Was ist Magento PCI-Compliance und warum benötigt Ihr Magento-Shop sie?

Veröffentlicht: 2022-06-01

E-Commerce hat sich in letzter Zeit immer schneller entwickelt. Daher eröffnen viele Unternehmen ihren Online-Shop auf verschiedenen Plattformen wie Woocommerce, Shopify, … insbesondere Magento wegen der brillanten Funktionen. Neben den enormen Vorteilen steht jedoch auch die Sicherheit im Vordergrund, sowohl für Kunden als auch für Eigentümer. Käufer möchten nicht, dass ihre persönlichen Daten an Dritte weitergegeben werden, was ihnen schaden könnte, und Unternehmen möchten ein professionelles Image bewahren, um das Vertrauen der Kunden zu gewinnen. Daher stellen wir Ihnen in diesem Artikel eine hervorragende Lösung vor, die Ihnen bei der Lösung des schwierigen Problems hilft: Magento PCI Compliance.

Zunächst sollten Sie sich mit der PCI-Compliance vertraut machen

Was ist PCI-Compliance?

Was ist PCI-Compliance

PCI ist die Abkürzung für Payment Card Industry. PCI-Compliance ist eine Sammlung grundlegender Standards und Gesetze mit dem Ziel, die Sicherheit von Zahlungsdaten weltweit zu verbessern. Dazu gehören Richtlinien, Sicherheitsmanagement, Netzwerkarchitektur, Softwaredesign und andere Einschränkungen. PCI DSS etabliert Best Practices für E-Commerce-Unternehmen, um eine sichere Umgebung für sensible Daten bereitzustellen. Eine weitere Erkenntnis ist, dass das PCI Security Standards Council alle PCI-Compliance-Standards entwickelt und verbreitet. Das PCI Security Standards Council wurde 2006 gegründet, um diese Vorschriften zu entwickeln und die PCI-Compliance in der E-Commerce-Branche zu überwachen. Visa, Mastercard, JCB International, Discover Financial Services und American Express gehören zu den größten globalen Zahlungskartennetzwerken, die im Rat vertreten sind.

Die PCI-Konformität ist für jedes Unternehmen, das einen Online-Shop betreibt, obligatorisch. Unternehmen, die die PCI DSS-Compliance (Payment Card Industry Data Security Standards) einhalten und erreichen, werden als PCI-konform bezeichnet.

Es gibt verschiedene PCI-DSS-Konformitätsstufen, die Sie kennen sollten

Die PCI-Compliance besteht aus vier verschiedenen Phasen, die sich jeweils auf eine jährliche Bewertung durch einen qualifizierten Sicherheitsprüfer und einen vierteljährlichen Scan durch einen zugelassenen Scanning-Anbieter unterschiedlichen Umfangs beziehen.

PCI-DSS-Konformitätsstufe 1

Dies ist die anfängliche Stufe der PCI-Konformität für E-Commerce und wird von Organisationen verwendet, die Millionen von Transaktionen verarbeiten. Die folgenden Arten von Unternehmen unterliegen diesen Regeln:

  • E-Commerce-Unternehmen, die jedes Jahr mehr als 6 Millionen Visa- oder Mastercard-Transaktionen abwickeln, umfassen sowohl Online- als auch Offline-Transaktionen (sofern ein Unternehmen offline präsent ist).
  • Jedes Jahr führen Zahlungsvermittler etwa 300.000 Transaktionen durch.
  • Alle Online-Shops, die Visa als Stufe 1 ansieht
  • Jedes Jahr führt ein autorisierter PCI-Auditor ein Audit durch, um ihre Einhaltung zu überprüfen. Organisationen der Ebene 1 müssen jedes Quartal einen PCI-Scan von einem Approved Scanning Vendor (ASV) durchführen lassen.

PCI-DSS-Konformitätsstufe 2

Diese Form der Regulierung eignet sich in der Regel für große Unternehmen mit einem Transaktionsvolumen von weniger als 6 Millionen:

  • 1-6 Millionen Visa-Transaktionen werden jährlich von Händlern durchgeführt, die sowohl online als auch physisch bezahlen.
  • Mit über 300.000 jährlichen Transaktionen sind Zahlungsvermittler sehr gefragt.
  • Diese Unternehmen müssen jedes Jahr einen Self-Assessment Questionnaire oder SAQ sowie vierteljährlich einen PCI-Scan ausfüllen.

