Hinweis: Der folgende Artikel hilft Ihnen dabei: Magento 2 PCI-Konformität: Was es ist und wie Ihr E-Commerce-Shop die Anforderungen erfüllen kann
Nach Angaben des Baymard-Instituts 18 % der Kunden Kaufen Sie nicht, weil Sie der Website nicht vertrauen. Aber indem Sie Ihrem Magento-Shop einen sicheren Checkout hinzufügen, können Sie diese Kunden über die Ziellinie hinaus bewegen.
Allerdings erfordert ein sicherer E-Commerce-Checkout eine lange Checkliste, die einen vielschichtigen Sicherheitsansatz erfordert.
Die guten Nachrichten? Sie können die meisten Kontrollkästchen ankreuzen und das Vertrauen Ihrer Käufer gewinnen, indem Sie die Payment Card Industry Data Security Standards (PCI-DSS) einhalten.
Lesen Sie weiter, um mehr über PCI-DSS zu erfahren, was es erfordert und wie Sie Ihren Magento-Shop PCI-konform machen.
PCI-DSS 101
Die Payment Card Industry Data Security Standards (PCI-DSS) beziehen sich auf die Sicherheitsanforderungen, die ein Unternehmen erfüllen muss, um Unterstützung von großen Zahlungskartennetzwerken zu erhalten.
PCI-DSS-Anforderungen werden vom PCI Security Standards Council (PCI SSC) definiert, dem American Express, Discover, JCB, Mastercard und Visa angehören.
Die aktuellen PCI-DSS-Anforderungen finden Sie im Bild unten.
PCI-Konformität: Händlerebenen
Während die PCI-Anforderungen für jeden Händler gleich bleiben, variiert der Compliance- und Prüfprozess je nachdem, wie viele Transaktionen er verarbeitet.
Hier ist ein Transaktionsschwellenwert für jede Händler-Compliance-Stufe, anhand dessen Sie sehen können, wo Ihr Unternehmen steht.
- Händler der Stufe 1
- Mehr als sechs Millionen Visa-, Discover- oder Mastercard-Transaktionen pro Jahr.
- Mehr als 2,5 Millionen American Express-Transaktionen pro Jahr.
- Mehr als eine Million JCB-Transaktionen pro Jahr.
- Händler der Stufe 2
- Zwischen einer und sechs Millionen Visa-, Discover- oder Mastercard-Transaktionen pro Jahr.
- Zwischen 50.000 und 2,5 Millionen American Express-Transaktionen pro Jahr.
- Händler der Stufe 3
- Zwischen 20.000 und einer Million Visa- und Mastercard-Transaktionen pro Jahr.
- Zwischen 10.000 und 50.000 American Express-Transaktionen pro Jahr.
- Weniger als eine Million Discover- oder JCB-Transaktionen pro Jahr.
- Händler der Stufe 4
- Weniger als 20.000 Visa- und Mastercard-Transaktionen pro Jahr.
- 10.000 oder weniger American Express-Transaktionen pro Jahr.
Händler der Stufe 1 müssen die strengsten Anforderungen erfüllen und von einem Qualified Security Assessor (QSA) bewertet werden, um die Einhaltung sicherzustellen. Die übrigen Händler reichen in der Regel einen Selbstbeurteilungsfragebogen (SAQ) ein, um die Einhaltung der Vorschriften zu melden.
Wenn ein Händler den PCI-DSS nicht einhält und eine Sicherheitsverletzung erleidet, kann ihm eine Geldstrafe von bis zu 500.000 US-Dollar auferlegt werden und es kann zu einer Aussetzung der Unterstützung von Zahlungsmethoden kommen.
Erhalten Sie vollständig verwaltetes Magento-Hosting
Steigern Sie das Potenzial Ihres Shops, ohne laufende Wartung
Wie geht Magento mit der PCI-Konformität um?
Magento ist nicht automatisch PCI-kompatibel, da PCI-DSS mehr als nur die E-Commerce-Plattform abdeckt – von der Sicherheit bis zum Website-Hosting. Allerdings speichert Magento keine Zahlungskartendaten, sodass Sie Ihren Magento-Shop PCI-konform machen können, indem Sie von den unzähligen Optionen profitieren, die Magento bietet.
