Hinweis: Der folgende Artikel hilft Ihnen dabei: Was ist PCI-Compliance?
Wenn es darum geht, Zahlungen online abzuwickeln, zucken die meisten Menschen heutzutage nicht einmal mehr mit der Wimper. Käufer zahlen mit Kreditkarten, per E-Mail und über Facebook, aber für E-Commerce-Websites ist die Abneigung gegen Zahlungssicherheitsrisiken ein wesentlicher Bestandteil ihrer Geschäftsabwicklung.
Hier erfahren Sie, wie Sie sicherstellen, dass die Websites Ihrer Kunden konform bleiben, und was zu tun ist, wenn Sie es mit einer veralteten Anwendung zu tun haben, die das Ende ihrer Lebensdauer erreicht hat.
Was bedeutet das?
Lassen Sie uns zunächst einmal verstehen, was PCI-Compliance überhaupt bedeutet.
Ursprünglich von den großen Kreditkartenunternehmen festgelegt, hat das PCI Security Standards Council diese Parameter für die Compliance bei der Zahlungsabwicklung festgelegt, um ihre Karteninhaber vor Sicherheitsbedrohungen und Betrug zu schützen.
Mithilfe einer Reihe von Qualifikationen zur Bestimmung der Sicherheit eines Point-of-Sale-Terminals oder einer E-Commerce-Website sind diese Standards mittlerweile verbindliche Best Practices zwischen Unternehmen, die Kartenzahlungen verarbeiten, und ihren Kunden.
Die Standards für die PCI-Konformität lauten wie folgt:
- Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten
- Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter
- Schützen Sie gespeicherte Karteninhaberdaten
- Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
- Verwenden und aktualisieren Sie regelmäßig Antivirensoftware oder -programme
- Entwickeln und warten Sie sichere Systeme und Anwendungen
- Beschränken Sie den Zugriff auf Karteninhaberdaten entsprechend den geschäftlichen Anforderungen
- Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu
- Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
- Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
- Testen Sie regelmäßig Sicherheitssysteme und -prozesse
- Halten Sie eine Richtlinie ein, die die Informationssicherheit für alle Mitarbeiter berücksichtigt
Für Entwickler hat der PCI SSC eine Reihe separater Standards festgelegt, um sicherzustellen, dass Websites elektronische Zahlungen sicher verarbeiten:
- Bewahren Sie keine vollständigen Magnetstreifen-, Kartenprüfcodes oder -werte (CAV2, CID, CVC2, CVV2) oder PIN-Blockdaten auf
- Schützen Sie gespeicherte Karteninhaberdaten
- Stellen Sie sichere Authentifizierungsfunktionen bereit
- Protokollieren Sie die Aktivität der Zahlungsanwendung
- Entwickeln Sie sichere Zahlungsanwendungen
- Schützen Sie drahtlose Übertragungen
- Testen Sie Zahlungsanwendungen, um Schwachstellen zu beheben
- Erleichtern Sie die sichere Netzwerkimplementierung
- Karteninhaberdaten dürfen niemals auf einem mit dem Internet verbundenen Server gespeichert werden
- Erleichtern Sie den sicheren Fernzugriff auf Zahlungsanwendungen
- Verschlüsseln Sie sensiblen Datenverkehr über öffentliche Netzwerke
- Verschlüsseln Sie den gesamten Administratorzugriff außerhalb der Konsole
- Pflegen Sie Schulungsunterlagen und Schulungsprogramme für Kunden, Wiederverkäufer und Integratoren
- Pflegen Sie die Lehrdokumentation und das Schulungsprogramm
Die Geldstrafen bei Nichteinhaltung können zwischen 5.000 und 100.000 US-Dollar pro Monat betragen und liegen zwangsläufig in der Verantwortung des Händlers. Darüber hinaus können Händler mit höheren Gebühren für die Transaktionsabwicklung rechnen oder aufgrund von Verstößen in Zukunft sogar nicht mehr in der Lage sein, elektronische Zahlungen für ihre Kunden abzuwickeln.
Was Entwickler über PCI-Compliance wissen müssen
Glücklicherweise haben Zahlungsanwendungen und Zahlungsgateways einen Großteil der technischen Seite übernommen, um sicherzustellen, dass Zahlungen sicher verarbeitet werden. Als Entwickler oder Site-Builder liegt Ihre Hauptverantwortung im Hinblick auf die PCI-Konformität darin, sicherzustellen, dass Ihre Anwendungen den Standards des PCI SSC entsprechen und auf dem neuesten Stand bleiben.
