PCI-DSS Compliance mit Magento 2

In diesem Artikel beschäftigen wir uns damit, was PCI-DSS überhaupt ist, was PCI -DSS Compliance bedeutet, warum und wann das für Magento 2 HändlerInnen relevant ist und was man für PCI Compliance beachten muss.

Hinweis

Wenn Sie Ihre PCI-DSS Compliance nachweisen müssen, verlassen Sie sich nicht alleine auf diesen Artikel, sondern holen Sie sich fachliche Unterstützung. Mein Text ersetzt keine ExpertInnen in diesem Gebiet.

Was ist PCI-DSS?

Kreditkarten-Unternehmen ist es wichtig, dass die Kreditkarten-Daten und Debit-Card-Daten ihrer KundInnen sicher behandelt werden. Sie haben den PCI-DSS Standard entwickelt, um das sicherzustellen. PCI-DSS steht für „Payment Card Industry Data Security Standard“.

PCI-DSS ist also ein Regelwerk, auf das sich alle wichtigen Kreditkartenorganisationen in einem Zusammenschluss namens „PCI Security Standards Council“ geeinigt haben. Mehr zum „Council“ findet sich auf der offiziellen Seite pcisecuritystandards.org. Dort finden Sie außerdem ausführliche Erklärungen und Hilfestellungen zu PCI-DSS.

Was bedeutet PCI-DSS Compliance?

„PCI Compliance“ bzw. länger „PCI-DSS Compliance“ bedeutet, dass ein Unternehmen sich an die Regeln von PCI-DSS hält. Die Kreditkartenfirmen verlangen von Unternehmen dass sie PCI-DSS konform sind wenn sie Kreditkartendaten speichern, verarbeiten oder übertragen.

Achtung!

Was häufig missverstanden wird: PCI-DSS Compliance betrifft das ganze Unternehmen, nicht nur eine einzelne Anwendung oder eine Abteilung, die mit Kreditkartendaten arbeitet.

Es gibt je nach Höhe des Umsatzes und der Art der Kreditkartendaten-Verwendung verschiedene Stufen („Levels“). Je nach Stufe muss man unterschiedliche Fragebögen ausfüllen und je nach Risiko verschiedene Maßnahmen ergreifen. Dazu gleich mehr.

Was ist der Unterschied zwischen PA-DSS und PCI-DSS?

Neben PCI-DSS gibt es auch PA-DSS („Payment Application Data Security Standard“). Dieser Standard beschreibt, wie man eine Software sicher und gemäß des PCI-DSS-Standards entwickelt, so dass sie sicher mit Kreditkartendaten umgeht.

Achtung!

Man liest das sehr oft, aber es stimmt so nicht: eine einzelne Software kann nicht PCI-DSS konform sein, nur PA-DSS konform.

Warum das für Sie wichtig ist?

Viele Software-Anbieter sagen, dass ihre Anwendung PCI-konform ist. Tatsächlich ist es so: diese Software unterstützt Sie nur dabei PCI-konform zu sein, indem es selbst die nötigen Richtlinien umsetzt. Für PCI-DSS-Konformität muss immer noch Ihr Unternehmen selbst sorgen.

Dazu gehört einerseits, dass die Software selbst entsprechend der Anleitungen eingerichtet und betrieben wird, und andererseits die sonstigen Abläufe in Ihrer Organisation.

Was sind die Anforderungen?

Grob gesagt gibt es zwölf Anforderungen, die einzuhalten sind. Hier genauer darauf einzugehen würde den Rahmen sprengen, aber die Hauptpunkte sind:

  1. Installation und Wartung einer Firewall, um Karteninhaber-Daten zu schützen.
  2. Nicht die vom Lieferanten übermittelten Standard-Passwörter und Sicherheitseinstellungen verwenden.
  3. Gespeicherte Karteninhaber-Daten schützen.
  4. Übermittlung von Karteninhaber-Daten über offene, öffentliche Netzwerke schützen.
  5. Verwenden und regelmäßiges Aktualisieren von Antivirus-Software.
  6. Entwicklung und Wartung von sicheren Systemen und Anwendungen.
  7. Beschränkung des Zugriffs auf Karteninhaber-Daten auf jene Unternehmen(steile), die Zugriff benötigen.
  8. Zuweisung einer eindeutigen ID zu jeder Person mit Computer-Zugang.
  9. Beschränkung des physischen Zugriff auf Karteninhaber-Daten.
  10. Tracking und Monitoring aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaber-Daten.
  11. Regelmäßiger Test der Sicherheitssysteme und -prozesse.
  12. Pflegen von Richtlinien, die Informationssicherheit behandeln.

Auch Magento listet sie auf der Seite „PCI Compliance Guidelines“ in der Magento-Dokumentation auf.

Wann ist PCI-DSS für Magento 2 Shops relevant?

Vereinfacht gesagt: immer dann, wenn man in Ihrem Shop mit Kreditkarten zahlen kann. Oder auch Debit-Karten, die in Österreich in letzter Zeit häufiger werden.

