WooCommerce PCI-Konformität

Veröffentlicht: 2022-01-25

WooCommerce ist eine Open-Source-E-Commerce-Plattform für WordPress, die zum Erstellen schöner und anpassbarer virtueller Schaufenster verwendet wird. Aber wie sicher sind die Zahlungsmethoden? Entspricht die Plattform den PCI-Compliance-Standards?

Wenn Ihre E-Commerce-Website nicht den PCI-DSS-Standards entspricht, gefährdet sie tendenziell die Sicherheit und den Datenschutz von Kundendaten. Und dies könnte den Ruf Ihres Online-Geschäfts beeinträchtigen.

Hier finden Sie alles, was Sie wissen sollten, um sicherzustellen, dass die Daten Ihrer Kunden in Ihrem WooCommerce-Shop geschützt und sicher sind.

Inhaltsverzeichnis anzeigen
  • Ist WooCommerce PCI-konform?
  • Was genau ist PCI-Compliance?
  • Hauptvorteile einer PCI-konformen Website:
  • Was sind die Anforderungen für die PCI-DSS-Konformität?
  • Ist WooCommerce sicher?
    • Schutz gespeicherter Kreditkarteninformationen
    • Erhöhte Sicherheit mit SSL
    • WordPress-Anmeldesystem
  • Speichert WooCommerce Kreditkarteninformationen?
  • Fazit & FAQ

Ist WooCommerce PCI-konform?

woocommerce-pci-konformität

Das Kern-WooCommerce-Plugin ist nicht PCI-DSS-konform. Es kann jedoch leicht so konfiguriert werden, dass es vollständig kompatibel ist. Letztendlich liegt die Verantwortung dafür, die Website PCI-konform zu machen, beim Ladenbesitzer. Aus diesem Grund sollten sie alle Schritte unternehmen, um sicherzustellen, dass ihre E-Commerce-Website sicher und geschützt ist.

Idealerweise liegen mehrere Aspekte der PCI-DSS-Compliance-Anforderungen außerhalb des Rahmens von WooCommerce oder WordPress. Stattdessen fallen sie in den Geltungsbereich des Hosting-Anbieters oder der Geschäftspraktiken, an die sich Ihre Website hält. Das WooCommerce-Plugin wurde im Hinblick auf Sicherheit entwickelt und es gibt mehrere Möglichkeiten, wie Sie vollständige Sicherheit gewährleisten können.

Hier sind die wichtigsten Funktionen von WooCommerce, die Ihrer E-Commerce-Website helfen können, anfänglich PCI-konform zu werden:

Eingeschränkter Zugang:

WooCommerce verwendet ein sicheres WordPress-Login, das es Benutzern ermöglicht, verschiedenen Benutzern individuelle Datenschutzstufen und Rollen zuzuweisen. Ein eingeschränkter Zugriff auf die Zahlungsinformationen der Kunden gewährleistet eine verbesserte Sicherheit.

SSL-Sicherheit:

Benutzer können WooCommerce so einstellen, dass SSL-Anforderungen während des Bestellvorgangs erzwungen werden. Die SSL-Zertifizierung stellt sicher, dass Ihre Kundendaten vollständig verschlüsselt bleiben, bevor sie über das Internet übertragen werden können.

Sicherheit der hinterlegten Kreditkarte:

Idealerweise sind native WooCommerce-Zahlungsgateways nicht darauf ausgelegt, die Kreditkartendaten der Kunden zu speichern. Auch wenn ein Zahlungsgateway das Speichern der Karte für zukünftige Zahlungen erlaubt, werden nur die letzten 4 Ziffern gespeichert. Diese Funktion von WooCommerce gewährleistet die verbesserte Sicherheit Ihrer Kreditkartendaten.

Für Sie empfohlen: Managed WooCommerce Hosting von Nexcess – Ein großartiger Ort, um Ihren Shop zu leben!

Was genau ist PCI-Compliance?

Was-ist-PCI-Compliance-woocommerce

Quelle: I-Verve.com

Für jede Art von E-Commerce-Geschäft ist die Einhaltung hoher Sicherheitsstandards wichtig. Sie ist ein entscheidendes Kriterium für die Vertrauenswürdigkeit und Professionalität Ihres Unternehmens. Um einen verbesserten Schutz von Kundendaten und ein hohes Maß an Privatsphäre zu gewährleisten, gibt es mehrere Vorschriften und Standards, die Sie implementieren können, um Sicherheit und Schutz zu gewährleisten.