PCI-Compliance-Standards werden durch das Transaktionsvolumen bestimmt, das ein Händler verarbeitet. Dem Händler wird eine Konformitätsstufe zugewiesen, die auf dem von ihm getätigten Geschäftsvolumen basiert, und die Sicherheit seiner Websites kann von einem zugelassenen Scan-Anbieter (ASV) getestet werden.
E-Commerce-Websites fallen unter PCI SAQ 3.1 und haben die folgenden Standards:
Ob Ihr Kunde einen ASV benötigt, hängt wirklich davon ab, auf welchen Zahlungsabwicklern und E-Commerce-Anwendungen Sie seine Website betreiben. Diese Diagramme Stellen Sie den Datenfluss dar, sodass Sie feststellen können, ob die Site Ihres Kunden ein ASV benötigt oder nicht.
Die Last der Site-Sicherheit liegt letztendlich beim Site-Administrator, bei dem es sich möglicherweise um Sie handelt. Wenn das der Fall ist, ist die stärkste Prävention bei Nichteinhaltung ziemlich einfach:
- Stellen Sie sicher, dass die Plugins auf dem neuesten Stand bleiben
- Stellen Sie sicher, dass Softwareupdates und Sicherheitspatches installiert werden
- Halten Sie strenge Serversicherheitsstandards ein
- Stellen Sie sicher, dass E-Commerce-Anwendungen auf dem neuesten Stand sind
Was End-of-Life für die PCI-Compliance bedeutet
Vor kurzem erreichte Magento 1 das Ende seiner Lebensdauer und brachte Tausende von E-Commerce-Websites in eine Compliance-Grauzone, als Adobe die Veröffentlichung offizieller Sicherheitsupdates einstellte.
Während die E-Commerce-Anwendung selbst nur einen kleinen Teil dessen darstellt, was PCI-Compliance wirklich bedeutet, ist es für Händler, die ihre E-Commerce-Websites immer noch auf Magento 1 betreiben, wichtig, Folgendes zu beachten:
Dies gilt vor allem für Nummer sieben in der Liste der PCI-Compliance-Maßnahmen für Entwickler:
Testen Sie Zahlungsanwendungen, um Schwachstellen zu beheben.
Da Magento sich nicht mehr um Sicherheitsupdates für Magento 1-Benutzer kümmert, stellt sich die Frage: Ist eine E-Commerce-Site PCI-konform für eine E-Commerce-Anwendung, die das Ende ihrer Lebensdauer erreicht hat?
Ja. Hostinger hat es mit Safe Harbor geschafft.
Was tun, wenn eine Plattform das Ende ihrer Lebensdauer erreicht?
Magento wurde auf Hostinger-Servern erstellt. Als sich Magento 1 dem Ende seiner Lebensdauer näherte, machte sich unser Technikteam an die Arbeit und entwickelte eine Lösung, die es Händlern ermöglichen würde, selbst zu entscheiden, wann sie migrieren möchten.
Für viele Magento 1-Shopbesitzer war der Umstieg auf Magento 2 im Zuge von COVID-19 finanziell nicht realistisch. Site-Migrationen sind teuer und komplex, und bei so viel Aufruhr und Unsicherheit hatten viele verständlicherweise Angst, den Sprung zu wagen.
Deshalb hat das Ingenieurteam von Hostinger einen Kompromiss gefunden. Hostinger Safe Harbor wurde entwickelt, um das End-of-Life von Magento 1 zu bewältigen und E-Commerce-Websites und Shop-Besitzer mindestens bis Ende 2021 PCI-konform zu halten, sodass sie die Migration in ihrem eigenen Tempo durchführen können.
Mit regelmäßigen Sicherheitspatches, die von dem Team erstellt werden, das buchstäblich mit Magento begann, ist Hostinger in der Lage, Magento 1-Sites und -Stores PCI-konform zu halten, bis sie für den Wechsel bereit sind.
Das Lebensende muss nicht das Ende der PCI-Konformität bedeuten.
Gewinnen Sie mehr Zeit und schützen Sie Ihre Kundendaten mit Hostinger Safe Harbor.
Klicken Sie hier, um mehr über Hostinger Safe Harbor zu erfahren, oder öffnen Sie das Chat-Fenster unten rechts auf Ihrem Bildschirm, um mit dem Vertrieb zu sprechen.