EST. 2012 CODEGO GROUP LTD · MALTA EUIPO 018922174 PCI DSS · ADSIGO 2025 CARD DATA REVEAL SDK · v1 SAQ-D → SAQ-A · 14× WENIGER KONTROLLEN ANBIETERUNABHÄNGIG · MARQETA · GALILEO · STRIPE · BIN-SPONSOREN
Codego · Card Reveal SDK · v1 Vol. XII · Produktübersicht / PCI-Geltungsbereich reduzieren ● Self-Service-Sandbox · Anbieterunabhängig
01

Kartendaten anzeigen.
Außerhalb
des PCI-Geltungsbereichs bleiben.

Das Card Data Reveal SDK ermöglicht es Ihrer Anwendung, dem Karteninhaber die vollständige PAN, den CVV und das Ablaufdatum anzuzeigen — ohne dass Ihre Server, Ihre Anwendung oder Ihre Entwickler jemals die Kartendaten berühren. Ein Cross-Origin-iframe, das von der PCI‑DSS-zertifizierten Infrastruktur von Codego bereitgestellt wird, rendert die Karte im Browser des Endnutzers. Die Same-Origin Policy des Browsers garantiert, dass Ihr Code sie nicht lesen kann. Wechseln Sie von SAQ-D (über 300 Kontrollen) zu SAQ-A (22 Kontrollen) — ohne den Issuer zu wechseln.

Sandbox-Schlüssel holen So funktioniert's
(A) PCI-Kontrollen
22SAQ-A
(B) vs SAQ-D
14× weniger
(C) Token-Lebensdauer
5Minuten
(D) Sandbox-Anmeldung
<30Sekunden
02
Das Problem
Warum das Anzeigen einer PAN so teuer ist
4 Schmerzpunkte

Eine einzige Zeile Kartendaten,
ein sechsstelliges Audit.

Wenn Ihre Anwendung auch nur einmal eine vollständige PAN speichert, verarbeitet oder übermittelt — selbst um sie einmal auf dem Bildschirm anzuzeigen — befinden Sie sich innerhalb des PCI-DSS-Cardholder-Data-Environment. Das bedeutet SAQ-D, ein QSA-Mandat der Stufe 1, vierteljährliche ASV-Scans, jährliche Penetrationstests, laufende Überwachung und ungefähr 50.000 bis 200.000 US-Dollar pro Jahr an Compliance-Aufwand — bevor Sie auch nur eine einzige Zeile Produktcode schreiben.

A · Kosten

50k–200k $ / Jahr

PCI-DSS-Compliance der Enterprise-Stufe 1: QSA-Audit, ASV-Scans, Pen-Tests, Überwachung, dediziertes Sicherheitspersonal. Jährlich wiederkehrend.

B · Zeit

6–12 Monate blockiert

Neue Kartenprogramme stehen häufig ein halbes Jahr in der Warteschlange, während Compliance, Infrastruktur und Prozesse zu einer PCI-Stufe-1-Aufstellung aufholen.

C · Scope-Ausweitung

Über 300 Kontrollen (SAQ-D)

Der vollständige SAQ-D-Fragebogen zieht angrenzende Systeme hinein — Logs, Backups, Entwickler-Workstations. Auditoren finden ständig weitere im Geltungsbereich.

D · Lock-in

Issuer-Abhängigkeit

Die meisten Reveal-SDKs stammen von einem einzigen Issuer (Marqeta.js, Stripe Issuing Elements, Galileo MyCardInfo) — Sie übernehmen das SDK nur, indem Sie den Issuer übernehmen.

03
So funktioniert's
Zwei API-Aufrufe, ein iframe
5 Schritte · 2 Endpoints

Cross-Origin-iframe.
Den Rest erledigt die Same-Origin Policy.

Die technische Garantie ist keine Richtlinie — es ist der Browser. Wenn Ihre Seite ein Cross-Origin-iframe von cardview.codegotech.com einbettet, weigert sich der Browser, Ihr JavaScript darin lesen zu lassen. Es ist dieselbe Grenze, die beliebige Websites daran hindert, Ihren Gmail-Posteingang zu lesen. Die PAN wird als Pixel innerhalb eines isolierten DOM gerendert — sichtbar für Ihren Nutzer, aber unzugänglich für Ihren Code.

01 · Anfrage

POST /getCardInfo

Ihr Backend ruft die Card Reveal API mit der Kennung des Karteninhabers, Ihren Tenant-Anmeldedaten und der Karten-ID auf. Es werden keine Kartendaten gesendet.

