SourcingJun 13, 2026·11 Min. Lesezeit

ATM-PIN-Pad-(EPP-)Austausch: Manipulation, PCI-PTS-Konformität, Schlüsselinjektion und das richtige Teil wählen

Ein Betreiber-Leitfaden zum ATM-Encrypting-PIN-Pad (EPP) — wie es die PIN sichert, warum ein manipuliertes EPP seine Schlüssel löscht und stoppt, PCI-PTS- und TR-31-Konformität, warum Schlüssel von autorisierter Stelle injiziert werden müssen, und die Auswahl eines Ersatzes.

Die schnelle Antwort (und die eine harte Regel)

The ATM PIN pad isn’t a keypad — it’s an EPP (Encrypting PIN Pad), the most security-governed part on the machine. It encrypts the PIN inside a tamper-protected module, it’s certified to PCI PTS, and it only works once cryptographic keys are loaded. That makes replacement a compliance job, not a swap:

RealityWhat it means
It encrypts the PIN internallyThe PIN is never plaintext outside the EPP
It's tamper-responsiveOpening/removing it zeroizes the keys — it stops working
It must be PCI PTS certifiedMatch a currently-valid approval level (e.g. PCI PTS 5.x)
It needs keys injectedA new EPP can't process PINs until an authorized party loads keys
Encrypt, tamper-zeroize, certify, key-inject. The physical swap is trivial; these four govern whether it works.

Wie ein EPP die PIN sichert

An EPP exists to keep the customer’s PIN secret end-to-end. The digits never leave the module in the clear: the EPP encrypts them with keys held inside its secure boundary and outputs only ciphertext. To protect those keys, the module is tamper-responsive — it actively watches for intrusion and erases its secrets if attacked.

Inside an Encrypting PIN PadkeypadPIN digitstamper-protected secure moduleencryptkeys heldinsideciphertext onlyTamper detected → keys zeroized → device disabled (by design)
The EPP encrypts the PIN inside a tamper-protected boundary — only ciphertext leaves. Detected tampering zeroizes the keys, disabling the device by design.

Warum ein EPP ersetzt werden muss

EPPs get replaced for three reasons — and only one of them is a conventional hardware fault:

ReasonWhat's happening
Tamper / zeroizedDetected intrusion or removal erased the keys; reports a tamper error
Hardware failureDead keys, controller or connector — a genuine fault
Compliance / end-of-lifeIts PCI PTS approval lapsed or it can't meet current key-block rules
A 'tamper' EPP usually isn't broken — its security responded. Compliance/EOL is a planned replacement, not a failure.

PCI-PTS- und Schlüsselblock-Konformität

Two compliance threads decide whether an EPP is acceptable: its device certification(PCI PTS) and the key-management standard (key blocks) it must support.

RequirementWhat to know
PCI PTS certificationDevices are approved to a version; current generation is PCI PTS 5.x (6.x emerging)
Approval expiryOlder PTS approvals lapse — don't deploy a lapsed EPP
TR-31 key blocksSecure key packaging; ATMs required to use compliant key blocks (TR-31 'Phase 3') from 1 Jan 2025
Your processor's minimumYour acquirer/processor states the minimum PTS level & key-block rule they accept
Match a currently-valid PCI PTS level and the required key-block standard. Confirm both with your processor before buying.

Austausch und Schlüsselinjektion (nur autorisiert)

The replacement workflow keeps the physical and the cryptographic strictly separate — you (or your technician) handle the part; an authorized party handles the keys:

  1. 1

    Confirm why it's being replaced

    Tamper/zeroized, hardware failure, or compliance/EOL — this sets whether you need the same model or a higher PCI PTS level.
  2. 2

    Match model + certification

    Choose an EPP for your exact ATM model, at a currently-valid PCI PTS level your processor accepts, with the right layout and connector.
  3. 3

    Fit the EPP (per procedure)

    Install it following the ATM’s documented procedure and your dual-control/ security rules for opening the machine.
    Caution: Mishandling can trip the new unit's tamper response — follow the documented fitting procedure exactly.
  4. 4

    Have keys injected by an authorized party

    Your authorized key-loading facility injects the required keys — by local key loading or remote key loading (RKL) — under your processor’s and the scheme’s procedures. The EPP can’t process PINs until this is done.
  5. 5

    Verify and return to service

    Confirm PIN encryption and a successful test transaction with your processor, verify compliance status, then return the ATM to live operation.
The EPP replacement workflow — part fit by you, keys by an authorized party.

