Technischer Ablauf

Wie PCI Proxy funktioniert

Sie senden uns Kartendaten. Wir tokenisieren sie, verwahren sie in einem PCI DSS Vault und geben Ihnen einen Token zurück. Ihre Systeme erhalten die Kartennummer nie.

Sie senden

Kartendaten 4111 •••• 1234

Wir sichern

PCI DSS · EU Hier verschlüsselt

Sie erhalten

nur Token tok_pci_eu_…

Datenfluss

Drei Schritte. Null PAN-Exposition.

Von der Karteneingabe des Kunden bis zum Token in Ihrem Back-Office: So funktioniert der Ablauf Schritt für Schritt.

Karte erfassen

Der Kunde gibt seine Karte in ein von uns gehostetes iFrame-Feld ein. Die PAN verlässt niemals die Browser-Sandbox des Kunden und berührt Ihre Server nicht.

checkout.html

PCIProxy.hostedFields({
  merchantId: 'mrc_de_xyz',
  onTokenize: (res) => {
    // nur Token – nie die PAN
    console.log(res.token)
  }
})

Token erzeugen

In weniger als 2 ms ersetzt PCI Proxy EU die PAN durch einen kryptografisch zufälligen Token. Ihre Anwendung empfängt ausschließlich diesen Token – keine Kartennummer.

200 OK · 47ms

{
  "token":    "tok_pci_eu_a1b2...1234",
  "last_four": "1234",
  "brand":     "visa",
  "pan_in_systems": false
}

Zahlung weiterleiten

Sie senden den Token an unseren Forward-Endpunkt. Wir rufen die PAN aus dem Vault ab und leiten sie verschlüsselt an Ihren PSP weiter. Sie sehen sie nie.

POST /v1/forward

{
  "token":      "tok_pci_eu_a1b2...1234",
  "target_url": "https://psp.eu/charge",
  "amount":     4999,
  "currency":   "EUR"
}

API-Architektur

Eine API, alle Ihre Zahlungsflüsse

Authentifizieren Sie sich mit Ihrem API-Schlüssel. Ein Endpunkt erzeugt den Token, der andere leitet die Zahlung weiter. JSON ein, JSON aus.

Ihre Anwendung

Web-Checkout, mobile App oder Server-zu-Server-API-Aufruf

Sendet

Kartennummer (PAN)

Ablaufdatum & CVV

Empfängt

Token (niemals PAN)

AES-256 · EU Vault

PCI Proxy EU

PCI DSS Stufe 1

Tokenisierung, Vault-Speicher und sichere Weiterleitung – alles in einem

Kartendaten abfangen

PAN durch Token ersetzen

AES-256 im EU-Vault speichern

Token an Sie zurückgeben

PAN an PSP weiterleiten

TLS · verschlüsselt

PSP / Bank

Ihr bestehender Zahlungsdienstleister oder jeder andere PSP im Netzwerk

Empfängt

PAN (verschlüsselt übertragen)

Antwortet mit

Autorisierungsstatus

Signierte Anfragen

Ø Latenz unter 50 ms

REST + Webhooks

Zahlen, die zählen

Level 1 PCI DSS Stufe 1 zertifiziert

< 50 Zeilen Code zur Integration

< 2ms Echtzeit-Tokenisierung

100% EU EU-Datensouveränität

Integration

Zwei Integrationsmethoden

Wählen Sie die Methode, die zu Ihrem Stack passt. Beide Ansätze verhindern, dass Ihre Infrastruktur je eine PAN verarbeitet.

Hosted Fields

Direkte API

Server-zu-Server

Rufen Sie unsere REST API direkt auf. Ideal für Backend-Integration, MOTO-Callcenter und Batch-Verarbeitung.

Vollständige REST API mit OpenAPI-Spec

SDKs für Node.js, Python, PHP, Java

MOTO- und Callcenter-tauglich

Batch-Tokenisierung für Massenimport

POST /v1/tokenize

{
  "card_number": "4111111111111111",
  "expiry":      "12/26",
  "cvv":         "123"
}

Interne Architektur

Verschlüsselter Pfad, von Anfang bis Ende

Jede PAN durchläuft sechs Knotenpunkte, bevor sie sicher im Vault ruht. Kein Knoten speichert Klartextdaten.

