WooCommerce PCI-Konformität: Alles, was Sie wissen müssen!

Veröffentlicht: 2022-01-25

WooCommerce ist eine Open-Source-E-Commerce-Plattform für WordPress, mit der schöne und anpassbare virtuelle Schaufenster erstellt werden können. Doch wie sicher sind die Zahlungsmethoden? Entspricht die Plattform den PCI-Compliance-Standards?

Sofern Ihre E-Commerce-Website nicht den PCI-DSS-Standards entspricht, gefährdet sie tendenziell die Sicherheit und den Datenschutz der Kundendaten. Und dies könnte den Ruf Ihres Online-Geschäfts beeinträchtigen.

Hier finden Sie alles, was Sie wissen sollten, um sicherzustellen, dass die Daten Ihrer Kunden in Ihrem WooCommerce-Shop geschützt und sicher sind.

Inhaltsverzeichnis anzeigen
  • Ist WooCommerce PCI-kompatibel?
  • Was genau ist PCI-Compliance?
  • Hauptvorteile einer PCI-konformen Website:
  • Was sind die Anforderungen für die PCI-DSS-Konformität?
  • Ist WooCommerce sicher?
    • Schutz gespeicherter Kreditkarteninformationen
    • Erhöhte Sicherheit mit SSL
    • WordPress-Anmeldesystem
  • Speichert WooCommerce Kreditkarteninformationen?
  • Fazit & FAQ

Ist WooCommerce PCI-kompatibel?

woocommerce-pci-compliance

Das Kern-Plugin von WooCommerce ist nicht PCI-DSS-kompatibel. Es kann jedoch problemlos so konfiguriert werden, dass es vollständig kompatibel ist. Letztendlich liegt die Verantwortung dafür, dass die Website PCI-konform ist, beim Shop-Inhaber. Deshalb sollten sie alle Schritte unternehmen, um sicherzustellen, dass ihre E-Commerce-Website sicher und geschützt ist.

Im Idealfall liegen mehrere Aspekte der PCI-DSS-Compliance-Anforderungen außerhalb des Rahmens von WooCommerce oder WordPress. Stattdessen fallen sie in den Geltungsbereich des Hosting-Anbieters oder der Geschäftspraktiken, denen Ihre Website unterliegt. Das WooCommerce-Plugin ist auf Sicherheit ausgelegt und es gibt mehrere Möglichkeiten, vollständige Sicherheit zu gewährleisten.

Hier sind die wichtigsten Funktionen von WooCommerce, die dazu beitragen können, dass Ihre E-Commerce-Website zunächst PCI-konform wird:

Beschränkter Zugang:

WooCommerce verwendet eine sichere WordPress-Anmeldung, die es Benutzern ermöglicht, verschiedenen Benutzern individuelle Datenschutzstufen und Rollen zuzuweisen. Der eingeschränkte Zugriff auf die Zahlungsinformationen der Kunden sorgt für mehr Sicherheit.

SSL-Sicherheit:

Benutzer können WooCommerce so einstellen, dass beim Bezahlvorgang SSL-Anforderungen erzwungen werden. Durch die SSL-Zertifizierung wird sichergestellt, dass Ihre Kundendaten vollständig verschlüsselt bleiben, bevor sie über das Internet übertragen werden können.

Sicherheit der gespeicherten Kreditkarte:

Im Idealfall sind native WooCommerce-Zahlungsgateways nicht darauf ausgelegt, die Kreditkartendaten der Kunden zu speichern. Selbst wenn ein Zahlungsgateway das Speichern der Karte für zukünftige Zahlungen ermöglicht, werden nur die letzten 4 Ziffern gespeichert. Diese Funktion von WooCommerce sorgt für eine verbesserte Sicherheit Ihrer Kreditkartendaten.

Für Sie empfohlen: Managed WooCommerce Hosting von Nexcess – Ein großartiger Ort, um Ihren Shop zu leben!

Was genau ist PCI-Compliance?

Was-ist-PCI-Compliance-woocommerce

Quelle: I-Verve.com

Für jede Art von E-Commerce-Geschäft ist die Einhaltung hoher Sicherheitsstandards wichtig. Es ist ein entscheidendes Kriterium für die Vertrauenswürdigkeit und Professionalität Ihres Unternehmens. Um einen verbesserten Schutz der Kundendaten und ein hohes Maß an Privatsphäre zu gewährleisten, können Sie verschiedene Vorschriften und Standards umsetzen, um die Sicherheit zu gewährleisten.

