Sicherheit & Datenschutz

Vault-Sicherheit auf höchstem Niveau

PCI DSS Level 1 Vault, AES-256-Verschlüsselung, FIPS 140-2 HSM und EU-Datenresidenz. Mehrschichtige Sicherheit, die über Compliance hinausgeht.

PCI DSS L1 EU-Daten AES-256 FIPS 140-2
Zertifizierung

PCI DSS Level 1

Dies ist das höchste PCI-Compliance-Niveau. Es bedeutet, dass unser Vault jedes Jahr von unabhängigen Prüfern auditiert wird und Sie einen Großteil dieses Schutzes automatisch erben.

Jährliches Audit

Ein qualifizierter PCI-Prüfer (QSA) verifiziert jedes Jahr, dass wir alle Anforderungen erfüllen. Der Bericht steht Zahlungsnetzwerken und auf Anfrage auch Ihnen zur Verfügung.

Vierteljährliche Scans

Jedes Quartal scannen wir die nach außen erreichbare Infrastruktur. Wenn wir etwas beheben müssen, lösen wir es vor dem nächsten Scan.

Weniger Aufwand für Sie

Da Kartendaten in unserem Vault liegen, schrumpft Ihr PCI-Geltungsbereich. Sie können oft einen einfacheren Fragebogen (SAQ A) ausfüllen, anstatt alles selbst zu verwalten.

Nur Europa

Kartendaten verlassen die EU nie

Wir speichern und verarbeiten Kartendaten ausschließlich innerhalb der Europäischen Union. Keine Kopien außerhalb Europas, keine nicht-EU-Cloud für Vault-Operationen.

DSGVO-konform von Grund auf

Datenverarbeitungsverträge, Rechtsgrundlagen und Dokumentation sind bereits vorhanden. Sie wissen, wo die Daten sind und wer sie verwaltet: wir, in der EU.

Rechenzentren in Deutschland und den Niederlanden

Redundante Infrastruktur mit hoher Verfügbarkeit. Disaster Recovery bleibt ebenfalls innerhalb europäischer Grenzen.

Keine Übermittlungen ins Ausland

Verschlüsselungsschlüssel, Token-Zuordnungen und Prüfprotokolle verbleiben unter EU-Jurisdiction. Kein Risiko durch Datentransfers außerhalb Europas.

Was wir garantieren

Kartendaten nur in EU-Rechenzentren gespeichert
Verschlüsselungsschlüssel in der EU generiert und gespeichert
DSGVO Art. 28 konformer Auftragsverarbeitungsvertrag verfügbar
Keine Nicht-EU-Unterauftragsverarbeiter für den Vault
Disaster Recovery innerhalb europäischer Grenzen
Verschlüsselung

Verschlüsselt im Ruhezustand und während der Übertragung

Kartendaten reisen niemals im Klartext. Wir verschlüsseln sie beim Speichern und beim Transport zwischen unseren Systemen.

01

AES-256 im Vault

Im Ruhezustand

Jede Kartennummer im Vault wird mit AES-256 verschlüsselt. Schlüssel bleiben in dedizierter Hardware (HSM) geschützt. Wir exportieren sie nie im Klartext.

02

TLS 1.3

Nur sichere Verbindungen

APIs und Zahlungsflüsse verwenden TLS 1.3. Ältere Versionen sind deaktiviert. Selbst wenn jemand vergangenen Datenverkehr abgefangen hat, kann er ihn nicht entschlüsseln.

03

Schlüsselrotation

Kein Ausfall

Master-Schlüssel rotieren jährlich, wie PCI DSS es vorschreibt. Die Neuverschlüsselung läuft im Hintergrund: Für Sie und Ihre Kunden ändert sich nichts.

AES-256

Verschlüsselung im Ruhezustand

TLS 1.3

Zwischen Systemen

Jährlich

Schlüsselrotation

Dedizierte Hardware

Schlüssel liegen in einem HSM

Ein HSM ist ein manipulationssicheres Hardware-Gerät, in dem wir Verschlüsselungsschlüssel erzeugen und speichern. Kartennummern verlassen es nie im Klartext.

FIPS 140-2 Level 3 zertifiziert

Ein anerkannter Standard für Hardware-Sicherheit. Wenn jemand versucht, das Gerät physisch zu öffnen, werden die Schlüssel automatisch vernichtet.

Schlüssel im HSM generiert

Generierung, Rotation und Vernichtung erfolgen ausschließlich innerhalb der HSM-Grenzen. Wir speichern Master-Schlüssel nie auf Festplatten oder in generischem Cloud-Speicher.

Manipulationsschutz

Dedizierte Sensoren und Gehäuse erkennen physische Zugriffsversuche. Bei jeder Anomalie wird kryptografisches Material gelöscht.

Wie eine Anfrage fließt

Ihre API-Anfrage (TLS 1.3)
PCI Proxy Engine Empfängt Kartendaten und erstellt den Token
HSM (FIPS 140-2 L3) Generiert Schlüssel und verschlüsselt Kartendaten
Verschlüsselter Vault (AES-256) Kartennummer verschlüsselt, Schlüssel nur im HSM
Aktiver Schutz

Anti-Missbrauchs-Kontrollen

Über Verschlüsselung und Tokenisierung hinaus überwachen wir jede Anfrage. Wenn etwas verdächtig aussieht, blockieren oder markieren wir es, bevor es zum Problem wird.

Ratenlimits

Wir erkennen ungewöhnliche Anfragespitzen vom selben Konto, derselben IP oder demselben API-Schlüssel. Konfigurierbare Schwellenwerte lösen temporäre Sperren aus und alarmieren das Sicherheitsteam.

Verdächtige Muster

Wir analysieren den Datenverkehr auf ungewöhnliches Verhalten: sequenzielles Testen, untypische Volumina, geografische Inkonsistenzen. Markierte Anfragen werden gemäß Ihrer Richtlinie gestoppt.

24/7-Überwachung

Unser Sicherheitsteam beobachtet Fehler, Latenzen und Datenzugriffe. Wenn etwas vom Normalzustand abweicht, reagieren wir innerhalb von Minuten.

Externe Tests

Wir werden auch von außen getestet

Wir begnügen uns nicht mit PCI-Audits: Regelmäßige Penetrationstests und Drittanbieter-Scans verifizieren, dass der Vault sicher bleibt.

01

Penetrationstests

Zweimal jährlich simulieren akkreditierte Firmen Angriffe auf unser Netzwerk und unsere APIs. Jedes gefundene Problem wird behoben und erneut verifiziert.

02

Schwachstellenmanagement

Wöchentliche interne Scans aller Komponenten. Kritische Probleme werden innerhalb definierter Fristen behoben: die schwerwiegendsten innerhalb von 24 Stunden.

03

SOC 2 Typ II Bericht

Jährlich überprüfen unabhängige Prüfer Sicherheit, Verfügbarkeit und Vertraulichkeit. Auf Anfrage unter NDA teilen wir den Bericht mit Kunden.

04

Sichere Entwicklung

Jede Code-Änderung durchläuft Review und automatisierte Tests. Bevor wir den Vault berühren, bewerten wir Risiken auf strukturierte Weise.

Wenn etwas passiert

Incident Response

Wir hoffen, dass es nie dazu kommt. Aber wenn ein Sicherheitsereignis eintritt, erkennen wir es, begrenzen es und halten Sie transparent informiert.

24/7
Überwachung

Immer aktiv

Echtzeit-Protokoll- und Alarmkorrelation über die gesamte Infrastruktur

<15m
Erkennung

Erste Reaktion

Wir klassifizieren den Schweregrad und beginnen die Eindämmung innerhalb von 15 Minuten

<72h
Benachrichtigung

Wir informieren Sie

Bei Bedarf benachrichtigen wir innerhalb von 72 Stunden gemäß DSGVO und PCI

Danach
Verbesserung

Analyse & Behebung

Post-Mortem mit Korrekturmaßnahmen, um ein erneutes Auftreten zu verhindern

Verfügbarkeit: 99,95 % Betriebszeit mit automatischem Failover. Ein Produktionsvorfall wird innerhalb von 5 Minuten an das Senior-Team eskaliert.

99,95 % Uptime
Zertifizierungen

Standards, die wir erfüllen

PCI DSS, DSGVO, SOC 2 und zertifizierte Hardware: nicht nur Etiketten, sondern jährlich verifizierte Kontrollen.

PCI DSS L1

Höchstes PCI-Niveau

FIPS 140-2 L3

Zertifizierte HSM-Hardware

SOC 2 Type II

Verifizierte Kontrollen

DSGVO

Daten nur in der EU

Jährliches PCI-Audit

Vollständiger Compliance-Bericht

Vierteljährliche Scans

Externe Schwachstellen

Halbjährliche Penetrationstests

Akkreditierte Drittanbieter

Möchten Sie wissen, wie wir Ihre Zahlungen schützen?

Wir verwalten den PCI-Vault. Sie integrieren die API und arbeiten mit Tokens. Weniger Risiko, weniger Aufwand, gleiche Zahlungen.

Sicherheitsdetails anfordern PCI DSS Compliance