02 · Token

Einmal-URL

Codego gibt einen einmalig verwendbaren 64-stelligen Hex-Token zurück, der genau an diese Karte und diesen Nutzer gebunden ist und 5 Minuten gültig ist. Der Token wird als SHA-256-Hash gespeichert; der Klartextwert wird nie persistiert.

03 · Iframe

Ihre Seite bettet es ein

Ihr Frontend fügt <iframe src="cardview.../v/<token>"> in die Seite ein. Der Browser ruft das iframe direkt von Codego ab.

04 · Rendering

Die PAN wird clientseitig gerendert

Das iframe empfängt das verschlüsselte Payload, entschlüsselt es im Browser-Kontext und rendert PAN, CVV, Inhaber und Ablaufdatum als Pixel.

05 · Auto-Löschung

DOM-Löschung nach 60 Sekunden

Der Viewer löscht sein eigenes DOM nach 60 Sekunden, blockiert Druck- und Screenshot-Tastenkürzel und widerruft den Token bei der ersten Anzeige. Ein Replay gibt 403 zurück.

Beispielanfrage

curl -X POST https://cardapi.codegotech.com/getCardInfo \
  -H "Content-Type: application/json" \
  -d '{
    "authkey":       "<tenant_api_key>",
    "authekey":      "<base64(user:pass)>",
    "whitelabel_id": "<your_tenant_id>",
    "user_id":       "<end_user_id>",
    "web_token":     "<session_token>",
    "cid":           "<card_id>"
  }'

# response
{
  "status": true,
  "token":     "f5b3...c801",
  "image_url": "https://cardview.codegotech.com/v/f5b3...c801"
}

Sandbox-Dokumentation öffnen → Kostenloser Schlüssel, keine Kreditkarte. Dasselbe Payload wie in der Produktion.

04
PCI-Geltungsbereich reduzieren
SAQ-D vs SAQ-A · was sich wirklich ändert
SAQ-Vergleich

Von über 300 Kontrollen
auf 22.

SAQ-D (ohne Card Reveal)
Speichert oder übermittelt Karteninhaberdaten · über 300 Kontrollen · Audit der Stufe 1 · 50k–200k $/Jahr
SAQ-A (mit Card Reveal)
Vollständig an einen PCI-DSS-Anbieter ausgelagert · 22 Kontrollen · Selbstbewertung · ~5k–15k $/Jahr
Karteninhaberdaten in Ihrer Umgebung
Null. Ihre Server erhalten niemals PAN, CVV oder Ablaufdatum.
Iframe-Isolationsgarantie
Same-Origin Policy des Browsers. Derselbe Standard, der Bank-Sessions, Gmail und GitHub-OAuth schützt.
Kartendaten im Ruhezustand
AES-256-GCM. Token mit SHA-256 gehasht. Verschlüsseltes Payload nach der ersten Anzeige genullt.
Kartendaten während der Übertragung
TLS 1.2+ zu Codego. Der Tenant-Origin entschlüsselt niemals.
Replay-Schutz
Atomares Einmal-UPDATE in der DB. Der zweite Besuch gibt 403 zurück.
Audit-Log
Jede Ausgabe / Anzeige / Ablehnung wird mit IP, UA und Zeitstempel protokolliert.
05
Anbieterunabhängig
Bringen Sie Ihren eigenen Kartenherausgeber mit
Codego oder jeder Issuer

Funktioniert mit Karten, die von
jedem herausgegeben werden.

Die meisten Reveal-SDKs sind an einen bestimmten Issuer gebunden — Sie übernehmen das SDK, indem Sie den Issuer übernehmen. Das Card Data Reveal SDK von Codego ist anders. Wir rufen die PAN bei jeder Anfrage aus der autoritativen Quelle Ihres bestehenden Issuers ab. Sie müssen Ihr Kartenportfolio nicht migrieren. Sie müssen keinen Token Vault betreiben. Sie müssen den BIN-Sponsor nicht wechseln.

A · Codego

Native Integration

Wenn Ihre Karten im Rahmen eines Codego-BIN-Programms herausgegeben werden, wird das Reveal SDK mit einem einzigen Admin-Schalter aktiviert. Keine zusätzliche Integration.

B · Große Prozessoren

Marqeta · Galileo · Thredd

Vorgefertigte Konnektoren für die größten US- und EU-Prozessoren. Wir rufen deren Secure-Element-API für Sie auf und liefern das Ergebnis über unseren Viewer aus.

C · Große Plattformen

Stripe Issuing · Adyen

Kompatibel mit den Reveal-Endpoints von Stripe Issuing und Adyen Card Issuing. Ihr Kartenprogramm bleibt, wo es ist.