Das bekannteste davon ist PCI-DSS oder der Payment Card Industry Data Security Standard. Es wird auch als PCI-Standard anerkannt.

Die E-Commerce-Branche ist ständig mit raffinierten Cyberangriffen konfrontiert, die eine ernsthafte Bedrohung für die Datensicherheit und den Datenschutz darstellen. Daher ist es wichtig, die Sicherheit des Zahlungsgateways zu gewährleisten. Es trägt dazu bei, Vertrauen in den Köpfen der Kunden aufzubauen und so zu mehr Verkäufen und Wiederholungsverkäufen zu führen.

Aber wie können Sie nachweisen, dass Ihre E-Commerce-Website über ein sicheres Zahlungssystem verfügt? Dies können Sie erreichen, indem Sie Ihre Zuschauer und Ihr Publikum darauf aufmerksam machen, dass Ihre Website PCI-konform ist.

PCI ist ein weltweit anerkannter Standard, der vom Payment Card Industry Security Standards Council verwaltet wird, der von JCB International, Visa Inc., MasterCard, Discover Financial Services und American Express gegründet wurde. Ziel ist es, die Sicherheit zu verbessern und Betrug im Zusammenhang mit Online-Kreditkartentransaktionen zu minimieren.

Wenn Ihre E-Commerce-Website Zahlungen per Kreditkarte akzeptiert, muss sie PCI-konform sein. Die Nichteinhaltung der PCI-Standards kann schwere finanzielle Einbußen für Ihr Unternehmen nach sich ziehen und auch Ihrem Ruf schaden.

Hauptvorteile einer PCI-konformen Website:

Daumen hoch, Profis, positiv, plus hoch, gut
  • Aufgrund der PCI-DSS-Konformität besteht selten die Möglichkeit, dass Kreditkartendaten gestohlen werden, wenn jemand in Ihrem Online-Shop einkauft. Funktionen wie Double-Opt-In, Zwei-Faktor-Authentifizierung und HTTPS halten Hacker davon ab, sensible Daten von Ihrer E-Commerce-Website zu stehlen.
  • Es weist darauf hin, dass Ihr Online-Shop über ein sicheres Zahlungssystem verfügt, was dazu beiträgt, bei den Kunden ein Vertrauensgefühl zu schaffen, damit sie den Bezahlvorgang sicher abschließen können.
  • Es ermöglicht E-Commerce-Händlern, Rückbuchungen zu reduzieren, die zu erheblichen Verlusten für Ihr Unternehmen führen können. Da Cyber-Angriffe immer ausgereifter werden, stehlen Hacker die Kreditkarteninformationen eines Kunden und verwenden diese, um Produkte online zu kaufen. Wenn der Kunde diese unerwartete Belastung feststellt, setzt er die Zahlung sofort aus. Als Ergebnis bleibt Ihnen nichts übrig – keine Produktrückgabe, kein Geld.
  • Mit der PCI-Konformität können Sie einen Schritt in Richtung Datenlecks und Hackerangriffe machen. Dies kann dazu beitragen, Klagen zu vermeiden, die Ihr E-Commerce-Unternehmen erheblich Geld, Zeit und Ruf kosten können.

Was sind die Anforderungen für die PCI-DSS-Konformität?

Checkliste-Aufgaben-Notizen-Zeitplan

Es gibt 12 PCI-DSS-Kernanforderungen, die in die folgenden Bereiche unterteilt sind.“