Zunächst können Sie sich für ein Zahlungsgateway entscheiden, das Ihnen den Großteil der PCI-Compliance-Arbeit abnimmt. Ebenso können Sie mit einem sicheren Host zusammenarbeiten, der PCI-DSS entspricht, um sicherzustellen, dass Kreditkartendaten immer geschützt sind.
Lassen Sie uns im Folgenden tiefer auf diese und andere Best Practices eingehen.
Magento 2 PCI-Konformität: Best Practices
Aufgrund der PCI-DSS-Anforderungen müssen Sie sicherstellen, dass die Daten des Karteninhabers während des gesamten Bezahlvorgangs in Ihrem Magento-Shop geschützt bleiben. Hier sind einige Möglichkeiten, dies zu erreichen.
Standardmäßig werden von Magento unterstützte Zahlungsgateways verwendet
Mit Zahlungsgateways begrenzen Sie die Gefährdung sensibler Daten. Da Sie nur wenige Daten schützen und mit denen Sie interagieren müssen, müssen Sie sich weniger Sorgen machen.
Sie können sich beispielsweise für einen PayPal-Express-Checkout wie Smartwool entscheiden. Wenn ein Benutzer klickt Kasseöffnet der Browser ein PayPal-Fenster, in dem er zum Bezahlen seine Kreditkartendaten eingeben kann.
Wenn Sie sich für diese Methode entscheiden, interagiert der Käufer direkt mit den Servern von PayPal, sodass Sie in der Regel von einfacheren Compliance-Anforderungen profitieren und den grundlegenden SAQ oder SAQ A einreichen können.
Während die obige Methode den Magento-Compliance-Prozess vereinfacht, ist sie für Kunden nicht der reibungsloseste Prozess. Sie müssen mehrere Schritte durchlaufen, nur um Sie zu bezahlen – was Sie nicht wollen, wenn Sie den Checkout-Prozess verbessern möchten.
Stattdessen können Sie übermäßig vorsichtigen Benutzern mit einer Stripe-Integration wie Formlabs ein nahtloses Erlebnis bieten. Bei Stripe erscheint das Zahlungsformular als Teil der Website, sodass Benutzer nicht zu einem anderen Tab oder Fenster wechseln müssen, um Einkäufe abzuschließen.
Allerdings ist es mit dieser Methode etwas schwieriger, die Compliance zu erreichen.
Zunächst müssen Sie eine JavaScript-Datei (JS) von Stripe (oder einem anderen Zahlungsanbieter) auf Ihrer Checkout-Seite einbinden, um eine sichere Verarbeitung über die API von Stripe zu gewährleisten. Wenn Sie die Verwendung einer externen JavaScript-Datei vermeiden möchten, müssen Sie Ihre Konformität über SAQ A-EP melden, das etwas strengere Anforderungen hat.
Zweitens muss Ihre Website ein Secure Sockets Layer (SSL)-Zertifikat verwenden.
Fügen Sie ein SSL-Zertifikat hinzu
SSL verschlüsselt den Datenverkehr zwischen dem Webbrowser und einem Webserver. Mit anderen Worten: Ein SSL-Zertifikat verhindert, dass böswillige Agenten den Informationsaustausch zwischen dem Besucher und dem Webserver in offenen, öffentlichen Netzwerken abhören.
Wenn Sie Kunden also über ein Formular auf Ihrer Website zur Eingabe ihrer Anmeldedaten auffordern, müssen Sie SSL verwenden, um PCI-DSS zu entsprechen.
Wenn Sie Ihre Website mit Hostinger verknüpfen, erhalten Sie SSL kostenlos bei allen Hosting-Plänen. Ansonsten können Sie bei Hostinger zu einem günstigen Preis ein SSL-Zertifikat erwerben.
Nutzen Sie PCI-konformes Hosting
Um die PCI-DSS-Anforderungen zu erfüllen, benötigen Sie eine robuste Firewall, eine Richtlinie für eingeschränkten physischen Zugriff, ein regelmäßiges Netzwerküberwachungssystem und vieles mehr. Sie können diese Anforderungen jedoch nicht selbst erfüllen, da es sich dabei um den Schutz der Kundendaten bei der Speicherung und Übertragung handelt – Angelegenheiten, die normalerweise von Ihrem Hosting-Anbieter übernommen werden.
