WooCommerce PCI-Konformität: So erfüllen Sie die PCI-DSS-Anforderungen

Hinweis: Der folgende Artikel hilft Ihnen dabei: WooCommerce PCI-Konformität: So erfüllen Sie die PCI-DSS-Anforderungen

WooCommerce PCI-Konformität: So erfüllen Sie die PCI-DSS-Anforderungen

Das hat TrustedSite in einer Studie zum Verbrauchervertrauen aus dem Jahr 2022 herausgefunden Kreditkartendiebstahl bleibt die größte Sorge für Online-Kunden, gefolgt von der Geschäftslegitimität.

Tatsächlich hat das Baymard Institute das herausgefunden 18 % der Kunden Es kann sein, dass Sie ein Produkt in den Warenkorb legen, es dann aber aufgrund mangelnden Vertrauens in die Website wieder aufgeben.

Wenn Sie einen WooCommerce-Shop haben, wie bauen Sie dieses Vertrauen auf?

PCI-DSS-Konformität. Durch die Einhaltung der Datensicherheitsstandards der Zahlungskartenbranche (PCI-DSS) fühlen sich Ihre Kunden sicher und Sie können Ihre Geschäfte sorgenfrei abwickeln. Ganz zu schweigen davon, dass es eine Anforderung ist, wenn Sie Zahlungskarteninformationen speichern, übertragen oder verarbeiten.

Lesen Sie weiter, um zu erfahren, warum PCI-DSS-Konformität wichtig ist, was sie erfordert und wie Sie Ihren WooCommerce-Shop PCI-konform machen.

Bedeutung der PCI-DSS-Konformität

Die PCI-DSS-Konformität bietet sowohl für Kunden als auch für Geschäftsinhaber Vorteile. Kunden können frei einkaufen, ohne Angst vor Kreditkartendiebstahl haben zu müssen. Im Gegensatz dazu erleiden Geschäftsinhaber aufgrund der erhöhten Sicherheit weniger Angriffe auf die Cybersicherheit.

Neben den Vorteilen müssen Sie in der Regel PCI-DSS einhalten, um die Unterstützung von Zahlungsmethoden nutzen zu können. Mastercard gibt beispielsweise an, dass „alle Händler, die Karteninhaberdaten speichern, verarbeiten oder übertragen, PCI-konform sein müssen.“

Lassen Sie uns tiefer in die Anforderungen von PCI-DSS eintauchen.

PCI-DSS-Anforderungen

Der von Visa, Mastercard, JCB, American Express und Discover gegründete Payment Card Industry Standards Security Council (PCI SSC) legt in seinem Dokument die folgenden 12 Anforderungen fest Kurzanleitung für PCI DSS:

  • Richten Sie eine starke Firewall ein, um Zahlungskarteninformationen zu schützen.
  • Verwenden Sie eindeutige Passwörter für alle Systeme mit Zugriff auf Zahlungskartendaten.
  • Konfigurieren Sie Sicherheitsprotokolle, um Zahlungskartendaten während der Speicherung zu schützen.
  • Nutzen Sie sichere und verschlüsselte Kanäle, um Kartendaten über Netzwerke zu übertragen.
  • Führen Sie regelmäßige Sicherheitsscans durch, um Ihr System frei von Malware und Viren zu halten.
  • Entscheiden Sie sich für sichere Systeme und achten Sie darauf, alle Sicherheitslücken zu schließen.
  • Beschränken Sie den Datenzugriff nur auf die erforderlichen Personen und Systeme.
  • Implementieren Sie Authentifizierungsmaßnahmen für den Datenzugriff innerhalb der beteiligten Systeme
  • Beschränken Sie den physischen Zugriff auf Kreditkartendaten.
  • Verfolgen Sie alle Netzwerkaktivitäten rund um Kreditkartendaten.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen durch.
  • Halten Sie Ihre Mitarbeiter durch eine festgelegte Richtlinie über die besten Praktiken zur Informationssicherheit auf dem Laufenden.
Lesen:  Content + Commerce: Eine End-of-Life-Diskussion über Magento 1

Mit anderen Worten: Der PCI Security Standards Council verlangt von Ihnen die Implementierung eines umfassenden Sicherheitsupgrades zum Schutz der Karteninhaberdaten.