Ziele PCI-DSS-Anforderung
Erstellen und pflegen Sie ein sicheres Netzwerk 1. Installieren und verwenden Sie eine robuste Firewall-Konfiguration, die zum Schutz der Karteninhaberinformationen beiträgt.
2. Verwenden Sie niemals vom Hersteller bereitgestellte Standardeinstellungen für Sicherheitsparameter und Systemkennwörter.
Karteninhaberdaten schützen 3. Schützen Sie alle gespeicherten Kreditkartendaten.
4. Stellen Sie die Verschlüsselung der Karteninhaberdaten in öffentlichen, offenen Netzwerken sicher.
Erstellen Sie ein Schwachstellenmanagementprogramm 5. Verwenden Sie eine leistungsstarke Antivirensoftware und aktualisieren Sie diese regelmäßig.
6. Entwickeln Sie sichere Anwendungen und Systeme.
Implementieren Sie lückenlose Zugangskontrollmaßnahmen 7. Erlauben Sie den Zugriff auf vertrauliche Karteninhaberdaten nur, wenn dies unbedingt erforderlich ist.
8. Beschränken Sie den physischen Zugriff auf alle gespeicherten Karteninhaberdaten.
9. Legen Sie für jeden Benutzer mit Computerzugriff eine eindeutige ID fest.
Testen und überwachen Sie Netzwerke regelmäßig 10. Überwachen und verfolgen Sie den Zugriff auf alle Karteninhaberdaten und Netzwerkressourcen effizient.
11. Testen Sie Sicherheitsprozesse und -systeme regelmäßig.
Erstellen Sie eine Datensicherheitsrichtlinie 12. Erstellen Sie eine endgültige Richtlinie, die zur Datensicherheit beiträgt.

Im Idealfall wird die Meldung der PCI-Konformität durch den Zahlungsabwickler erzwungen. Zu diesem Zweck müssen Sie möglicherweise bestimmte Fragebögen wie den Fragebogen zur Selbsteinschätzung (Self-Assessment Questionnaire, SAQ) ausfüllen. Ihr Zahlungssystem wird außerdem von einem von den Behörden zugelassenen Scanning Vendor (ASV) gescannt.

Das könnte Ihnen gefallen: 10 kostenlose WooCommerce-Erweiterungen/Plugins zur Aufladung Ihres WordPress-E-Commerce-Shops.

Ist WooCommerce sicher?

woocommerce-pci-compliance

WooCommerce macht deutlich, dass alle zwölf PCI-Compliance-Anforderungen über seinen Rahmen hinausgehen. Das bedeutet, dass die anderen Anforderungen in den Verantwortungsbereich der Serverumgebung Ihres Hosting-Anbieters fallen.

Normalerweise kann jeder Hosting-Anbieter konform gemacht werden, einige Server sind anfangs konformer als andere. Ebenso wie verwaltete VPS-Anbieter mit Control Panels neigen sie dazu, standardmäßig viele PCI-Anforderungen zu erfüllen, da diese in ihren Einstellungen vorkonfiguriert sind, was den Website-Besitzern viel Arbeit abnimmt.

Wenn Sie es also mit der Führung Ihres Online-Geschäfts ernst meinen und Sicherheit von größter Bedeutung ist, sollten Sie sich immer für einen VPS statt für Shared Hosting entscheiden.

Wenn Sie sich jedoch nur auf das Plugin verlassen, sind möglicherweise noch andere Kriterien im Plugin integriert, diese reichen jedoch nicht aus, um anzugeben, dass Ihre Zahlungsmethode PCI-DSS-kompatibel ist.

Hier sind die drei wichtigsten PCI-Konformitätsanforderungen, die WooCommerce erfüllt, um umfassende Sicherheit zu gewährleisten:

Schutz gespeicherter Kreditkarteninformationen

WooCommerce bietet möglicherweise keinen vollständigen Schutz aller gespeicherten Kreditkarteninformationen, ist jedoch darauf ausgelegt, diese Daten überhaupt NICHT zu speichern. Das bedeutet, dass WooCommerce alle Kreditkarteninformationen speichert, die ein Kunde für die Zahlung auf Ihrer Website verwendet.

Falls der Kunde die Zahlungsmethode als bevorzugte Option für die zukünftige Nutzung festlegt, speichert WooCommerce nur die letzten vier Ziffern der Kartennummer. Dies hält Cyberkriminelle davon ab, Zugriff auf die Kartendaten zu erhalten. Diese Sicherheitsfunktion ist jedoch nur mit den nativen WooCommerce-Anwendungen verfügbar. Wenn Sie Plugins von Drittanbietern verwenden, können diese möglicherweise vollständige Kartendetails speichern.

Erhöhte Sicherheit mit SSL

Gemäß PCI-Standards müssen Sie über ein gültiges SSL-Zertifikat verfügen, wenn Sie Kundenzahlungen auf Ihrer Website akzeptieren. Ein SSL-Zertifikat stellt sicher, dass alle Daten, die Ihre Kunden auf Ihrer Website bereitstellen, vor der Übertragung vollständig verschlüsselt werden. Dies trägt dazu bei, Kreditkartenbetrug und Hacking einzudämmen und Ihren Online-Shop sicherer zu machen. Darüber hinaus verleiht ein SSL-Zertifikat Ihrer Website auch einen SEO-Boost.