PCI-DSS-Konformitätsstufe 3

Dieses PCI-Compliance-Level für eCommerce gilt für Händler, die 20.000 bis 1 Million Visa eCommerce-Transaktionen pro Jahr durchführen.

Diese Unternehmen müssen wie Level 2 einen jährlichen SAQ ausfüllen, sind jedoch nur unter bestimmten Bedingungen verpflichtet, vierteljährliche Scans durchzuführen.

PCI-DSS-Konformitätsstufe 4

Stufe 4 betrifft kleinere E-Commerce-Unternehmen mit weniger Transaktionen:

  • Verkäufer, die weniger als 20.000 Visa-Transaktionen pro Jahr tätigen, sind nicht berechtigt.
  • Händler, die eine Million oder mehr Visa-Transaktionen pro Jahr ausführen (online und offline)

Obwohl eine jährliche SAW erforderlich ist, wird der vierteljährliche PCI-Scan „nach Bedarf“ durchgeführt.

Die oben bereitgestellte Übersicht über die wichtigsten PCI-DSS-Konformitätsstufen hilft Ihnen bei der Bestimmung, welche Konformitätsstufe Ihr Unternehmen erreichen sollte.

Magento-PCI-Konformität

Magento-PCI-Konformität

Magento Commerce-Edition

Magento 2 Commerce (Cloud) Edition, insbesondere die neueste Version Magento 2.4.4, ist PCI-zertifiziert als Level 1 Solution Provider und führt das Erbe seines Vorgängers fort. Die PCI-Compliance wird für Unternehmen zunehmend zugänglicher. Sie können sich auf die PCI-Konformitätsbescheinigung von Magento verlassen, um nachzuweisen, dass sie die Kriterien erfüllt haben.

Da die Mehrheit der Benutzer der Commerce Edition mittelständische und große Unternehmen sind, die mehr als 6 Millionen Transaktionen pro Jahr abwickeln, ist dies von entscheidender Bedeutung.

Darüber hinaus sind Magento-Shops mit Zahlungsgateways verknüpft, die Daten direkt an das Zahlungsgateway senden, anstatt sie auf dem Magento-Server zu speichern. Sowohl die Magento Open Source- als auch die Commerce-Edition verfügen über diese Funktion.

Magento Open-Source-Edition

Die Open Source Edition enthält keine PCI-Compliance als Feature. Es gibt jedoch einige Optionen, um Ihre Magento-Website PCI-konform zu machen:

1. Führen Sie eine Zahlung über einen Drittanbieterdienst durch (z. B. PayPal Express)

So haben wir es im Abschnitt Commerce Edition angegeben.

Sie müssen nicht PCI-konform sein, wenn Sie diese Option wählen, da Kreditkarteninformationen nicht auf Ihrem Server gespeichert werden. Die Verwendung eines Zahlungs-Gateways eines Drittanbieters in der Vergangenheit hätte dazu führen können, dass der Checkout-Prozess Ihres Kunden unterbrochen wurde. Dies ist jedoch kein Thema mehr.

Mit einem Zahlungs-Gateway eines Drittanbieters, beispielsweise der Magento Stripe-Integration, können Händler jetzt ein nahtloses Checkout-Erlebnis bieten. Sie können Änderungen an der zentralen Magento eCommerce-Anwendung vornehmen, ohne eine erneute Prüfung auf PCI-Konformität durchlaufen zu müssen, wenn sensible Daten nicht auf dem Magento-Server gespeichert sind.

2. Verwenden Sie eine SaaS-Zahlungsanwendung, die PCI-konform ist.

Als Beispiel können Sie das PCI-konforme CRE Secure verwenden. Der Kunde wird auf eine andere Website geleitet (die URL ändert sich), aber das Formular kann an das Design Ihres Shops angepasst werden.

Und die Frage ist, warum Sie PCI-konform sein müssen?