Holen Sie sich PCI-konformes Hosting von Hostinger

Halten Sie Ihr Geschäft sicher, damit Sie Kreditkarteninformationen sicher verarbeiten können

So machen Sie Ihren WooCommerce-Shop PCI-konform

Nachdem wir nun wissen, warum PCI-Konformität wichtig ist und welche Anforderungen Sie erfüllen müssen, sehen wir uns an, wie Sie Ihren WooCommerce in den Augen von PCI-SSC konform machen.

Bestimmen Sie die erforderlichen Compliance-Level

Zuallererst müssen Sie den benötigten Compliance-Level bestimmen, der davon abhängt, wie viele Transaktionen Sie jedes Jahr verarbeiten.

Zum jetzigen Zeitpunkt definieren Visa und Mastercard die Einhaltungsstufen für Händler wie folgt (wobei Stufe 1 die strengste ist):

  • Stufe 1 – Händler mit mehr als sechs Millionen jährlichen Transaktionen.
  • Stufe 2 – Händler mit jährlichen Transaktionen zwischen einer und sechs Millionen.
  • Stufe 3 – Händler mit jährlichen Transaktionen zwischen 20.000 und einer Million.
  • Stufe 4 – Händler mit weniger als 20.000 jährlichen Transaktionen.

Wenn Sie jedoch JCB oder American Express akzeptieren, müssen Sie sich möglicherweise mit strengeren Anforderungen und noch weniger Transaktionen auseinandersetzen. Beispielsweise verlangt American Express die Einhaltung der Stufe 1 bei 2,5 Millionen Transaktionen pro Jahr, während JCB dasselbe bei einer Million oder mehr Transaktionen verlangt.

Die Händlerebene entscheidet darüber, ob Sie einen Fragebogen zur Selbsteinschätzung (SAQ) einreichen oder von einem qualifizierten Sicherheitsgutachter (QSA) beurteilt werden.

Überprüfen Sie den aktuellen Prozess

Die PCI-Konformität von WooCommerce hängt von Ihrem Zahlungsprozess ab, da WooCommerce selbst keine Zahlungskartendaten speichert.

Zum Beispiel, wenn Sie Leiten Sie Kunden auf die Website des Zahlungsgateways weiterdie Kunden geben ihre sensiblen Daten nicht auf Ihrer Website ein und Sie berühren sie nicht einmal.

Das passiert, wenn Sie das WooCommerce-PayPal-Zahlungs-Plugin wie Nalgene verwenden.

Wenn der Kunde auf den Button klickt, wird er zum PayPal-Server weitergeleitet.

Dies erspart Ihnen zwar möglicherweise die strengen PCI-DSS-Vorschriften, es handelt sich jedoch nicht um eine personalisierte Zahlungsoption. Und angesichts dessen 49 % der Kunden Wenn Sie mit der Personalisierung zu Wiederholungskäufern werden, sind Sie mit einem personalisierten Checkout-Erlebnis besser dran.

Wenn Sie beispielsweise Stripe verwenden, können Sie das Frontend nach Ihren Wünschen anpassen, wie z. B. Wet n Wild Beauty, und sich dennoch auf die Server von Stripe verlassen, indem Sie externe Zahlungen entgegennehmen.

In diesem Fall Stripe erhebt über geheime Token die Kartennummer und weitere Daten, und die Daten berühren niemals Ihre Server. Allerdings kann Schadsoftware den Kunden daran hindern, sich mit dem Stripe-Server zu verbinden und die Zahlungskartendaten zu stehlen, sodass Sie möglicherweise zusätzliche Schritte unternehmen müssen, um Ihren WooCommerce-Shop PCI-konform zu machen.

Obwohl Stripe eine großartige Alternative ist, berechnet es 2,9 % + 30 ¢ für jede erfolgreiche Transaktion. Diese Gebühren können sich summieren und das Endergebnis eines Unternehmens beeinträchtigen, das viele Bestellungen abwickelt.