Wie dringlich und aufwändig das Thema für Sie ist, hängt primär von drei Komponenten ab:

  1. Bei welchem Zahlungsanbieter Sie sind
  2. Wieviele Transaktionen / wieviel Transaktionsvolumen Sie im Jahr haben
  3. Wie Zahlungen in Ihrem Shop eingebunden sind

Jeder Zahlungsanbieter hat basierend auf dem Standard sein eigenes „Compliance-Programm“. Das heißt auch: jeder kann das ein wenig anders handhaben. Wenden Sie sich an Ihren Zahlungsanbieter bzw. Acquirer, wenn Sie Fragen dazu haben.

Außerdem gilt: in der Regel wendet sich der Anbieter bei Ihnen, wenn er einen Nachweis Ihrer PCI-DSS Konformität haben möchte. Manche verzichten bei kleineren Transaktionszahlen (zum Beispiel weniger als 20.000 Bestellungen im Jahr) auf einen Nachweis.

Wichtig ist zudem, wieviele Karten-Transaktionen Ihr Unternehmen in einem Jahr hat bzw. welches Volumen abgewickelt wird. Denn: je mehr Kunden-Daten oder umso höhere Beträge auf dem Spiel stehen, desto mehr Risiko besteht für Sie und das Kreditkarten-Unternehmen.

Und zuletzt gibt es verschiedene Möglichkeiten, wie Karten-Zahlungen in Ihrem Shop eingebunden sind bzw. wie diese verarbeitet werden. Das sehen wir uns direkt im nächsten Abschnitt an.

Die unterschiedlichen Stufen

Es gibt vier Stufen („Level“), in die Unternehmen vor allem anhand der Zahl der Transaktionen (aber nicht nur) eingestuft werden.

Die erste, sehr wichtige Unterscheidung fällt zwischen „Level 1“ und dem Rest. Als Level 1 kann eingestuft werden, wer mehr als 6 Millionen Karten-Transaktionen im Jahr abwickelt, bereits Opfer eines Angriffs wurde oder von einem anderen Kartenunternehmen als „Level 1“ eingestuft wurde. Hier muss eine regelmäßige Validierung durch einen externen „Quality Security Assesor“ (QSA) erfolgen.

Andere Unternehmen werden in „Level 2“ bis „Level 4“ abgestuft. Sie können die Validierung durch einen Selbsteinstufungs-Fragebogen, auf Englisch „Self-Assessment Questionnaire (SAQ)“ abwickeln.

Bei den SAQs kommt nun die Frage ins Spiel, wie Kreditkarten-Zahlungen in Ihrem Shop verarbeitet werden. Es gibt etliche Abstufungen (siehe „Assessing the security of your cardholder data„), aber die drei wichtigsten Einstufungen sind:

FragebogenVerarbeitung der Kreditkarten-Zahlungen
ADie Zahlungen werden komplett bei einem externen, PCI-DSS konformen Third-Party-Anbieter abgewickelt. Das ist häufitg der Fall, wenn man bei der Zahlung auf einer andere URL (z.B. paypal.com) umgeleitet wird.
A-EPDie Zahlungen werden innerhalb der Seite des eigenen Shops abgewickelt, aber die Kartendaten werden direkt vom Third-Party-Anbieter verarbeitet und gehen nicht durch den Server des Webshops. Das sollte z.B. bei iFrame-Lösungen im Checkout und Anbietern wie PayPal Express der Fall sein.
DSonstige Lösungen, zum Beispiel wenn die Karten-Daten direkt in der Webshop-Datenbank gespeichert werden oder durch den Server des Webshops verarbeitet werden.
Wichtigste Formen der „Self-Assessment Questionnaires“ (SAQ) für PCI-DSS Compliance

Von oben nach unten, bzw. alphabetisch gilt: wer sich als „A“ einstuft, hat die kürzeste und einfachste Einstufung, während im Extremfall „D“ mehrere hundert Fragen abzuarbeiten sind.

Wie hilft Magento 2 bei der PCI-DSS Compliance?

Wie bereits festgestellt, kann Magento 2 als Software gar nicht PCI-DSS konform sein, sondern nur PA-DSS compliant sein und durch Maßnahmen unterstützen, Ihr Unternehmen konform zu machen.

Die erste Unterstützung durch Magento 2 selbst ist, dass PCI-DSS A konforme Zahlungsanbindungen existieren. Konkret heißt das: Magento bietet in Open Source und Commerce nativ Zahlungen z.B. mit Braintree und PayPal Express Checkout, bei denen Kreditkarten-Daten komplett außerhalb des Shops abgehandelt werden. Dadurch sinkt das Risiko und man muss nur den einfachsten Fragebogen „A“ ausfüllen. Auch 3rd-Party Payment-Extensions können das erfüllen, aber das muss man jeweils einzeln überprüfen.

Und zudem ist Adobe bzw. Magento Commerce (Cloud) als Level-1-Lösungsanbieter (Solution Provider) zertifiziert. Das heißt: verwendet man Magento Commerce, dann sollte die Validierung des eigenen Unternehmens in dieser Hinsicht dadurch vereinfacht werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.