Checkliste für PCI-DSS-Compliance-Anforderungen

Es ist keine Übertreibung zu behaupten, dass eCommerce den Markt in den letzten Jahren dominiert hat. Einhergehend mit dieser Entwicklung wird die Sicherheit von Kundendaten bei Online-Finanztransaktionen immer wichtiger. Trotz der Tatsache, dass die PCI-Konformität nicht gesetzlich vorgeschrieben ist, wird dies durch Präzedenzfälle als solche angesehen. Dies liegt daran, dass Sie bei der Annahme von Kartenzahlungen dafür verantwortlich sind, die sensiblen Finanzinformationen Ihrer Kunden zu schützen.

E-Commerce-Unternehmen profitieren auf verschiedene Weise von der PCI-Konformität, darunter:

Datenschutzverletzungen

  • Ohne PCI-Compliance ist Ihr Unternehmen dem Risiko von Datenschutzverletzungen, Lecks und Hackern ausgesetzt, was zu erheblichen Umsatzeinbußen führen kann.
  • Die PCI-Compliance stärkt Ihre Verteidigung gegen Cyberkriminalität und hilft bei der Verhinderung von Datenschutzverletzungen.
  • Außerdem kann Ihr Unternehmen mit Klagen, Kartenersatzgebühren und Kundenentschädigungskosten konfrontiert werden.
  • Wenn eine Datenschutzverletzung entdeckt wird und Ihr Unternehmen PCI-konform ist, werden die Kosten der Verletzung reduziert.
  • Reduzieren Sie die Anzahl der Datenschutzverletzungen. Am wichtigsten ist es, die Daten der Karteninhaber (unserer Kunden) vor Cyberangriffen zu schützen.

Strafen und hohe Bußgelder

  • Die Nichteinhaltung der PCI-Regeln kann zu einer Vielzahl von Bußgeldern führen, die Ihre finanziellen Ressourcen vollständig aufzehren können.
  • Abhängig vom Transaktionsvolumen und der Dauer der Nichteinhaltung können Strafen zwischen 5.000 und 100.000 US-Dollar pro Monat liegen.
  • Verstöße der Regierung gegen die Einhaltung der Vorschriften können zusätzlich zu den von den Zahlungsanbietern verhängten Strafen zu erheblichen Bußgeldern führen.
  • Bei schweren Verstößen können Bußgelder bis zu 20 Millionen Euro betragen.
  • Betrugsvorwürfe, forensische Untersuchungen und zusätzliche Strafen können verhängt werden, wenn das Unternehmen erneut gegen das Gesetz verstößt

Reputations- und Umsatzverlust

  • Laut einer kürzlich durchgeführten Verizon-Umfrage würden 69 % der Kunden es vermeiden, mit einem Unternehmen Geschäfte zu machen, das eine Datenpanne erlebt hat, selbst wenn sie bessere Angebote machen als ihre Konkurrenten.
  • Die Verbraucher haben heute hohe Sicherheitserwartungen und eine geringe Toleranz gegenüber Datenschutzschwachstellen, dank des gestiegenen Wissens über Verbraucherdatenschutzfragen.
  • Datenschutzverletzungen können den Ruf Ihrer Marke schädigen und gleichzeitig die Kundenbindung verringern.

Aussetzen der Verwendung von Kreditkarten in Ihrem Magento-Shop

  • Nach einer Datenpanne kann die Nichteinhaltung der PCI-Compliance dazu führen, dass Ihnen die Annahme von Kreditkartenzahlungen entzogen wird.
  • Die Sperrung Ihres Kreditkartenkontos ist ein schwerwiegenderer Verlust für Ihr Unternehmen, da es Ihr Geschäft daran hindert, in Zukunft Kreditkarten zu verarbeiten.
  • Sie benötigen eine strenge Sicherheitsrichtlinie, die den PCI-Richtlinien entspricht, um solche Verluste zu vermeiden.

Nun kommen wir zur Checkliste der PCI-DSS-Compliance-Anforderungen

12 Schlüsselanforderungen

Für Unternehmen, die Karteninhaberdaten verwalten und ein Zahlungsverarbeitungsnetzwerk unterhalten, hat der PCI SSC 12 Standards festgelegt, die in sechs Abschnitte unterteilt sind. Alle diese Anforderungen müssen von jedem Unternehmen erfüllt werden, das die Anforderungen erfüllen möchte.

Aufbau und Pflege eines sicheren Netzwerks

Die erste Gruppe von Anforderungen bezieht sich auf die Aufrechterhaltung eines sicheren Netzwerks und legt fest, dass ein Unternehmen:

  • Installiert und hält eine Firewall auf dem neuesten Stand.
  • Verwendet für Kundendaten originale, vom Benutzer ausgewählte Kennwörter anstelle der vom Anbieter bereitgestellten Kennwörter.

Karteninhaberdaten schützen

Sichern Sie gespeicherte Informationen über Karteninhaber.

  • Es werden mehrere Sicherheitsebenen verwendet, um die gespeicherten Karteninhaberdaten zu verwalten.
  • Es ist wichtig, diese PCI-Compliance-Anforderung zu erfüllen, indem vermieden wird, Karteninhaberdaten länger als nötig aufzubewahren.
  • Lassen Sie Kunden ihre Kreditkarteninformationen über ein Zahlungsgateway eingeben und senden Sie niemals Zahlungsinformationen ohne robuste Verschlüsselung.

Verschlüsseln Sie Daten über Karteninhaber, die über das Internet gesendet werden.

  • Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene und öffentliche Netze.
  • Vor dem Transport sensibler Kartendaten zu mehreren Systemen ist es wichtig, sie zu verschlüsseln. Mit SSL- und TLS-Technologien können Sie dies erreichen.
  • Die Verschlüsselung von Daten während der Übertragung ist äußerst wichtig, da sie Verbraucherdaten schützt, selbst wenn die Netzwerke während der Übertragung verletzt werden.
  • Ein SSL-Zertifikat erhöht das Vertrauen der Verbraucher und bestätigt gleichzeitig die sichere Datenübertragung.

Schwachstellen managen

Die dritte Kategorie betrifft den Umgang eines Unternehmens mit Netzwerkschwachstellen und erfordert, dass ein Unternehmen:

  • Antivirensoftware sollte regelmäßig verwendet und aktualisiert werden.
  • Erstellt und wartet sichere Software und Systeme.

Implementieren Sie strenge Zugriffskontrollmaßnahmen

Beschränken Sie den Zugriff auf Kartendaten

Der Zugriff auf Karteninhaberdaten sollte auf diejenigen beschränkt sein, die einen geschäftlichen Bedarf haben.

Indem Sie den Zugriff auf Karteninhaberdaten auf eine kleine Anzahl von Personen beschränken, können Sie Betrug und Datendiebstahl verringern.

Administratoren mit autorisierten Anmeldeinformationen kann Zugriff gewährt werden.

Es hilft Ihnen auch, alle Systemänderungen zu verfolgen, indem es die Zugriffskontrolle überwacht und dokumentiert.

Eingeschränkter Zugriff ermöglicht es Ihnen, Sicherheitsverfahren basierend darauf zu kategorisieren, wer Bescheid wissen muss, wodurch Sie ein klares Bild aller Verwaltungsaufgaben erhalten.

Eindeutige IDs für den Datenzugriff

Jede Person, die Zugriff auf den Computer hat, sollte eine eindeutige ID erhalten.

Sie können die Aktivität jeder autorisierten Person anhand eindeutiger IDs verfolgen.

Führen Sie eine 2-Faktor-Autorisierung für zusätzlichen Schutz durch, ändern Sie regelmäßig Zugangskennwörter und führen Sie detaillierte Protokolle.

Eindeutige IDs helfen Ihnen auch dabei, Benutzerkonten zu kontrollieren und den Benutzerzugriff auf allen Ebenen zu schützen, was das Identitäts- und Zugriffsmanagement (IAM) vereinfacht.

Beschränken Sie den physischen Zugriff auf Daten

Der physische Zugriff auf Karteninhaberdaten sollte eingeschränkt werden

Die Datensicherheit erstreckt sich auf Rechenzentren und Server in der physischen Welt.

Die Daten müssen in einer sicheren Umgebung mit autorisiertem Zugriff aufbewahrt werden, ob vor Ort oder extern.

Hausinterne Rechenzentren sollten illegale Arbeiter und Besucher im Auge behalten. Bevor Sie Zugang zum Rechenzentrum gewähren, können Sie die Sicherheitsüberprüfungen auch regelmäßig aktualisieren.

