Glossar

06.02.2024

PAN

Die Primary Account Number (PAN) ist eine einzigartige Kennung für Kreditkarten, Debitkarten und andere Zahlungskarten. Sie wird umgangssprachlich oft einfach als "Kartennummer" bezeichnet. Die PAN ist in der Regel zwischen 14 und 19 Ziffern lang, wobei die erste Zifferngruppe den Aussteller der Karte identifiziert (aka BIN oder Bankleitzahl). Zusammen mit der CVV (aka SCS, CVC, CAV und CVD) ist die PAN für Online-Transaktionen via Kreditkarte erforderlich.

Was ist eine PAN?

Die PAN (Primary Account Number) ist eine einzigartige Kennung für Kreditkarten, Debitkarten und andere Zahlungskarten. Diese Nummer kann bis zu 19 Ziffern lang sein und besteht aus verschiedenen Abschnitten.

Die ersten 6 oder 8 Ziffern bezeichnen die so genannte Issuer Identification Number (IIN), d.h. die Branche, das Netzwerk und das Finanzinstitut, das die Karte ausgestellt hat. Die IIN ist auch als BIN oder Bankleitzahl bekannt. Die erste Ziffer in der BIN oder IIN gibt das Card Scheme an (z. B. beginnt American Express mit einer 3, Visa-Karten beginnen mit der Ziffer 4 und Discover mit der 6). Die restlichen Ziffern der BIN/IIN bezeichnen das Finanzinstitut, das die Karte ausgibt.

Alle anderen Ziffern mit Ausnahme der letzten Ziffer identifizieren den Karteninhaber. Die letzte Ziffer ist eine Kontrollzahl, mit der überprüft wird, ob die Kartennummer korrekt eingegeben wurde, da diese letzte Ziffer vom Wert aller anderen Ziffern abhängt.

Wie können Händler PANs für Recurring Payments speichern?

Die PANs von Kredit- und Debitkarten stellen sensible Finanzdaten dar und dürfen nur in PCI DSS-konformen Vaults gespeichert werden, die strengen Sicherheitsregeln unterliegen. Bedingt werden diese von den Card Schemes selbst. Da die PCI DSS-Zertifizierung teuer ist und jährlich durchgeführt werden muss, lagern die meisten Händler die Speicherung der PANs in den Vault eines Drittanbieters aus. Dadurch verringert sich der PCI DSS-Umfang für die Händler erheblich.

Wenn ein Verbraucher zum ersten Mal eine PAN eingibt, die gespeichert werden soll - entweder weil dieser sich für die Speicherung seiner Zahlungsdaten entschieden hat oder weil er einen Abonnementvertrag abgeschlossen hat - wird die PAN direkt an den Vault zur Speicherung gesendet. Es wird ein Token generiert und an den Händler zurückgeschickt. Dieses Token kann vom Händler gespeichert und für nachfolgende Transaktionen mit der Karte verwendet werden. Token enthalten keine sensiblen Informationen, sondern sind lediglich eine einzigartige Kennung, die zum Aufrufen der Kartendaten verwendet wird.

Um bei einer Card-on-File-Transaktion auf eine im Vault gespeicherte PAN verweisen zu können, muss der Händler dieses Token der Transaktion beifügen. Der Payment Provider oder die Payment Orchestration Plattform sucht dann nach der entsprechenden PAN und leitet sie zusammen mit den Transaktionsdaten zur Verarbeitung weiter. Auf diese Weise wird sichergestellt, dass die Händler die PAN nie direkt bearbeiten müssen.

Wie können Händler sicherstellen, dass die Kartendaten ihrer Kunden aktuell sind?

Kartendaten können sich im Laufe der Zeit ändern, da sie über ein Ablaufdatum verfügen und daher regelmäßig neu ausgestellt werden. Das bedeutet, dass Transaktionen mit der Karte nicht mehr möglich sind, ohne die Kartendaten beim Checkout manuell zu aktualisieren.

Dabei gibt es zwei Methoden, um sicherzustellen, dass die Kartendaten stets auf dem neuesten Stand sind und für die Verarbeitung von Card-on-File Transaktionen verwendet werden können: ein Account Updater und Netzwerk-Tokenisierung.

Ein Account-Updater prüft regelmäßig, ob eine Karte aktualisiert wurde, indem er geupdatete Informationen von den Card Schemes anfordert. Wenn sich die Kartendaten seit der letzten Abfrage geändert haben, werden die aktualisierten Kartendaten zurückgegeben und können in dem sicheren Vault, in dem die PAN gespeichert ist, aktualisiert werden.

Die Netzwerk-Tokenisierung hingegen verwendet Token, die direkt von den Card Schemes ausgegeben werden. Die Issuer verwalten den Lebenszyklus des Tokens und stellen sicher, dass die Kartendaten, auf die der Token verweist, aktuell sind. Änderungen an den Kartendaten, z.B. bei der Neuausstellung einer Karte, machen das Token, das von den Händlern gespeichert wird, nicht ungültig - ganz im Gegensatz zu Token, die von PSPs ausgegeben werden.

IXOPAY bietet einen sowohl einen Account Updater als auch Netzwerk-Tokenisierung an.

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate