Skip to content
FunktionenPreisePartnerBlogHilfeÜber unsKontakt
LoslegenAnmelden
Zurück zum Blog
guides2026-08-275 Min. Lesezeit

Außerhalb des PCI-DSS-Geltungsbereichs bleiben: Kartendaten mit Stripe Elements

Das Stripe.js Elements + Tokenization Muster für PCI-DSS SAQ-A: 0 EUR Selbstbewertung vs 8.000 EUR+ SAQ-D Pen-Test.

th

thMenu Team

thmenu.com

Sie betreiben ein Restaurant mit 18 Tischen und möchten, dass Gäste direkt über die QR-Speisekarte mit Karte zahlen. Sobald eine echte PAN Ihren Server berührt, fallen Sie unter PCI-DSS SAQ-D — Pen-Tests, ASV-Scans, Segmentierungs-Audits, leicht 8.000 EUR+ jährlich. Mit der richtigen Architektur sind diese Kosten null.

SAQ-A vs SAQ-D verstehen

SAQ-A ist die leichteste PCI-DSS-Selbstbewertung — 22 Ja/Nein-Fragen für Händler, die Kartendaten komplett an einen PCI-validierten Anbieter auslagern. Rechtskosten praktisch 0 EUR.

SAQ-D greift, sobald Kartendaten Ihr System berühren — Speicher, Logs, temporäre Variablen. Quartalsweise ASV-Scans und jährliche Penetrationstests verursachen 8.000-15.000 EUR laufende Kosten.

Das Tokenization-Muster mit Stripe Elements

Stripe.js Elements rendern das Karteneingabefeld in einem iframe von js.stripe.com. PAN, CVV und Ablaufdatum teilen niemals den Origin mit Ihrer Anwendung — Ihr JavaScript kann sie nicht lesen.

  • Gast tippt Kartennummer → bleibt im Stripe-iframe
  • Frontend ruft stripe.confirmCardPayment(clientSecret) auf
  • Ihr Server sieht nur das Token (pi_xxx)

thMenu macht das standardmäßig

Im Platinum-Tarif liefert thMenu Stripe Elements von Haus aus. Es gibt keine Option, Kartendaten "an den Server zu senden", weil der Backend-Code keine PAN referenziert. Auch 3D Secure 2.0 und PSD2 SCA werden komplett auf Stripe-Seite verarbeitet.

Für ein deutsches Restaurant heißt das: keine Sondergespräche mit dem BSI, keine TKG-Vorratsdatenfragen rund um Kartendaten, einfach das ausgefüllte SAQ-A bei Ihrem Acquirer einreichen.

FAQ

Brauche ich bei SAQ-A ein jährliches Audit? Nein, es ist eine Selbstbewertung — einmal jährlich ausfüllen und beim Acquirer einreichen.

Bringen Stripe-Webhooks mich zurück in den Scope? Nein. Webhook-Payloads enthalten nur die letzten 4 Stellen, Marke und Ablauf — kein vollständiger PAN.

Was passiert bei telefonischen Bestellungen? Wenn Personal die Karte eintippt, sind Sie in SAQ-D. Nutzen Sie Stripe Terminal oder Payment Links.

Hilfreich? Teilen Sie es.

Verwandte Artikel

📱
guides

Was ist ein QR-Code-Menü? Der vollständige Leitfaden für Restaurants

Ein QR-Code-Menü ermöglicht Gästen den sofortigen Zugriff auf Ihre Speisekarte p

🔄
guides

Von der Papier- zur digitalen Speisekarte: Eine Schritt-für-Schritt-Anleitung

Sie möchten auf digitale QR-Speisekarten umsteigen, wissen aber nicht, wie? Dies

🌍
guides

Geo-zielgerichtete QR-Menüs: Sprache nach Besucher-IP ausspielen

Wie ein 180-Plätze-Resort in Antalya denselben QR-Code je nach IP an türkische,