Wenn Sie Daten extern aufbewahren, sehen Sie sich die Sicherheitsvorkehrungen des Speicheranbieters an und wählen Sie einen seriösen Magento-Hosting-Service.

Überwachen und testen Sie Netzwerke regelmäßig

Der fünfte Satz von Standards konzentriert sich darauf, wie ein Unternehmen sein Netzwerk überwacht und untersucht, und schreibt vor, dass das Unternehmen:

  • Jeder Zugriff auf Karteninhaberdaten und Netzwerkressourcen wird nachverfolgt und überwacht.
  • Bewertet regelmäßig Sicherheitssysteme und -protokolle.

Pflegen Sie eine Informationssicherheitsrichtlinie

Und schließlich müssen alle Systeme und Verfahren gemäß den Anforderungen des PCI DSS regelmäßig getestet werden, um sicherzustellen, dass die Sicherheit aufrechterhalten wird.

Wie erreichen Sie dann die PCI-Konformität? Etwas kurzes über Python (17)

Jedes Unternehmen oder jede Organisation, die Kartenzahlungen online entgegennimmt oder Kreditkartendaten speichert, sollte über das PCI Compliance Security Standard Council PCI-konform sein.

Unternehmen müssen ihre PCI-Compliance in der Regel jedes Jahr oder Quartal überprüfen, indem sie einen professionellen Gutachter oder ein Unternehmen beauftragen, um festzustellen, ob sie Transaktionen korrekt durchführen.

Wie halten Sie also PCI ein?

  • Bestimmen Sie die PCI-Ebene, die Sie verwenden möchten. Die Anzahl der Kartentransaktionen, die Ihr Unternehmen jedes Jahr verarbeitet, bestimmt, welcher der vier Stufen Sie zugewiesen werden. Sie werden Ihre Herangehensweise an die PCI-DSS-Compliance beeinflussen.
  • Wählen Sie einen Fragebogen für Ihre Selbstevaluation (SAQ). Induzieren Sie sieben verschiedene Arten, basierend auf Ihrem Händlerlevel und wie Sie Kreditkarteninformationen verarbeiten. Jede Klasse gibt einen separaten Satz von Standards an, die erfüllt werden müssen, um PCI-konform zu sein.
  • Erstellen Sie ein sicheres Netzwerk, um die PCI-DSS-Zertifizierungsstandards zu erfüllen. Vom Schwachstellen-Scannen bis hin zur Sicherheitswartung und -reparatur kann diese Methode alles bewältigen. Um all das schwere Heben zu bewältigen, benötigen Sie die Unterstützung eines IT-Dienstleisters.
  • Füllen Sie das Attestation of Compliance (AOC)-Formular aus – ein Dokument, das die Ergebnisse eines PCI-DSS-Audits bestätigt.
  • Der Weg zur PCI-Compliance könnte schwierig sein. Wenn Sie jedoch die Wahrnehmung Ihrer Kunden von Ihnen und Ihren wichtigen Daten vor Hackern schützen möchten, lohnt sich der Weg.

Wir schlagen vor, dass Sie als Besitzer eines Magento-Shops ein SecurePay-Plugin einrichten, das PCI DSS-konform ist. Für Einzelhändler ist dies eine kostengünstigere Möglichkeit, Transaktionsinformationen zur Verarbeitung an SecurePay zu senden.

Außerdem können Sie sich Sorgen darüber machen, wie viel die PCI-Compliance kostet?

Die PCI-Compliance-Kosten variieren je nach Größe Ihres Unternehmens, Kartenverarbeitungsverfahren und anderen Überlegungen.

Die PCI-DSS-Compliance kann für kleine Unternehmen nur 300 US-Dollar pro Jahr kosten, abhängig von den folgenden Faktoren:

  • $50 – $200 für einen Selbstbeurteilungsfragebogen (SAQ).
  • Das Scannen auf Schwachstellen kostet zwischen 100 und 200 US-Dollar pro IP-Adresse.
  • Rund 70 $ pro Mitarbeiter für Schulungen und Richtlinienformulierung.
  • Von 100 bis 10.000 US-Dollar für die Behebung (abhängig vom Arbeitsaufwand, der erforderlich ist, um Compliance und Sicherheit zu erfüllen).

