Tokenisierung vs. Verschlüsselung
Beide schützen Kartendaten — aber auf sehr unterschiedliche Weise mit sehr unterschiedlichen Auswirkungen auf Ihren PCI DSS Scope. Hier erfahren Sie, wie sie sich unterscheiden, wann Sie welche einsetzen und warum die stärksten Setups beide verwenden.
Zwei verschiedene Methoden zum Schutz einer Kartennummer
Tokenisierung
Ersetzt die Kartennummer durch einen bedeutungslosen Token ohne mathematischen Bezug zum Original. Die echten Daten liegen ausschließlich in einem gesicherten Tresor, sodass ein gestohlener Token nicht in eine nutzbare Karte zurückverwandelt werden kann.
- Entfernt Kartendaten aus Ihren Systemen
- Reduziert PCI DSS Scope auf SAQ A
- Token ist bei Verlust wertlos
Verschlüsselung
Codiert Kartendaten mit einem Algorithmus und einem Schlüssel. Jeder mit dem Schlüssel kann die ursprüngliche Nummer wiederherstellen — der Schutz hängt vollständig von der Sicherheit der Schlüssel ab, und die Daten verbleiben meist in Ihrer Umgebung.
- Reversibel mit dem Schlüssel
- Schützt Daten im Ruhezustand & bei der Übertragung
- Schlüssel und Daten bleiben oft im Scope
Tokenisierung vs. Verschlüsselung
| Kriterium | Verschlüsselung | Tokenisierung |
|---|---|---|
| Reversibel | Ja, mit dem Schlüssel | Kein mathematischer Bezug |
| Wert bei Diebstahl | Exponiert, wenn Schlüssel kompromittiert | Wertlos |
| Entfernt Daten aus Ihren Systemen | In der Regel nein | Ja |
| Auswirkung auf PCI DSS Scope | Begrenzte Reduzierung | SAQ D auf SAQ A |
| Ideal für | Daten, die Sie behalten & verarbeiten müssen | Kartendaten, die Sie lieber nicht speichern |
| In PCI Proxy | AES-256 innerhalb des Tresors | Portierbare Vault-Token |
Sie müssen sich nicht entscheiden
Die stärksten Setups nutzen beide Methoden. PCI Proxy tokenisiert Kartendaten, sodass diese Ihre Systeme niemals berühren — und im Tresor werden die echten Daten mit AES-256-Verschlüsselung im Ruhezustand und TLS bei der Übertragung geschützt. Sie erhalten Scope-Reduzierung durch Tokenisierung und starken kryptografischen Schutz der gespeicherten Daten — in einem europäischen PCI DSS Level 1 Service.
Tokenisierung vs. Verschlüsselung: häufige Fragen
01 Was ist der Unterschied zwischen Tokenisierung und Verschlüsselung?
Verschlüsselung codiert Kartendaten mit einem Algorithmus und einem Schlüssel, sodass jeder mit dem Schlüssel die ursprüngliche Nummer wiederherstellen kann. Tokenisierung ersetzt die Kartennummer durch einen bedeutungslosen Token ohne mathematischen Bezug zum Original — die echten Daten liegen ausschließlich in einem gesicherten Tresor, sodass ein gestohlener Token wertlos ist.
02 Was ist besser zur Reduzierung des PCI DSS Scope?
Tokenisierung ist in der Regel wirksamer zur Scope-Reduzierung. Wenn Kartendaten durch Token ersetzt und außerhalb Ihrer Systeme in einem PCI DSS Level 1 Tresor gespeichert werden, schrumpft die Karteninhaberdaten-Umgebung und die meisten Händler wechseln von SAQ D auf SAQ A. Reine Verschlüsselung hält verschlüsselte Kartendaten — und die Schlüssel — üblicherweise in Ihrem Scope.
03 Können Tokenisierung und Verschlüsselung zusammen eingesetzt werden?
Ja. Sie ergänzen sich ideal. PCI Proxy tokenisiert Kartendaten, sodass diese Ihre Systeme niemals berühren, und im Tresor selbst werden die echten Daten mit AES-256-Verschlüsselung im Ruhezustand und TLS bei der Übertragung geschützt. Sie erhalten Scope-Reduzierung durch Tokenisierung und starken kryptografischen Schutz der gespeicherten Daten.
04 Wann sollte ich Verschlüsselung statt Tokenisierung verwenden?
Verschlüsselung ist das richtige Mittel, wenn Sie die Originaldaten selbst behalten und reversibel verarbeiten müssen — zum Beispiel für Festplatten- oder Datenbankverschlüsselung oder zur Sicherung von Daten in der Übertragung. Für Kartennummern, die Sie nicht speichern möchten, entfernt Tokenisierung die Daten vollständig aus Ihrer Umgebung, was in der Regel vorzuziehen ist.
Tokenisierung und Verschlüsselung — professionell umgesetzt
Schildern Sie uns, was Sie schützen möchten, und wir zeigen Ihnen, wie ein europäischer Tresor Kartendaten aus dem Scope hält und sichert.