Das Teil treffen und beschaffen

When you source a replacement, the supplier’s job is the part-and-certification fit; the keys are never part of the shipment:

Match thisHow
ATM make / modelThe EPP is model-specific — quote the exact machine
PCI PTS levelA currently-valid approval your processor accepts
Layout & connectorPhysical fit, key layout and interface for your model
Key-injection planLocal vs remote (RKL), arranged with your authorized party
Compliance horizonPrefer a level that stays valid, given approval expiries
A reputable supplier confirms model fit and certification. Keys are handled only by your processor and authorized key-loading facility.

Browse PIN pads and keypads in our keyboards category, and related modules in terminal repair parts and other parts. For other ATM peripherals see our ATM card reader heads and cash dispenser guides. Tell us your ATM model and the PCI PTS level your processor requires, and we’ll match a compatible EPP — your processor and authorized key-loading party handle the keys.

Häufig gestellte Fragen

Was ist ein ATM-EPP, und wie unterscheidet es sich von einer normalen Tastatur?
Ein EPP (Encrypting PIN Pad) ist ein sicheres PIN-Eingabegerät, nicht nur eine Tastatur. Gibt ein Kunde die PIN ein, verschlüsselt das EPP die Ziffern in seinem eigenen manipulationsgeschützten Modul, sodass die PIN außerhalb des Geräts nie als Klartext vorliegt. Diese kryptografische Rolle ist der Grund, warum ein EPP zertifiziert, schlüsselgeladen und manipulationsreaktiv ist — eine normale Tastatur hat nichts davon. Am Geldautomaten ist das EPP die am stärksten sicherheitsregulierte Komponente.
Warum hat mein EPP nach dem Öffnen oder Bewegen aufgehört zu funktionieren?
Weil es manipulationsreaktiv ist. Ein EPP erkennt Manipulation — Öffnen der Sicherheitskapselung, Entnahme oder physischen Angriff — und reagiert durch Zeroisieren (Löschen) seiner kryptografischen Schlüssel. Einmal gelöscht, kann es keine PINs verarbeiten und meldet einen Manipulations-/Sicherheitsfehler, auch wenn die Hardware sonst in Ordnung ist. Das ist ein Sicherheitsmerkmal, kein Fehler. Ein manipuliertes EPP muss von autorisierter Stelle neu geschlüsselt (oder ersetzt) werden, bevor es wieder funktioniert.
Kann ich einfach ein neues EPP einsetzen und loslegen?
Nein. Ein Ersatz-EPP kommt ohne aktive Transaktionsschlüssel, kann also keine PINs verarbeiten, bis die nötigen Schlüssel injiziert sind — und die Schlüsselinjektion muss eine autorisierte Stelle gemäß den Prozeduren Ihres Prozessors und des Schemas durchführen, per lokalem oder Remote Key Loading (RKL). Sie müssen das EPP außerdem an das ATM-Modell und das geforderte PCI-PTS-Zertifizierungsniveau anpassen. Der physische Tausch ist der leichte Teil; Schlüssel und Konformität sind die eigentliche Arbeit.
Was ist PCI PTS, und welches Niveau brauche ich?
PCI PTS (PIN Transaction Security) ist der Standard, der PIN-Eingabegeräte einschließlich EPPs zertifiziert. Geräte werden zu einer Version zugelassen (aktuelle Generation ist PCI PTS 5.x, 6.x kommt auf), und ältere Zulassungen laufen mit der Zeit aus. Für einen konformen Geldautomaten brauchen Sie ein EPP, das zu einem aktuell gültigen PCI-PTS-Niveau für Ihren Einsatz zugelassen ist; Ihr Acquirer/Prozessor nennt das Minimum, das er akzeptiert. Kaufen Sie kein EPP mit abgelaufener Zulassung.
Was sind TR-31-Schlüsselblöcke und worum geht es bei der Frist 2025?
TR-31-(und gleichwertige) Schlüsselblöcke sind eine sichere Art, kryptografische Schlüssel zu verpacken, damit sie nicht missbraucht oder ausgetauscht werden können. Die Kartenschemata haben verpflichtende Schlüsselblock-Nutzung schrittweise eingeführt; ein Meilenstein verlangte, dass Geldautomaten ab 1. Januar 2025 konforme Schlüsselblöcke (TR-31 'Phase 3') nutzen. Praktisch heißt das, EPP, Host und Schlüsselmanagement müssen den geforderten Schlüsselblock-Standard unterstützen — bestätigen Sie mit Ihrem Prozessor, dass Geräte und Schlüssel die aktuelle Anforderung erfüllen.
Wie stelle ich sicher, dass ein Ersatz-EPP an meinem ATM funktioniert?
Treffen Sie vier Dinge: ATM-Marke/-Modell (das EPP ist modellspezifisch), das von Ihrem Prozessor geforderte PCI-PTS-Niveau, die in Ihrem Betrieb genutzte Schlüsselinjektionsmethode (lokales oder Remote Key Loading) und das physische Layout/den Stecker. Lassen Sie dann vor Inbetriebnahme Schlüssel von Ihrer autorisierten Schlüsselladestelle injizieren. Ein seriöser Lieferant bestätigt Modellpassung und Zertifizierung; Ihr Prozessor und die Schlüsselladestelle handhaben die Schlüssel.