Die Gesamtkosten einer PCI-DSS-Prüfung für große Unternehmen werden voraussichtlich etwa 70.000 US-Dollar betragen, einschließlich

  • Vor-Ort-Audit: Ungefähr 40.000 US-Dollar
  • Das Scannen auf Schwachstellen kostet etwa 1.000 US-Dollar.
  • Rund 15.000 US-Dollar für Penetrationstests
  • 5.000 $ für Richtlinienformulierung und Schulung.
  • Behebung (Updates von Software und Hardware usw.): 10.000 bis 500.000 US-Dollar

Der Preis für die PCI-Konformität auf Unternehmensebene ist nicht gering. Dennoch ist eine PCI-Compliance-Gebühr es nicht wert, die Informationen Ihrer Kunden oder das langfristige Image Ihres Unternehmens zu gefährden.

Zu guter Letzt geben wir Ihnen einige Best Practices für die PCI-Compliance von Magento

Wie erhalten Sie PCI-Konformität?

Angestellten Training

Die PCI-Konformität von Magento ist eine technologische Anforderung, die vor der Implementierung umfangreiche Kenntnisse und Schulungen erfordert.

Stellen Sie sicher, dass Ihre Magento-Plattform von einem Expertenteam gesichert wird.

Wenden Sie sich an Mitarbeiterschulungen oder stellen Sie Branchenexperten ein, die Sie bei Magento-Compliance und -Sicherheit unterstützen.

Fragebögen zur Selbsteinschätzung (SAQs)

Für kleine Einzelhändler hat der PCI DSS neun Fragebögen zur Selbsteinschätzung herausgegeben.

SAQ ist eine grundlegende Ja/Nein-Sicherheitsbewertungsprüfung, mit der Sie Ihre Sicherheit bewerten und effektive Reparaturmaßnahmen durchführen können.

Sie können die Bewertung abschließen und eine Konformitätsbescheinigung hinzufügen, sobald Sie festgestellt haben, welcher Fragebogen für Ihr Unternehmen geeignet ist.

Der PCI SAQ dient der Verifizierung von Compliance und Sicherheit. Bei der Zusammenarbeit mit Drittfirmen ist dies von Vorteil.

Dokumentieren Sie Richtlinien und Compliance-Berichte

Halten Sie Sicherheitsvorschriften fest, indem Sie Änderungen und betriebliche Abläufe in Ihrem Unternehmen regelmäßig dokumentieren.

Der PCI Report on Compliance and Attestation of Compliance (RoC/AoC) ist eine Bewertung der Sicherheitskonformität.

Es wird von einem Qualified Security Assessor (QSA) oder einem qualifizierten internen Assessor durchgeführt, um festzustellen, ob Ihr Magento-Shop für die Verarbeitung von Karteninhaberdaten sicher ist.

Regelmäßige Wartung durchführen

Magento PCI-Compliance ist ein fortlaufender Managementprozess, keine einmalige Bewertung.

Schwachstellen-Scans sollten regelmäßig durchgeführt, die Sicherheit aktualisiert und Compliance-Verfahren gründlich dokumentiert werden.

Magento-Systemkonfigurationen ändern sich ständig, und wenn Sie nicht mit ihnen Schritt halten, verlieren Sie Compliance-Kontrollen und gefährden die Datensicherheit.

Fazit

Im Internetumfeld ist die Bewältigung des Sicherheitsproblems sowohl für Unternehmen als auch für Kunden nicht einfach. Daher kann die Magento-PCI-Compliance eine Hilfestellung für Unternehmen sein, um das Risiko aus der Online-Umgebung zu reduzieren. Es hilft nicht nur den Käufern, sich beim Einkaufen in Ihrem Geschäft sicherer zu fühlen, sondern Sie können auch das Vertrauen der Kunden stärken, was das Image der Marke stärken und mehr Kunden anziehen kann. Wenn Sie ein Magento-Shop-Besitzer sind, zögern Sie nicht, Magento PCI-Compliance zu implementieren. Wenn Sie nicht wissen, was Sie tun sollen, können Sie unseren Service besuchen: Magento-Entwicklung, um die Lösung zu finden, oder uns direkt kontaktieren.