D · BIN-Sponsoren

Individueller Issuer oder Sponsor

Wenn Ihr Issuer oder BIN-Sponsor eine PAN-Abruf-API bereitstellt, bauen wir den Konnektor — in der Regel in 2–3 Engineering-Tagen. Sprechen Sie mit uns.

06
Anwendungsfälle
Wer damit baut
4 Kategorien

Für Teams, die
Karten ausliefern.

A · Neobank

Karte in der App anzeigen

Zeigen Sie dem Nutzer die virtuelle Karte an, bevor das Plastik ankommt. Tippen, um den CVV zu kopieren, das Ablaufdatum sehen, alles unter Ihrer App-Marke — ohne PCI-Fußabdruck.

B · Spesen / B2B

Firmenkarten anzeigen

Zeigen Sie einem Mitarbeiter oder Lieferanten die zugewiesene Kartennummer für Online-Buchungen an. Einmal-Viewer, protokolliert, mit IP- und Origin-Allowlists.

C · Marktplätze

Auszahlungen auf virtuelle Karten

Push-to-Card-Auszahlungsabläufe, bei denen der Empfänger seine frisch ausgegebene virtuelle Karte sieht. Tokenisiert, zeitlich begrenzt, mit einmaliger Anzeige.

D · Crypto On/Off-Ramp

On-Ramp-Karte anzeigen

Krypto-finanzierte Karten, gerendert in der UI Ihres Wallets. Kein Vault, kein SAQ-D, kein Engineering-Team, das zum Compliance-Team wird.

07
Der Vergleich
Codego Card Data Reveal SDK vs die Kategorie
5 Anbieter

Alternative zu Skyflow, VGS, Basis Theory.

Skyflow, Very Good Security und Basis Theory sind PCI-Vaults — Sie verlagern Ihre Kartendaten in deren Store. Marqeta.js, Stripe Issuing Elements und Galileo MyCardInfo sind Reveal-SDKs von Kartenherausgebern — Sie können sie nur nutzen, wenn Sie bereits deren Issuing-Kunde sind. Das SDK von Codego nimmt eine andere Position ein: Reveal per iframe über Ihrem bestehenden Issuer, ohne Vault-Migration.

Skyflow / VGS / Basis Theory
PCI-Vault — Sie migrieren die Kartendaten in deren Store. Cross-Vendor von Haus aus, aber vault-zentriert.
Marqeta.js · Stripe Issuing Elements · Galileo MyCardInfo
Mit dem Issuer gebündeltes Reveal-SDK — nur für Kunden dieses Issuers verfügbar. Faktischer Lock-in.
Codego Card Data Reveal SDK
iframe-SDK, anbieterunabhängig, ohne Vault. Wir lesen aus der PAN-Abruf-API Ihres bestehenden Issuers.
Von einem lizenzierten Issuer entwickelt
Codego betreibt BIN-Programme, besitzt die PCI-DSS-Stufe-1-Zertifizierung (Adsigo 2025) und trägt den gesamten Stack.
Testen ohne Vertriebsgespräch
Kostenlose Self-Service-Sandbox unter sandbox-cardapi.codegotech.com. Dasselbe Payload wie in der Produktion.
08
Häufige Fragen
6 Fragen
6 Q&A

Card Reveal SDK FAQ.