Quellen & weiterführende Literatur

  1. Encrypting PIN Pad (EPP) Security RequirementsPCI Security Standards Council
  2. PCI PTS PIN Security Requirements & Technical FAQsPCI SSC (via Kiosk Industry)
  3. ATM Keypad Encryption PCI Compliance UpdatesATM Depot
  4. Terminal and PIN Entry Security Standards FAQsMastercard
  5. The PCI PTS 5.x Generation of Encrypting PIN PadsCryptera

Verwandte Anleitungen

Sourcing·11 Min. Lesezeit

NCR RealPOS Bondrucker: Modell erkennen und den richtigen Druckkopf, Cutter und Teile bestellen

Beim Bestellen von NCR-RealPOS-Teilen geht es an einer Stelle schief: Den Druckkopf gibt es in 9-Pin- und 15-Pin-Versionen, die ähnlich aussehen und nicht austauschbar sind. So lesen Sie Ihre Modellnummer und treffen das exakte Teil.

Anleitung lesen
Sourcing·11 Min. Lesezeit

Wincor Nixdorf / Diebold Nixdorf POS-Teile: BEETLE und TH-Serie erkennen und das richtige Teil bestellen

Wincor-Nixdorf- (jetzt Diebold-Nixdorf-) BEETLE-Systeme sind im europäischen Handel überall. Der Schlüssel zur Teilebestellung ist das 1750-Teilenummernschema — so lesen Sie es und treffen das richtige TH-Serien-Teil.

Anleitung lesen
Sourcing·11 Min. Lesezeit

Fujitsu POS-Drucker (FP-1000 / FP-510): Modell erkennen, das KA02066-Schema lesen, das richtige Teil bestellen

Fujitsus FP-1000 ist ein Panzer von Bondrucker — aber Teile bestellen heißt das KA02066-Konfigurationsschema entschlüsseln. So lesen Sie es und treffen Druckkopf und Cutter auf Ihren genauen Build.

Anleitung lesen

Verwandte Kategorien

POS-TastaturenPOS-Terminal-ReparaturteileAndere Teile

Empfohlene Ersatzteile

IBM 4614 POS Keyboard Electronic Circuit Film

IBM 4614 POS-Tastatur elektronische Schaltungsfolie

IBM 44V2036 SurePOS 300 (8410-E40) Sparta Riser Card

IBM 44V2036 SurePOS 300 (8410-E40) Sparta Riser-Karte

STAR TMP212D-24 thermal mechanism use for IBM 4613-118 printer

STAR TMP212D-24 Thermomechanismus für IBM 4613-118 Drucker

IBM 4614 POS Tastatur Elektronisch Schaltung Film

IBM 4614 POS Tastatur Elektronisch Schaltung Film

Benötigen Sie die in dieser Anleitung erwähnten Teile?

Originale OEM- und werksgeprüfte Aftermarket-Teile für IBM, Toshiba, NCR, Diebold, Wincor und Hyosung Systeme — mit weltweitem Versand.

Produkte ansehenAngebot anfordern
Alle Anleitungen