Lesen:  So fügen Sie Ihrer WordPress-Website eine Ladeanimation hinzu

Aus diesem Grund entscheiden sich große WooCommerce-Shops häufig für ein benutzerdefiniertes Zahlungsgateway, um Gebühren zu senken. Schauen Sie sich zum Beispiel die Spendenseite von World Vision an.

In diesem Fall ist die Der Online-Shop verarbeitet die Zahlungskartendaten und speichert sie für die zukünftige Verwendungdie strengen PCI-Compliance-Anforderungen unterliegt.

Wenn Ihr WooCommerce-Shop dasselbe tut, müssen Sie die vom PCI SSC geforderten Sicherheitsstandards einhalten. Andernfalls drohen Bußgelder oder die Aussetzung der Unterstützung der Zahlungsmethode.

Konfigurieren Sie Sicherheitsmaßnahmen

Abhängig von Ihren aktuellen Prozessen müssen Sie möglicherweise Folgendes tun:

Ein Secure Sockets Layer (SSL) verschlüsselt die Datenübertragung zwischen einem Browser und Ihrem Webserver. Wenn Sie Kunden auffordern, ihre Zahlungskartendaten im nativen Formular Ihrer Website einzugeben, müssen Sie sicherstellen, dass die Zahlungskartendaten während der Übertragung verschlüsselt bleiben, um PCI-DSS zu entsprechen.

Tatsächlich empfehlen wir, jeder Website ein SSL-Zertifikat hinzuzufügen, unabhängig davon, ob Sie einen E-Commerce-Shop verwalten oder nicht, da die meisten Browser jede Website ohne SSL-Zertifikat als unsicher kennzeichnen.

Durch das Hinzufügen eines SSL-Zertifikats schaffen Sie Vertrauen bei Ihren Kunden. Wenn Sie Ihre Website bei einem anderen Host hosten und nicht bereit sind, zu wechseln, können Sie bei Hostinger ein SSL-Zertifikat erwerben. Ansonsten erhalten Sie bei allen Hostinger-Hostingplänen kostenlos SSL.

Da sich die meisten PCI-DSS-Anforderungen auf die Datensicherheit beziehen, hängt die PCI-Konformität weitgehend vom Hosting-Anbieter ab. Mit anderen Worten: Sie müssen nach einem PCI-konformen Webhosting-Anbieter suchen.

Stellen Sie bei der Suche nach einem PCI-kompatiblen Host sicher, dass der Webhost Folgendes bietet:

  • Starke Firewall: Eine robuste Firewall hält böswillige Agenten von Kartenzahlungsdaten fern und sorgt so dafür, dass diese sicher bleiben. Stellen Sie sicher, dass der Host über Sicherheitskontrollen für den Zugriff auf das Netzwerk verfügt, die nur den Kontakt von relevantem Datenverkehr mit sensiblen Daten zulassen.
  • Malware-Scans: Ihr Hosting-Plan sollte automatische Malware-Scans enthalten, um die Daten des Karteninhabers zu schützen. Sie müssen außerdem vor bösartigen Bots, verdächtigen Aktivitäten und Brute-Force-Angriffen geschützt sein.
  • Sicheres Netzwerk: Stellen Sie sicher, dass Sie dem Hosting-Anbieter vertrauen können, dass er sich seinerseits um die Sicherheitsverfahren kümmert – von der regelmäßigen Aktualisierung der Software bis zur Überprüfung des benutzerdefinierten Codes.
  • Begrenzter physischer ZugangHinweis: Hosting-Anbieter sollten eine strenge Sicherheitsrichtlinie befolgen, bei der Mitarbeitern nur dann Zugang zu sensiblen Bereichen gewährt wird, wenn dies erforderlich ist. Darüber hinaus sollte es über Besucherprotokollierung, standortweite Überwachung und eingeschränkten Zugriff auf Netzwerkkontrollen verfügen.

Mit Hostinger genießen Sie PCI-konformes Hosting über alle Hosting-Pläne hinweg. Wir erfüllen alle Hosting-seitigen Anforderungen, damit Sie Ihre Geschäfte stressfrei abwickeln können.