Der prominenteste unter diesen ist der PCI-DSS oder der Payment Card Industry Data Security Standard. Es wird auch als PCI-Standard anerkannt.

Die E-Commerce-Branche wird ständig von ausgeklügelten Cyberangriffen herausgefordert, die eine ernsthafte Bedrohung für die Datensicherheit und den Datenschutz darstellen. Daher ist es wichtig, die Sicherheit des Zahlungsgateways zu gewährleisten. Es hilft, Vertrauen in den Köpfen der Kunden aufzubauen, mehr Verkäufe zu erzielen und Verkäufe zu wiederholen.

Aber wie können Sie nachweisen, dass Ihre E-Commerce-Website über ein sicheres Zahlungssystem verfügt? Dies kann erreicht werden, indem Sie Ihre Zuschauer und Ihr Publikum darauf aufmerksam machen, dass Ihre Website PCI-konform ist.

PCI ist ein weltweit akzeptierter Standard, der vom Payment Card Industry Security Standards Council verwaltet wird, der von JCB International, Visa Inc., MasterCard, Discover Financial Services und American Express gegründet wurde. Ziel ist es, die Sicherheit zu verbessern und Betrug im Zusammenhang mit Online-Kreditkartentransaktionen zu minimieren.

Wenn Ihre E-Commerce-Website Zahlungen per Kreditkarte akzeptiert, muss sie PCI-konform sein. Die Nichteinhaltung der PCI-Standards kann Ihrem Unternehmen schwere finanzielle Strafen nach sich ziehen und auch Ihrem Ruf schaden.

Hauptvorteile einer PCI-konformen Website:

Daumen-hoch-Profis-wie-positiv-plus-hoch-gut
  • Mit der PCI-DSS-Konformität besteht die seltene Möglichkeit, dass Kreditkartendaten gestohlen werden, wenn jemand in Ihrem Online-Shop einkauft. Funktionen wie Double-Opt-in, Zwei-Faktor-Authentifizierung und HTTPS halten Hacker davon ab, sensible Daten von Ihrer E-Commerce-Website zu stehlen.
  • Es weist darauf hin, dass Ihr Online-Shop über ein sicheres Zahlungssystem verfügt, das dazu beiträgt, bei den Kunden ein Gefühl des Vertrauens zu schaffen, um den Bestellvorgang sicher abzuschließen.
  • Es ermöglicht E-Commerce-Händlern, Rückbuchungen zu reduzieren, die zu erheblichen Verlusten für Ihr Unternehmen führen können. Da Cyberangriffe immer fortgeschrittener sind, stehlen Hacker die Kreditkarteninformationen eines Kunden und verwenden diese, um Produkte online zu kaufen. Wenn der Kunde diese unerwartete Belastung feststellt, setzt er die Zahlung sofort aus. Als Ergebnis bleibt Ihnen nichts übrig – keine Produktrückgabe, kein Geld.
  • Mit der PCI-Compliance können Sie einen Schritt zur Abschreckung von Datenlecks und Hacking unternehmen. Dies kann dazu beitragen, Klagen zu vermeiden, die Ihr E-Commerce-Unternehmen viel Geld, Zeit und Reputation kosten können.

Was sind die Anforderungen für die PCI-DSS-Konformität?

Checkliste-Aufgaben-Notizen-Zeitplan

Es gibt 12 zentrale PCI-DSS-Anforderungen, die in die folgenden Bereiche kategorisiert sind.“