Browser / App

Die PAN verlässt das Gerät des Kunden ausschließlich über ein verschlüsseltes iFrame-Feld oder einen TLS-gesicherten API-Aufruf. Sie ist nie im Klartext im DOM Ihrer Seite sichtbar.

CDN

Unser CDN-Endpunkt befindet sich in der EU. Die TLS-Terminierung erfolgt hier; Rohdaten werden niemals in Protokollen gespeichert. Strict-Transport-Security ist für alle Domains erzwungen.

Vault API

Die Vault API empfängt die PAN, validiert das Format, prüft Ihr API-Schlüssel-Berechtigungsset und leitet die PAN zur Verschlüsselung an den Vault-Kern weiter. Kein Persistieren im Klartext.

Vault

Die PAN wird mit AES-256-GCM verschlüsselt. Der Schlüssel wird in einem FIPS 140-2 Level 3 HSM verwaltet. Der Token wird erzeugt und dem verschlüsselten Blob im EU-Rechenzentrum zugeordnet.

Ausgehende Weiterleitung

Wenn Sie POST /v1/forward aufrufen, wird die PAN im HSM entschlüsselt und sofort über eine dedizierte TLS-Verbindung an den PSP weitergeleitet. Sie wird nicht gespeichert oder protokolliert.

PSP / Bank

Der PSP empfängt die PAN und verarbeitet die Zahlung. Das Ergebnis (Transaktions-ID, Status) wird über unsere Infrastruktur an Sie zurückgegeben. In Ihrer Antwort erscheint keine PAN.

Pseudonymisierung

Pseudonymisierung am Edge

Drei Eingangskanäle, ein einheitliches Ergebnis: die PAN verlässt Ihre Kontrolle sofort und wird durch einen stabilen Token ersetzt.

Web-Checkout-Fluss

Für E-Commerce-Shops und Web-Anwendungen

1 Kunde öffnet Checkout

2 iFrame-Felder von PCI Proxy EU geladen

3 PAN direkt in unseren Vault übertragen

4 Token an Ihre App zurückgegeben

5 Token für Zahlung & Speicherung verwendet

SAQ A qualifizierend

API-Proxy-Fluss

Für Backend-Integrationen und mobile Apps

1 Server-Anfrage mit PAN an unsere API

2 Authentifizierung via signiertem API-Schlüssel

3 PAN validiert und AES-256 verschlüsselt

4 Token erzeugt, PAN im EU-Vault gespeichert

5 Nur Token in der API-Antwort

REST · JSON · < 2ms

MOTO-Fluss

Für Callcenter und Mail-Order/Telephone-Order

1 Agent öffnet Maske im Callcenter-System

2 Kunde nennt Kartendetails am Telefon

3 Echtzeitmasking: Agent sieht nur ****

4 DTMF-Tonunterdrückung optional

5 Token automatisch in CRM-Datensatz

PCI DSS Req. 1.3 konform

Token-Operationen

Was Sie mit einem Token tun können

Ein Token ist nicht nur ein Platzhalter. Er aktiviert neun Operationsklassen – alles ohne PAN in Ihren Systemen.

Zahlung autorisieren

Einmalige oder wiederkehrende Zahlung über beliebigen PSP weiterleiten

Abonnement wiederholen

Gespeicherte Karte für MIT-Buchungen (Merchant-Initiated) verwenden

Vault-Schlüsselwechsel

AES-Schlüsselrotation ohne Ablauf der Tokens oder Ausfallzeiten

Tokenformat ändern

Zwischen Format-preserving (FPE) und zufälligem Token wechseln

PSP wechseln

Denselben Token an einen anderen PSP routen ohne Kundenaktion

Netzwerk-Token anfordern

Mastercard- oder Visa-Netzwerk-Token aus dem Vault-Token ableiten

Abrufen + entokenisieren

Kartendetails für autorisierte Downstream-Prozesse abrufen

Batch-Verarbeitung

Massenzahlungen oder Rückerstattungen mit einer Token-Liste ausführen

Token-Update

Neue Kartendaten (Erneuerung) demselben Token zuordnen

PSP-Routing

Ihr PSP, oder jeder PSP

Verbinden Sie sich einmal mit PCI Proxy EU und routen Sie denselben Token zu beliebig vielen PSPs – ohne erneute Kunden-Authentifizierung.

PSP-agnostisch

Ihr Token ist an keinen PSP gebunden. Wechseln Sie jederzeit den Acquirer oder routen Sie nach Währung, Land oder Transaktionstyp an unterschiedliche PSPs.