Q1.Wie reduziert das Card Reveal SDK den PCI-DSS-Geltungsbereich?
Die PAN, der CVV und das Ablaufdatum des Karteninhabers werden in einem Cross-Origin-iframe gerendert, das von der PCI-DSS-zertifizierten Infrastruktur von Codego bereitgestellt wird. Ihre Anwendung bettet das iframe ein, aber da die Same-Origin Policy des Browsers den Cross-Origin-DOM-Zugriff blockiert, kann Ihr JavaScript die Kartendaten niemals lesen. Die Tenant-Umgebung empfängt, speichert oder übermittelt niemals Karteninhaberdaten — wodurch sich Ihre Bewertung von SAQ-D (über 300 Kontrollen) auf SAQ-A (22 Kontrollen) verschiebt.
Q2.Funktioniert das auch mit anderen Kartenherausgebern als Codego?
Ja. Das SDK ist anbieterunabhängig. Wenn Ihre Karten von Marqeta, Galileo, Thredd, Paymentology, Stripe Issuing oder Ihrem eigenen BIN-Sponsor herausgegeben werden, ruft Codego die PAN für Sie über die Secure-Element-API des Issuers ab und rendert sie über denselben Viewer. Sie müssen den Issuer nicht wechseln, um das Reveal SDK zu nutzen.
Q3.Was ist der Unterschied zwischen SAQ-A und SAQ-D?
Der SAQ (Self-Assessment Questionnaire) ist das PCI-DSS-Attestierungsformular. SAQ-D gilt für Händler, die Karteninhaberdaten speichern, verarbeiten oder übermitteln: über 300 Kontrollen, vollständiges QSA-Audit, in der Regel 30.000 bis 200.000 US-Dollar pro Jahr. SAQ-A gilt für Händler, die die Verarbeitung von Karteninhaberdaten vollständig an einen PCI-DSS-zertifizierten Drittanbieter auslagern: 22 Kontrollen, vereinfachte Selbstbewertung, deutlich geringere Compliance-Kosten.
Q4.Wie unterscheidet sich das von Skyflow, VGS oder Basis Theory?
Skyflow, Very Good Security und Basis Theory sind PCI-Vaults — die PAN speichern Sie bei ihnen. Das Card Data Reveal SDK von Codego erfordert nicht, dass Sie Ihren Card Vault verlagern: Wir lesen bei jeder Anfrage aus der autoritativen Quelle Ihres Issuers. Außerdem verfügen wir über eine lizenzierte europäische Issuer-Einheit, sodass wir den gesamten Stack (BIN-Sponsoring + Reveal SDK) auf unserer eigenen Infrastruktur tragen können — ohne separate Anbieterbeziehung.
Q5.Wie schnell kann ich es integrieren?
Die Sandbox-Anmeldung erfolgt im Self-Service: Sie erstellen einen Schlüssel, kopieren das curl-Beispiel, betten das iframe ein. Die End-to-End-Integration dauert in der Regel 1–2 Engineering-Tage. Der Produktionszugang erfordert eine Compliance-Prüfung (die Details Ihres Kartenprogramms + den Integrationsumfang) und wird normalerweise innerhalb von 5 Werktagen gewährt.
Q6.Welche Schutzmaßnahmen verhindern den Abfluss von Kartendaten?
AES-256-GCM im Ruhezustand, TLS 1.2+ während der Übertragung. Tokens sind einmalig verwendbar, laufen nach 5 Minuten ab und werden als SHA-256-Hashes gespeichert (der Klartext-Token wird nie persistiert). Der Viewer löscht das DOM automatisch nach 60 Sekunden, blockiert das Drucken und gängige Screenshot-Tastenkürzel und nutzt die Isolation des Cross-Origin-iframes. IP-Allowlist pro Tenant, Rate-Limits, vollständiges Audit-Log.
09
Jetzt loslegen
Kostenlose Sandbox sofort · Produktionszugang in 5 Werktagen
2 Wege

Jetzt testen,
ohne Vertriebsgespräch.

Kostenlose Self-Service-Sandbox. Melden Sie sich mit Ihrer E-Mail an, erhalten Sie in 30 Sekunden einen Schlüssel, senden Sie sofort Ihre erste Anfrage. Die Sandbox gibt 4 fest hinterlegte Testkarten zurück (Visa, Mastercard, Amex, Visa abgelehnt) und verwendet genau dasselbe Payload wie die Produktion — wenn Sie bereit sind, ändern Sie eine URL und sind live.

Codego Group LTD · Malta · Est. 2012
EUIPO 018922174 · PCI DSS Stufe 1 by Adsigo, 2025

Self-Service

Sandbox testen

Kostenloser Schlüssel, keine Kreditkarte, Anmeldung in 30 Sekunden. Betten Sie das iframe noch heute in Ihre Entwicklungsumgebung ein.

Sandbox-Schlüssel holen Sandbox-Dokumentation lesen
Produktion

Mit dem Vertrieb sprechen

Für Allowlists auf Tenant-Ebene, individuelle Issuer-Konnektoren und Produktions-Anmeldedaten. Antwort innerhalb von 24 Stunden.

Programm starten banking@codegotech.com
RL
Verwandtes bei Codego
Weitere Teile des Codego-Stacks
5 Seiten

Weiter
erkunden.

A · Ausgabe

Kartenausgabe

Programmatische Ausgabe von Visa- und Mastercard-Karten — Codego-BIN-Programme.

B · Verarbeitung

Kartenprozessor

Autorisierungs-, Clearing- und Settlement-Schicht unter dem Card SDK.

C · BaaS

Banking as a Service

Vollständige Bankinfrastruktur — IBAN, SEPA, SWIFT, Karten in einem Stack.

D · Referenz

Was ist PCI DSS?

Geltungsbereich, Stufen, SAQ-Typen, was SAQ-D statt SAQ-A auslöst.