Ziele PCI-DSS-Anforderung
Aufbau und Pflege eines sicheren Netzwerks 1. Installieren und verwenden Sie eine robuste Firewall-Konfiguration, die zum Schutz von Karteninhaberinformationen beiträgt.
2. Verwenden Sie niemals vom Hersteller bereitgestellte Standardeinstellungen für Sicherheitsparameter und Systemkennwörter.
Schützen Sie Karteninhaberdaten 3. Schützen Sie alle gespeicherten Kreditkartendaten.
4. Stellen Sie die Verschlüsselung von Karteninhaberdaten in öffentlichen, offenen Netzwerken sicher.
Erstellen Sie ein Vulnerability-Management-Programm 5. Verwenden Sie eine leistungsstarke Antivirensoftware und aktualisieren Sie diese regelmäßig.
6. Entwickeln Sie sichere Anwendungen und Systeme.
Implementieren Sie lückenlose Zugriffskontrollmaßnahmen 7. Gewähren Sie den Zugriff auf vertrauliche Karteninhaberdaten nur auf Need-to-know-Basis.
8. Beschränken Sie den physischen Zugriff auf alle gespeicherten Karteninhaberdaten.
9. Legen Sie für jeden Benutzer mit Computerzugriff eine eindeutige ID fest.
Netzwerke regelmäßig testen und überwachen 10. Effiziente Überwachung und Verfolgung des Zugriffs auf alle Karteninhaberdaten und Netzwerkressourcen.
11. Testen Sie regelmäßig Sicherheitsprozesse und -systeme.
Richten Sie eine Datensicherheitsrichtlinie ein 12. Erstellen Sie eine endgültige Richtlinie, die zur Datensicherheit beiträgt.

Idealerweise wird die Meldung der PCI-Compliance vom Zahlungsabwickler erzwungen. Dazu müssen Sie möglicherweise bestimmte Fragebögen wie den Self-Assessment Questionnaire (SAQ) ausfüllen. Auch Ihr Zahlungssystem wird von einem Approved Scanning Vendor (ASV) von den Behörden gescannt.

Das könnte Ihnen gefallen: 10 kostenlose WooCommerce-Erweiterungen / Plugins, um Ihren WordPress-E-Commerce-Shop aufzuladen.

Ist WooCommerce sicher?

woocommerce-pci-konformität

WooCommerce weist eindeutig darauf hin, dass alle zwölf PCI-Compliance-Anforderungen außerhalb seines Geltungsbereichs liegen. Das bedeutet, dass die anderen Anforderungen in die Verantwortung der Serverumgebung Ihres Hosting-Providers fallen.

Normalerweise kann jeder Hosting-Anbieter konform gemacht werden, einige Server sind anfänglich konformer als andere. Wie verwaltete VPS-Anbieter mit Control Panels neigen dazu, standardmäßig viele PCI-Anforderungen zu erfüllen, da sie in ihren Einstellungen vorkonfiguriert sind, was den Website-Eigentümern viel Arbeit abnimmt.

Wenn Sie also Ihr Online-Geschäft ernsthaft betreiben und Sicherheit von größter Bedeutung ist, sollten Sie sich immer für einen VPS anstelle von Shared Hosting entscheiden.

Wenn Sie sich jedoch nur auf das Plugin verlassen würden, könnten Sie einige andere Kriterien in das Plugin integrieren, aber diese reichen nicht aus, um zu bestätigen, dass Ihre Zahlungsmethode PCI-DSS-konform ist.

Hier sind die drei wichtigsten PCI-Compliance-Anforderungen, die WooCommerce erfüllt, um umfassende Sicherheit zu gewährleisten:

Schutz gespeicherter Kreditkarteninformationen

WooCommerce bietet möglicherweise keinen vollständigen Schutz aller gespeicherten Kreditkarteninformationen, aber es ist darauf ausgelegt, diese Daten NICHT von vornherein zu speichern. Das bedeutet, dass WooCommerce alle Kreditkarteninformationen speichert, die ein Kunde verwendet, um auf Ihrer Website zu bezahlen.

Falls der Kunde die Zahlungsmethode als bevorzugte Option für die zukünftige Verwendung festlegt, speichert WooCommerce nur die letzten vier Ziffern der Kartennummer. Dies hält die Cyberkriminellen davon ab, Zugriff auf die Kartendaten zu erhalten. Diese Sicherheitsfunktion ist jedoch nur bei den nativen WooCommerce-Anwendungen verfügbar. Wenn Sie Plugins von Drittanbietern verwenden, speichern diese möglicherweise vollständige Kartendetails .

Erhöhte Sicherheit mit SSL

Gemäß den PCI-Standards müssen Sie über ein gültiges SSL-Zertifikat verfügen, wenn Sie Kundenzahlungen auf Ihrer Website akzeptieren. Ein SSL-Zertifikat stellt sicher, dass alle Daten, die Ihre Kunden auf Ihrer Website bereitstellen, vor der Übertragung vollständig verschlüsselt werden. Dies trägt dazu bei, Kreditkartenbetrug und Hacking zu mindern und Ihren Online-Shop sicherer zu machen. Darüber hinaus verleiht ein SSL-Zertifikat Ihrer Website auch einen SEO-Schub.