Mit WooCommerce können Sie die SSL-Anforderungskriterien auf allen Checkout-Seiten festlegen. Somit trägt WooCommerce zur Einhaltung der PCI-Standards bei, indem es durch SSL eine verbesserte Sicherheit gewährleistet. Es ist jedoch wichtig, sich bei Ihrem Website-Hosting-Anbieter zu erkundigen, ob dieser das SSL-Zertifikat anbieten kann.

HTTP-zu-HTTPS-SSL-Zertifikat

WordPress-Anmeldesystem

Das WordPress-Anmeldesystem ist eine weitere Möglichkeit, die WooCommerce zur Unterstützung der PCI-Konformität nutzt. Es ermöglicht die Festlegung unterschiedlicher Benutzerzugriffsebenen auf vertrauliche Kreditkarteninformationen. Das bedeutet, dass Sie verschiedene Benutzerrollen erstellen und einen eindeutigen Anmeldezugriff festlegen können, um eine bessere Sicherheit zu gewährleisten.

Beispielsweise kann ein Blog-Post-Autor auf Ihrer Website nur Beiträge erstellen und bearbeiten, hat aber nicht die Berechtigung, auf WooCommerce-Kundendaten zuzugreifen oder diese anzuzeigen. Es ist also so, als würde man einen „Nur-Kenntnis-Zugriff“ einrichten, der Ihnen dabei helfen kann, die PCI-Anforderungen einzuhalten.

Auf diese Weise bietet WooCommerce ein beträchtliches Maß an Sicherheit, indem es die oben genannten PCI-Compliance-Anforderungen integriert.

Speichert WooCommerce Kreditkarteninformationen?

Kreditkartenzahlung-E-Commerce-Shopping

Das WooCommerce-Kern-Plugin speichert keine Kreditkarteninformationen, selbst wenn ein Kunde die Zahlungsmethode für die zukünftige Verwendung speichert, werden nur die letzten 4 Ziffern der Kreditkarte gespeichert.

Wenn Ihre Frage also lautet: Muss mein E-Commerce-Shop PCI-konform sein, dann lautet die Antwort NEIN. Dies ist nur dann der Fall, wenn Ihr WooCommerce-Shop mit dem Kern-Plugin arbeitet und keine Karteninhaberdaten speichert, überträgt oder verarbeitet. In solchen Fällen werden Zahlungen extern abgewickelt – über ein Gateway, das normalerweise seine Server zum Empfangen von Zahlungen nutzt.

Wenn Sie jedoch Plugins von Drittanbietern verwenden, die möglicherweise Karteninhaberinformationen speichern, oder Kreditkartendaten gemäß den PCI-Standards sammeln, übertragen und verarbeiten, muss Ihre Website PCI-DSS-konform sein.

Vielleicht gefällt Ihnen auch: Magento vs. Shopify vs. WooCommerce: Der E-Commerce-Kampf.

Fazit & FAQ

woocommerce-pci-compliance-questions-answers-faq-query-help

Zusammenfassend lässt sich sagen, dass WooCommerce nicht vollständig mit den PCI-Standards kompatibel ist. Es bietet jedoch gemäß den PCI-Compliance-Anforderungen ein gewisses Maß an Schutz vor Datenverlust oder dem Hacken vertraulicher Karteninhaberinformationen. Darüber hinaus bietet es die Flexibilität, Ihren WooCommerce-Shop PCI-konform zu machen, indem Sie die im FAQ-Abschnitt dieses Artikels besprochenen Maßnahmen ergreifen.

F. Ist WordPress PCI-kompatibel?

NEIN; WordPress ist nicht vollständig PCI-konform und erfüllt nur die Anforderungen, die in den Richtlinien des Payment Card Industry Security Standards Council festgelegt sind. Die Plattform kann jedoch nahtlos aktualisiert werden, um weitere PCI-kompatible Funktionen zu integrieren und das Zahlungssystem Ihrer Website vollständig vor Hacking und Datenverlust zu schützen.