Laut Verizon, 82 % der Datenschutzverletzungen das menschliche Element einbezogen. Um sicherzustellen, dass es in Ihrem WooCommerce-Shop nicht zu Datenschutzverletzungen durch menschliches Versagen kommt, sollten Sie eine Website-Sicherheitsrichtlinie implementieren, die ihn vor den häufigsten Sicherheitslücken schützt.

Lesen:  So beheben Sie LinkedIn „Kommentare konnten nicht geladen werden“

Implementieren Sie zunächst die Zwei-Faktor-Autorisierung (2FA). Selbst wenn ein Hacker durch einen Phishing-Angriff an einen Benutzernamen und ein Passwort gelangt, verfügt er auf diese Weise nicht über den zweiten Authentifizierungsfaktor, um auf Ihre Daten zuzugreifen.

Darüber hinaus schränken Sie den Zugriff auf sensible Daten je nach Bedarf ein, indem Sie ein Zugriffskontrollsystem implementieren. Nicht jeder Mitarbeiter sollte Zugriff auf alle Daten haben.

Darüber hinaus, Sie können Ihre WordPress-Website auch so konfigurieren, dass die Benutzer alle 90 Tage eine Erinnerung zur Passwortänderung erhalten, um Ihre Sicherheit zu gewährleisten.

Reichen Sie Compliance-Dokumente ein

Sobald Sie die Sicherheitsprotokolle implementiert haben, können Sie Ihre Einhaltung der zuständigen Zahlungsabwicklungsbehörde – Ihrer Bank oder Ihrem Zahlungsgateway – melden.

In der Regel melden Sie die Einhaltung durch:

  • Einreichen eines Fragebogens zur Selbsteinschätzung*: Händler der Stufen 2–4 melden ihre Einhaltung durch Ausfüllen Fragebögen zur Selbsteinschätzung (SAQs).
    • Wenn Sie die Kunden auf die Website des Zahlungsabwicklers weiterleiten, verwenden Sie SAQ A.
    • Wenn Sie einen Dienst wie Stripe zum Tokenisieren der Zahlungskartendaten nutzen, verwenden Sie SAQ A-EP.
  • Wenn Sie die Zahlungskartendaten auf Ihren Webservern verarbeiten und speichern, nutzen Sie SAQ D Merchant.
  • Erhalten Sie vierteljährliche Netzwerkscans durch zugelassene Scan-Anbieter: Sie müssen vierteljährliche Scans von einem zugelassenen Scan-Anbieter (ASV) durchführen lassen, um nach externen Schwachstellen zu suchen. ASVs scannen in der Regel, um nach Fehlern zu suchen, diese Ihnen zu melden, Ihnen bei der Behebung zu helfen und erneut zu scannen, bevor sie Compliance-Ergebnisse melden.
  • Vorlage einer Konformitätsbescheinigung: Nachdem Sie alle Anforderungen erfüllt haben, reichen Sie in der Regel eine Konformitätsbescheinigung (Attestation of Compliance, AOC) ein, um zu erklären, dass Sie die PCI-DSS-Anforderungen erfüllen.

* Händler der Stufe 1 benötigen eine externe Bewertung durch einen qualifizierten Sicherheitsgutachter (QSA).

Darüber hinaus müssen Sie auch eine Kopie beifügen SAQ-D des Hosting-Anbieters.

Abschließende Gedanken: Leitfaden für Geschäftsinhaber, um WooCommerce PCI-konform zu machen

PCI-DSS listet mehrere Anforderungen auf, die Sie erfüllen müssen, um Ihren Kunden Unterstützung für verschiedene Zahlungsmethoden anzubieten. Bei einem PCI-kompatiblen Host müssen Sie jedoch möglicherweise die meisten Kontrollkästchen abhaken und haben nur begrenzte Verantwortlichkeiten.

Schauen Sie sich Hostinger Enterprise Hosting an, um 100 % PCI-Konformität zu genießen. Und es endet nicht mit der Compliance. Sie erhalten außerdem 100 % Netzwerkverfügbarkeit, tägliche Backups und mehr.

Durchsuchen Sie unsere Pläne, um noch heute loszulegen.