Kurz gesagt, Sie benötigen einen Webhosting-Anbieter, der Folgendes bietet:
- Sichere Systeme: Der Webhosting-Anbieter sollte seinerseits die erforderlichen Sicherheitsvorkehrungen treffen, einschließlich der Überprüfung von Legacy-Code auf mögliche Hintertüren.
- Robuste Firewalls: Eine Firewall überwacht den ein- und ausgehenden Datenverkehr und stellt sicher, dass nur zugelassene Anwendungen auf das System zugreifen können.
- Schwachstellenmanagement: Stellen Sie sicher, dass der Webhost Tools wie Antivirensoftware zum Scannen und Entfernen von Viren anbietet, ohne dass das Risiko einer Datenpanne besteht.
- Verwaltete Dienste: Ein Managed-Hosting-Anbieter hält die Website-Infrastruktur bei Ihnen auf dem neuesten Stand, um Sicherheitslücken zu schließen.
- Eingeschränkte Zugangskontrollen: Der Hosting-Anbieter sollte Mitarbeitern den Zugriff auf sensible Daten und Systeme verwehren und ihn nur bei Bedarf zulassen. Der Host sollte außerdem über Besucherprotokollierung und standortweite Überwachung im Rechenzentrum verfügen.
Wenn Sie nach einem solchen Host suchen, schauen Sie sich Hostinger Managed Magento Hosting an. Als zertifizierter Level-1-Lösungsanbieter kümmern wir uns um alle Hosting-seitigen Compliance-Anforderungen, sodass Sie stressfrei an Ihrem Shop arbeiten können.
Hostinger bietet auch Hilfe bei der PCI-DSS-Konformitätsberichterstattung. Sie können uns anfordern, eine Kopie unseres SAQ D anzufordern, die Sie zusammen mit Ihrem Bericht einreichen können. Und auch bei vierteljährlichen ASV-Scans (Approved Scanning Vendor) können Sie sich auf uns verlassen.
Sicherheitsmaßnahmen durchsetzen
Während Zahlungsgateways und PCI-konformes Hosting Sie fast aus der Klemme bringen, gibt es noch ein paar Dinge, die Sie selbst in Angriff nehmen müssen.
Zunächst müssen Sie den Zugriff nach Bedarf einschränken. Nicht jeder Mitarbeiter in Ihrem Unternehmen muss auf alle Daten Ihrer Magento-Website zugreifen können. Stellen Sie sicher, dass nur relevante Personen Zugriff auf zahlungsbezogene Daten haben.
Sobald das geklärt ist, implementieren Sie eine Passwortrichtlinie:
- Verwenden Sie einzigartige Passwörter: Vermeiden Sie Passwörter wie „Passwort!“ und „Standard“.
- Aktivieren Sie 2FA: Fügen Sie die Zwei-Faktor-Authentifizierung (2FA) hinzu, um Ihre Website vor Phishing-Angriffen zu schützen.
- Legen Sie Erinnerungen für Passwortänderungen fest: Admin-Benutzer dazu zwingen, ihre Passwörter mindestens alle 90 Tage zu ändern.
Schließlich verbessern Sie Ihre Website-Verwaltung, indem Sie nur seriöse Erweiterungen von verwenden Magento-Marktplatz und aktualisieren sie, um Sicherheitslücken zu vermeiden.
Abschließende Gedanken: 4 Best Practices, um Ihren Magento 2-Shop PCI-konform zu machen
Als Inhaber eines Magento 2-Shops kann die Einhaltung der PCI-DSS-Anforderungen schwierig sein. Aber es lohnt sich auf jeden Fall, ein sicheres Checkout-Erlebnis zu bieten und Vertrauen bei Ihren Kunden aufzubauen.
Bei Hostinger finden Sie einen PCI-konformen Host, der außerdem Skalierbarkeit, Leistung und technischen Support rund um die Uhr bietet. Melden Sie sich noch heute für Hostinger Enterprise Hosting für Magento an.