F. Ist Shopify PCI-konform?

Shopify ist eine weitere führende E-Commerce-Plattform, die es Händlern ermöglicht, ihren Kunden ein sicheres Einkaufserlebnis zu bieten, indem sie sich an die Best Practices der Branche in Bezug auf Sicherheitssysteme halten. Es handelt sich um eine zertifizierte PCI-DSS-kompatible Plattform der Stufe 1, die alle sechs PCI-Konformitätsanforderungen erfüllt:

  • Sichere Karteninhaberdaten.
  • Sorgen Sie für ein sicheres Netzwerk.
  • Testen und überwachen Sie Netzwerke regelmäßig.
  • Richten Sie ein Schwachstellenmanagementprogramm ein.
  • Halten Sie eine umfassende Datensicherheitsrichtlinie ein.
  • Richten Sie strenge Maßnahmen zur Zugangskontrolle ein.

Im Gegensatz zu WooCommerce hat Shopify also die Nase vorn, wenn es um die Einhaltung der PCI-DSS-Standards geht.

F. Wie mache ich WordPress PCI-kompatibel?

Um Ihre WordPress-Website PCI-konform zu machen, ist es zunächst wichtig, einen Zahlungsabwickler auszuwählen, der den PCI-Standards entspricht. Wählen Sie einen Prozessor, der ein sicheres Zahlungsgateway bereitstellt. Erst dann können Sie mit den folgenden Schritten fortfahren, um WordPress PCI-konform zu machen:

  • Legen Sie Ihre Händlerstufe fest: Die Regeln für die PCI-Konformität variieren je nach Transaktionsvolumen Ihres Unternehmens. Daher müssen Sie zunächst Ihr Händlerlevel ermitteln. Wenn Sie beispielsweise ein kleines Unternehmen sind, können Sie sich für Level 4 qualifizieren, das den einfachsten Compliance-Prozess bietet.
  • Nehmen Sie am Fragebogen zur Selbsteinschätzung teil: Füllen Sie den Fragebogen zur Selbsteinschätzung (SAQ) aus, der Ihnen hilft, Ihre aktuelle Risikoexposition zu verstehen.
  • Integrieren Sie einen zugelassenen Scan-Anbieter: Der ASV kann mithilfe automatisierter Tools potenzielle Schwachstellen in der Hardware und Software identifizieren, die Zahlungsdaten erfasst und verarbeitet.
  • Holen Sie sich ein SSL-Zertifikat: Ein SSL-Zertifikat gibt Ihren Kunden die Gewissheit, dass sie über eine verschlüsselte und direkte Verbindung mit Ihrer Website verfügen. Das „HTTPS“ der Domain Ihrer Website ist eine zusätzliche Sicherheitsanmeldeinformation, die den PCI-Standards entspricht.
  • Verwenden Sie die richtigen Tools und Plugins: Die Verwendung der richtigen Plugins und Tools für Ihren WordPress- oder WooCommerce-Shop kann Ihrem E-Commerce-Shop eine zusätzliche Sicherheitsebene bieten. Beispielsweise verfügt WordPress über Administratorkontrollen, mit denen Sie den Zugriff auf Karteninhaberinformationen einschränken und so einen verbesserten Datenschutz und Privatsphäre gewährleisten können.
  • Weitere Schritte zur Zahlungsüberprüfung: Bei der Zahlung benötigen die meisten Zahlungsgateways den Namen des Karteninhabers, die Kreditkartennummer und das Ablaufdatum der Karte. Diese Daten können von Cyberkriminellen leicht gehackt werden, was zu jährlichen Verlusten in Milliardenhöhe führt. Das Einbeziehen zusätzlicher Verifizierungsdetails wie CVV, Rechnungsadresse, Sicherheitsfragen oder OTP kann für mehr Sicherheit sorgen.
  • Bleiben Sie über die neuesten Sicherheitsrichtlinien auf dem Laufenden: Zusätzlich zu den oben genannten Schritten ist es auch wichtig, über die neuesten Sicherheitsrichtlinien und -trends auf dem Laufenden zu bleiben. Dies bringt Sie einen Schritt weiter in Richtung PCI-Konformität. Aktueller Virenschutz, regelmäßige Software-Updates, Malware-Scans und Sicherheitspatches sind ein Muss, um eine verbesserte Website-Sicherheit zu gewährleisten. Darüber hinaus müssen Ihre Mitarbeiter darin geschult werden, Zahlungsdaten sicher und effizient zu nutzen.