Card-Tokens: Dein Leitfaden für sicherere Kartenzahlungen

Wenn ein:e Kund:in mit Karte bezahlt, ist nicht jede Kartennummer gleich.

Im Hintergrund kann bei einer Transaktion entweder verwendet werden:

• FPAN – die echte Kartennummer, die auf der Karte steht
• DPAN – eine sichere, tokenisierte Ersatznummer für die Karte

Für Dich als Händler:in ist dieser Unterschied wichtig. Er beeinflusst:

• Wie stark Du Betrug ausgesetzt bist
• Wie viele Kartendaten Du verarbeitest
• Deinen PCI-Compliance-Umfang
• Was passiert, wenn Karten ablaufen oder ersetzt werden
• Sogar Deine Autorisierungsraten

Zu verstehen, was FPAN und DPAN sind, hilft Dir, klügere Entscheidungen darüber zu treffen, wie Du Zahlungen akzeptierst und speicherst.

Auf einen Blick

Wichtige Begriffe

FPAN (Funding Primary Account Number)

Das ist die echte Kartennummer, die von der Bank ausgegeben wurde. Sie identifiziert direkt das Konto de:r Kund:in.

DPAN (Device oder Digital Primary Account Number)

Das ist ein von den Kartennetzwerken ausgestelltes Token, das die echte Kartennummer in einer Transaktion ersetzt.

Du kannst Dir den DPAN wie einen sicheren Alias für die echte Kartennummer vorstellen.

FPAN vs. DPAN – Schneller Vergleich

FPAN (Funding PAN)

Was ist das?

FPAN ist die originale Kartennummer, die auf der Karte aufgedruckt ist.
Sie ist direkt mit dem Bankkonto de:r Kund:in verknüpft.
Das ist die Nummer, die traditionell an der Kasse eingegeben wird.

Wo wird FPAN normalerweise verwendet?

Du findest FPAN z. B. bei:

• Manueller Karteneingabe im E-Commerce
• Mail Order / Telephone Order (MOTO)
• Älteren oder traditionellen Zahlungssystemen
• Als Fallback, wenn keine Tokenisierung möglich ist

Was bedeutet das für Dich als Händler:in?

Wenn Du FPAN verwendest, verarbeitest Du die echte Kartennummer.

Das bringt mit sich:

• Höhere Sensibilität, falls Daten kompromittiert werden
• Einen größeren PCI-Compliance-Umfang
• Manuellen Aufwand, wenn Karten ersetzt oder erneuert werden

FPAN ist in bestimmten Situationen noch nötig, bringt aber im Vergleich zu tokenisierten Daten mehr Risiken und Aufwand.

DPAN (Digital PAN / Network Token)

Was ist das?

DPAN ist ein Token, das von den Kartennetzwerken (wie Visa oder Mastercard) generiert wird. Es ersetzt bei einer Transaktion die echte Kartennummer, bleibt aber sicher mit dem Konto verbunden.

Es gibt zwei gängige Typen:

• Geräte-Token (z. B. bei Apple Pay oder Google Pay)
• Netzwerk-Token (für E-Commerce und gespeicherte Karten)

Wo wird DPAN genutzt?

Du verwendest DPAN z. B. bei:

• Apple Pay
• Google Pay
• Click to Pay
• Netzwerk-tokenisierten E-Commerce-Transaktionen
• Card-on-File (CoF)
• Von Händler:in initiierte Transaktionen (MIT), z. B. Abos

Warum ist DPAN sicherer?

DPAN macht Zahlungen auf zwei wichtige Arten sicherer:

1. Tokenisierung

Die echte Kartennummer wird Dir als Händler:in nicht übermittelt.

2. Dynamische kryptografische Daten

Jede Transaktion bekommt einen einzigartigen Sicherheitswert (Kryptogramm).
Auch wenn Daten abgefangen werden, lassen sie sich nicht einfach wiederverwenden. Das stärkt das Vertrauen der Herausgeber:innen in die Transaktion und kann Deine Autorisierungen verbessern.

Wie sieht das in der Praxis aus?

FPAN vs. DPAN – Ablauf einer echten Transaktion

• FPAN = echte Kartennummer (höheres Risiko)
• DPAN = Token (Du verarbeitest meistens das Token statt der FPAN)
• DPAN kommt v. a. bei Wallets und als Netzwerk-Token bei Card-on-File zum Einsatz

Wallet-Zahlungen (Apple Pay / Google Pay)

Wallet: DPAN wird auf das Gerät provisioniert und immer mit einem dynamischen Kryptogramm gesendet

Schritt 1: Provisionierung (Erstellung des Tokens)

• Kunde fügt die Karte zu seinem Wallet hinzu
• Die Bank prüft und bestätigt
• Das Netzwerk erzeugt einen DPAN für genau dieses Gerät
• Der Token wird auf dem Gerät gespeichert

Schritt 2: Zahlung (Autorisierung)

• Das Wallet schickt DPAN + Kryptogramm
• Du leitest das unverändert weiter
• Die Bank autorisiert die Zahlung Wichtig: Du siehst nie die echte Kartennummer.

Card-on-File & Abos (Netzwerk-Token)

CoF: Die Karte wird einmal tokenisiert; wiederkehrende Zahlungen nutzen DPAN und profitieren oft von automatischen Updates

Anmeldung (erstmalige Eingabe)

• Kunde gibt seine Kartendaten bei Dir ein
• Die Karte wird tokenisiert
• Du speicherst den DPAN, nicht die echte Kartennummer

Folgezahlungen (wiederkehrend / MIT)

• Wiederkehrende Zahlungen laufen über den gespeicherten DPAN
• Wenn die physische Karte ersetzt wird, wird der Token meistens automatisch aktualisiert

Das verbessert die Kontinuität der Zahlungen und reduziert fehlgeschlagene Abbuchungen.

Empfehlungen für Händler

Empfohlene Standard-Vorgehensweise

Verwende DPAN standardmäßig für:

• Wallet-Zahlungen
• Click to Pay
• Netzwerk-tokenisierte, gespeicherte Karten
• Abos und wiederkehrende Zahlungen

Dadurch senkst Du das Betrugsrisiko und erhöhst Deine Effizienz.

Wann Du FPAN noch brauchst

• Beim erstmaligen Erfassen von Kartendaten
• Beim Bearbeiten von MOTO oder manuellen Eingaben
• Wenn Token-Fallback gebraucht wird

Es geht nicht darum, FPAN komplett zu vermeiden – aber wo sichere Alternativen existieren, solltest Du sie bevorzugen.

FAQ

Entfernt DPAN meine PCI-Pflichten komplett?

Nein. Die PCI-Anforderungen gelten weiterhin, aber durch Tokenisierung wird Dein Scope und Risiko reduziert.

Was passiert, wenn eine Kundenkarte abläuft oder ersetzt wird?

Mit Netzwerk-Tokens laufen Updates oft automatisch. Bei FPAN brauchst Du meist die neuen Kartendaten vom Kunden.

Kann ich über DPAN erstatten?

Ja. Rückerstattungen und Streitfälle funktionieren normal, da das Netzwerk den Token zurück auf das Ursprungskonto abbildet.

Was ist der Unterschied zwischen Geräte-Token und Netzwerk-Token?

Geräte-Token sind an ein einzelnes Gerät (wie ein Smartphone) gebunden.
Netzwerk-Token sind an Dich als Händler gebunden und werden für Online- oder wiederkehrende Zahlungen genutzt.

Warum sind Wallet-Zahlungen (Apple Pay / Google Pay) sicherer?

Wallet-Zahlungen nutzen immer DPAN plus ein dynamisches Kryptogramm pro Transaktion. Damit werden gestohlene Daten praktisch unbrauchbar und die echte Kartennummer landet nie bei Dir.

Was mache ich, wenn kein DPAN/Token verfügbar ist?

Möglicherweise musst Du dann auf FPAN zurückgreifen oder Kartendaten erneut erfassen. Gestalte Deine Zahlungserfassung so, dass sie DPAN bevorzugt, aber auch Fallbacks abdecken kann.

Was ist ein dynamisches Kryptogramm und wie bekommt man es?

Ein dynamisches Kryptogramm ist ein transaktionsspezifischer Sicherheitswert, der bei tokenisierten Zahlungen („Apple Pay“/„Google Pay“) erzeugt wird. So kann die Echtheit der Zahlungsdaten bestätigt und Missbrauch verhindert werden.

Wie bekommst Du das Kryptogramm?

• Bei Wallet-Zahlungen wird es vom Gerät/Wallet des Kunden erzeugt und Dir beim Checkout mitgesendet.
• Du als Händler musst es nicht selbst erzeugen – Du musst es nur erfassen und in der Autorisierungsanfrage an Deinen PSP oder Gateway weiterleiten (je nach Integrationsmöglichkeit).

Wichtigste Erkenntnisse

• FPAN ist die echte Kartennummer.
• DPAN ist eine sichere, tokenisierte Ersatznummer.
• DPAN senkt das Betrugsrisiko und verbessert das Lebenszyklusmanagement.
• Moderne Zahlungsarten sollten beide unterstützen – bevorzugt aber DPAN.

Glossar

Glossary | Unzer Documentation

FPAN (Funding / Primary Account Number)

FPAN ist die originale Kartennummer, die von der Bank ausgegeben und auf Deiner physischen oder virtuellen Karte abgedruckt ist. Sie wird bei klassischen Kartenzahlungen genutzt und ist besonders sensibel, weshalb die Speicherung/tr Verarbeitung strengen PCI-DSS-Anforderungen unterliegt.

DPAN (Device / Digital Primary Account Number)

DPAN ist eine tokenisierte Stellvertreter-Kartennummer, die die FPAN bei tokenisierten Zahlungen ersetzt. Sie wird von Kartennetzwerken (z. B. Visa, Mastercard) über spezielle Dienstleister generiert und wird mit einem dynamischen Kryptogramm pro Transaktion verwendet. DPAN wird hauptsächlich bei Apple Pay, Google Pay und netzwerktokenisierten E-Commerce- und Card-on-File-Zahlungen genutzt.