sie PCI DSS-Compliance auf ein Minimum.

Kontakt aufnehmen So funktioniert es