Ein Token, viele Netzwerke

Derselbe Token kann für Visa, Mastercard und American Express verwendet werden. Netzwerk-Tokens sind auf Anfrage verfügbar ohne neue Kartendaten zu benötigen.

Intelligentes Routing

Definieren Sie Routing-Regeln: priorisieren Sie nach Kosten, Erfolgsrate oder Ausfallsicherung. Bei einem PSP-Fehler wird automatisch auf den nächsten umgeleitet.

Alle EU-Acquirer unterstützt

Stripe, Adyen, Braintree, Worldline, Nexi, Concardis, Computop und viele weitere. Neue PSPs werden auf Anfrage innerhalb von 5 Werktagen integriert.

psp-routing · live AKTIV

Ihr Request

"token": "tok_pci_eu_a1b2c3d4"

"route_to": "auto"

PCI Proxy EU Routing Engine

Stripe

Adyen

Worldline

Antwort an Sie

"status": "authorized"

"pan_returned": false

Compliance-Vorteile

Warum unsere Architektur den PCI-Umfang von Ihnen fernhält

Die technische Trennung ist kein Nebeneffekt – sie ist das Kerndesign. Drei Prinzipien, die Ihren Compliance-Aufwand nachhaltig reduzieren.

Keine PAN in Ihren Systemen

Ihre Server, Datenbanken, Logs und Backups enthalten niemals eine Klartextkartennummer. Ohne PAN in Ihrem Umfeld entfallen die meisten PCI DSS-Anforderungen für Ihre Infrastruktur automatisch.

CDE eliminiert

PCI-Umfang auf ein Minimum reduziert

Durch die Auslagerung der PAN-Verarbeitung an PCI Proxy EU können die meisten Händler mit SAQ A oder SAQ A-EP arbeiten statt dem umfangreicheren SAQ D. Weniger Aufwand, weniger Kosten, schnellere Zertifizierung.

SAQ A qualifizierend

EU-Datensouveränität & DSGVO

Sämtliche Kartendaten verbleiben ausschließlich in EU-Rechenzentren unter europäischem Recht. Kein Transfer außerhalb des EWR. DSGVO-Verarbeitungsvertrag (DPA) standardmäßig enthalten.

DSGVO-konform

Entwickler

Alles, was Ihre Entwickler brauchen

Von der ersten Zeile Code bis zur Produktion: Dokumentation, SDKs, Sandbox-Umgebung und direkter technischer Support sind enthalten.

Dokumentation

Vollständige REST API-Referenz, OpenAPI 3.0 Spec, Integrationsanleitungen und Beispielcode für alle Endpoints.

API-Docs lesen

SDKs

Offizielle Bibliotheken für Node.js, Python, PHP, Java und .NET. TypeScript-Typen, Async-Support und vollständige Testabdeckung.

SDKs ansehen

Sandbox

Vollständige Testumgebung mit echten Testkartenantworten. Kein Produktionsdaten-Risiko. Dashboard und API im Paket.

Sandbox öffnen

Support

Technischer Support mit garantiertem SLA. Onboarding-Begleitung, Integrations-Review und 24/7 Monitoring für Produktionsumgebungen.

Kontakt aufnehmen

Vertrauen

Zertifizierungen & Vertrauen

Unsere Compliance-Zertifizierungen sind keine Checkboxen – sie sind die Grundlage unserer Architektur.

Aktiv

PCI DSS Level 1

Höchste Zertifizierungsstufe. Jährliches QSA-Audit. ROC und AOC auf Anfrage erhältlich.

Zertifiziert

ISO 27001

Informationssicherheits-Management-System. Unabhängig auditiert. Vollständige Risikoabdeckung.

Konform

DSGVO

EU-Datenschutz-Grundverordnung. DPA standardmäßig im Vertrag. Keine Drittlandübertragungen.

Garantiert

EU-Datensouveränität

Ausschließlich EU-Rechenzentren (Frankfurt, Amsterdam). Kein US-Datentransfer. Cloud Act-geschützt.

Bereit zur Integration?

Erfahren Sie, was ein PCI Proxy ist, vertiefen Sie Ihr Wissen zur Tokenisierung oder sehen Sie, wie Entwickler die Plattform nutzen.

Was ist ein PCI Proxy? Tokenisierung Integrationen Entwickler-Anwendungsfall