Mit WooCommerce können Sie die SSL-Anforderungskriterien auf allen Checkout-Seiten festlegen. So hilft WooCommerce bei der Einhaltung der PCI-Standards, indem es eine verbesserte Sicherheit durch SSL gewährleistet. Es ist jedoch wichtig, dass Sie sich bei Ihrem Website-Hosting-Provider erkundigen, ob er das SSL-Zertifikat anbieten kann.

HTTP-zu-HTTPS-SSL-Zertifikat

WordPress-Anmeldesystem

Das WordPress-Anmeldesystem ist eine weitere Möglichkeit, die WooCommerce zur Unterstützung der PCI-Konformität verwendet. Es ermöglicht die Einstellung verschiedener Ebenen des Benutzerzugriffs auf sensible Kreditkarteninformationen. Das bedeutet, dass Sie verschiedene Benutzerrollen erstellen und einen eindeutigen Anmeldezugriff festlegen können, um eine bessere Sicherheit zu gewährleisten.

Beispielsweise kann ein Blogpost-Autor auf Ihrer Website nur Posts erstellen und bearbeiten, hat aber keine Berechtigung, auf WooCommerce-Kundendaten zuzugreifen oder diese anzuzeigen. Es ist also wie die Einrichtung eines „Need-to-Know-Only“-Zugriffs, der Ihnen dabei helfen kann, die PCI-Anforderungen einzuhalten.

Auf diese Weise bietet WooCommerce durch die Integration der oben genannten PCI-Compliance-Anforderungen ein beträchtliches Maß an Sicherheit.

Speichert WooCommerce Kreditkarteninformationen?

kreditkartenzahlung-e-commerce-shopping

Das WooCommerce-Kern-Plugin speichert keine Kreditkarteninformationen, selbst wenn ein Kunde die Zahlungsmethode für die zukünftige Verwendung speichert, werden nur die letzten 4 Ziffern der Kreditkarte gespeichert.

Wenn Sie also fragen, ob mein E-Commerce-Shop PCI-konform sein muss, lautet die Antwort NEIN. Dies ist nur der Fall, wenn Ihr WooCommerce-Shop mit dem Kern-Plugin arbeitet und keine Karteninhaberdaten speichert, überträgt oder verarbeitet. In solchen Fällen werden Zahlungen extern abgenommen – indem ein Gateway verwendet wird, das normalerweise seine Server verwendet, um Zahlungen zu erhalten.

Wenn Sie jedoch Plugins von Drittanbietern verwenden, die möglicherweise Karteninhaberinformationen speichern, oder wenn Sie Kreditkartendaten gemäß den PCI-Standards erfassen, übertragen und verarbeiten, muss Ihre Website PCI-DSS-konform sein.

Das könnte Ihnen auch gefallen: Magento vs. Shopify vs. WooCommerce: The E-Commerce Battle.

Fazit & FAQ

woocommerce-pci-compliance-fragen-antworten-faq-abfrage-hilfe

Zusammenfassend ist WooCommerce nicht vollständig konform mit den PCI-Standards. Es bietet jedoch ein gewisses Maß an Schutz vor Datenverlust oder dem Hacken sensibler Karteninhaberinformationen gemäß den PCI-Konformitätsanforderungen. Darüber hinaus bietet es auch die Flexibilität, Ihren WooCommerce-Shop PCI-konform zu machen, indem Sie endgültige Maßnahmen ergreifen, die im FAQ-Abschnitt dieses Artikels besprochen wurden.

F. Ist WordPress PCI-konform?

Nein; WordPress ist nicht vollständig PCI-konform und erfüllt nur die Anforderungen gemäß den Richtlinien des Payment Card Industry Security Standards Council. Die Plattform kann jedoch nahtlos aktualisiert werden, um andere PCI-konforme Funktionen zu integrieren und das Zahlungssystem Ihrer Website vollständig sicher gegen Hacking und Datenverlust zu machen.

F. Ist Shopify PCI-konform?

Shopify ist eine weitere führende E-Commerce-Plattform, die es Handelsunternehmen ermöglicht, den Kunden ein sicheres Einkaufserlebnis zu bieten, indem sie sich an die Best Practices der Branche in Bezug auf Sicherheitssysteme halten. Es handelt sich um eine zertifizierte PCI-DSS-konforme Plattform der Stufe 1, die alle sechs PCI-Konformitätsanforderungen erfüllt:

  • Sichere Karteninhaberdaten.
  • Pflegen Sie ein sicheres Netzwerk.
  • Netzwerke regelmäßig testen und überwachen.
  • Richten Sie ein Schwachstellen-Management-Programm ein.
  • Pflegen Sie eine umfassende Datensicherheitsrichtlinie.
  • Richten Sie strenge Zugriffskontrollmaßnahmen ein.

Im Gegensatz zu WooCommerce gewinnt Shopify also das Spiel, wenn es um die Einhaltung der PCI-DSS-Standards geht.

F. Wie mache ich WordPress PCI-konform?

Um Ihre WordPress-Website PCI-konform zu machen, ist es zunächst wichtig, einen Zahlungsabwickler auszuwählen, der die PCI-Standards einhält. Wählen Sie einen Prozessor aus, der ein sicheres Zahlungsgateway bereitstellt. Erst dann können Sie mit den folgenden Schritten fortfahren, um WordPress PCI-konform zu machen:

  • Legen Sie Ihre Händlerstufe fest: Die Regeln für die PCI-Konformität variieren je nach Transaktionsvolumen Ihres Unternehmens. Daher müssen Sie zuerst Ihre Händlerstufe bestimmen. Wenn Sie beispielsweise ein kleines Unternehmen sind, können Sie sich für Level 4 qualifizieren, das den einfachsten Compliance-Prozess hat.
  • Füllen Sie den Fragebogen zur Selbsteinschätzung aus: Füllen Sie den Fragebogen zur Selbsteinschätzung (SAQ) aus, der Ihnen helfen wird, Ihre aktuelle Risikoexposition zu verstehen.
  • Integrieren Sie einen zugelassenen Scanning-Anbieter: Der ASV kann automatisierte Tools verwenden, um potenzielle Schwachstellen in der Hardware und Software zu identifizieren, die Zahlungsdaten sammelt und verarbeitet.
  • Holen Sie sich ein SSL-Zertifikat: Ein SSL-Zertifikat gibt Ihren Kunden die Gewissheit, dass sie eine verschlüsselte und direkte Verbindung zu Ihrer Website haben. Die „HTTPS“-Domäne Ihrer Website ist ein zusätzlicher Sicherheitsnachweis, der die PCI-Standards erfüllt.
  • Verwenden Sie die richtigen Tools und Plugins: Die Verwendung der richtigen Plugins und Tools für Ihren WordPress- oder WooCommerce-Shop kann Ihrem E-Commerce-Shop eine zusätzliche Sicherheitsebene bieten. Beispielsweise verfügt WordPress über Admin-Steuerelemente, mit denen Sie den Zugriff auf Karteninhaberinformationen einschränken und so einen verbesserten Datenschutz und Privatsphäre gewährleisten können.
  • Weitere Schritte zur Zahlungsüberprüfung: Während der Zahlung benötigen die meisten Zahlungsgateways den Namen des Karteninhabers, die Kreditkartennummer und das Ablaufdatum der Karte. Diese Daten können leicht von Cyberkriminellen gehackt werden, was zu jährlichen Verlusten in Milliardenhöhe führt. Das Einfügen zusätzlicher Verifizierungsdetails wie CVV, Rechnungsadresse, Sicherheitsfragen oder OTP kann für mehr Sicherheit sorgen.
  • Bleiben Sie mit den neuesten Sicherheitsrichtlinien auf dem Laufenden: Zusätzlich zu den oben genannten Schritten ist es auch wichtig, über die neuesten Sicherheitsrichtlinien und -trends auf dem Laufenden zu bleiben. Dies bringt Sie einen Schritt weiter, um PCI-konform zu werden. Neuester Virenschutz, regelmäßige Software-Updates, Malware-Scans und Sicherheitspatches sind ein Muss, um eine verbesserte Website-Sicherheit zu gewährleisten. Darüber hinaus müssen Ihre Mitarbeiter geschult werden, um Zahlungsdaten sicher und effizient zu verwenden.