WooCommerce PCI-Konformität ULTIMATIVES Handbuch zur PCI-Konformität

von | 19. Oktober 2020

Wenn Sie als E-Commerce-Shop-Inhaber PCI DSS oder den „Data Security Standard der Zahlungskartenindustrie“ entdecken, könnte Ihr erster Gedanke sein, dass WooCommerce PCI-kompatibel ist? Ihr zweiter Gedanke könnte sein, ob meine Hosting-PCI kompatibel ist? Und die Fragen hören hier nicht auf. Nach ein wenig Recherche könnten Sie sich fragen, ob meine WooCommerce Payment Gateway Plugins PCI-kompatibel sind.

PCI DSS ist ein so großes Thema, das viele Betriebsstandards für Daten in E-Commerce-Stores definiert. Sie können sicher sein, dass WooCommerce diesen Standard im Auge hat und alles in seiner Macht stehende tut, um sicherzustellen, dass sein Teil Ihres Geschäfts PCI-konform ist .

WooCommerce hat tatsächlich eine großartiger Artikel Beschreiben Sie, wofür sie als Softwareanbieter verantwortlich sind - und welche Dinge sie nicht kontrollieren können, die sich direkter auf Ihre Geschäftstätigkeit beziehen. Der entscheidende Punkt hierbei ist, dass WooCommerce in seinem Ansatz PCI-konform ist, aber das bedeutet nicht automatisch, dass Ihr Unternehmen PCI-konform ist - Sie müssen eine Rolle dabei spielen. Wenn Sie diese Anleitung befolgen, können Sie die Rolle minimieren, die Sie bei der Erstellung Ihres mit WooCommerce PCI-kompatiblen E-Commerce-Shops spielen MÜSSEN.

Mein Ziel ist es auch, einen Referenzartikel bereitzustellen, auf den Sie in Zukunft verweisen können, falls jemals die Frage nach der PCI-Konformität im E-Commerce auftaucht. PCI-konform mit Ihrem WooCommerce-Shop zu sein, ist eigentlich nicht schwierig. Abgesehen davon, dass ich Ihnen dabei helfen kann, PCI-Konformität im E-Commerce zu erreichen, bin ich hier, um Ihnen ein beruhigendes Gefühl zu geben, damit Sie eine Sache weniger überlegen müssen und wieder Ihren florierenden E-Commerce-Shop betreiben können.

(Wenn wir über die WooCommerce-PCI-Konformität sprechen, schließen wir natürlich die WordPress-PCI-Konformität nicht aus, da es sich um das zugrunde liegende Content-Management-System handelt. Wenn Sie jedoch WordPress mit einer anderen E-Commerce-Lösung wie Easy Digital Downloads verwenden, verweise ich darauf Informationen zu diesen Plugins in Bezug auf die PCI-Konformität. In diesem PCI-Konformitätshandbuch sollten Sie jedoch die richtigen Fragen zu den von Ihnen verwendeten WordPress-Plugins stellen.

PCI-Konformitätshandbuch für Online-Business und E-Commerce für WooCommerce-Store-Besitzer

Was wirkt sich die PCI-Konformität auf mein E-Commerce-Geschäft aus?

Ich nehme mir eine kurze Sekunde Zeit, um die PCI-Konformität in Szene zu setzen, falls Sie die PCI-Konformität selbst noch nicht vollständig erforscht haben und gerade über diese Anforderung gestolpert sind.

Bei PCI DSS geht es im Wesentlichen darum, Daten sicher zu halten.

Als E-Commerce-Shop interagieren Sie mit Kunden und deren sehr sensiblen Zahlungskarten und ähnlichen Daten. Um zu verhindern, dass diese sensiblen Daten gestohlen oder missbraucht werden, gibt es daher einen Standard, den E-Commerce-Händler (und Offline-Unternehmen) zum Wohle aller einhalten müssen. Niemand möchte, dass ihre Daten gehackt oder gestohlen werden.

Aus egoistischer Sicht möchten Sie als E-Commerce-Websitebesitzer nicht für einen Datenverstoß verantwortlich sein und letztendlich für Geldstrafen, Rechtsstreitigkeiten und mehr haftbar gemacht werden. Ja, das ist so ernst!

Die PCI-Anforderungen legen daher fest, wie mit Daten umgegangen werden soll, um sicherzustellen, dass alle beim Einkaufen sicher sind und Sie, der Ladenbesitzer, gerichtlich frei bleiben.

Wenn Sie näher darauf eingehen möchten, empfehlen wir Ihnen, zum PCI Security Standards Website - Aber für den Zweck dieses Handbuchs haben wir die Szene festgelegt, und Sie sollten jetzt mit der Idee an Bord sein, dass PCI-Konformität keine Option ist und Sie Ihren Lebensunterhalt nicht riskieren möchten.

WooCommerce PCI Compliance - Ihre Verantwortung gegenüber Woo's

PCI-Konformitätsbereich12 PCI-DSS-KernanforderungenWas beeinflusst Compliance?
BAUEN UND ERHALTEN SIE EIN SICHERES NETZWERK1. Installieren und pflegen Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen
2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter		1. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
2. Ihre Verantwortung - verwenden Sie überall sichere Passwörter
SCHÜTZENDATEN SCHÜTZEN3. Schützen Sie gespeicherte Karteninhaberdaten
4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene öffentliche Netzwerke		3. WooCommerce selbst speichert keine Kartendaten - aber Ihr Zahlungsgateway beeinflusst dies
4. Ihre Verantwortung - installieren Sie ein SSL und erzwingen Sie es
BEHALTEN SIE EIN VULNERABILITY MANAGEMENT-PROGRAMM5. Verwenden Sie Antivirensoftware und aktualisieren Sie diese regelmäßig
6. Entwickeln und warten Sie sichere Systeme und Anwendungen		5. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
6. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
IMPLEMENT STARKE ZUGRIFFSKONTROLLMASSNAHMEN7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Anforderungen
8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten		7. Ihre Verantwortung. WooCommerce bietet eine Anmeldesteuerung für Benutzerrollen, um den Zugriff auf Daten nach Rollen zu beschränken (wenn tatsächlich Kartendaten gespeichert werden).
8. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
9. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
REGELMÄSSIG ÜBERWACHUNGS- UND TESTNETZWERKE10. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten
11. Testen Sie Sicherheitssysteme und -prozesse regelmäßig		10. Hosting-Auswahl (wenn tatsächlich Kartendaten gespeichert werden)
11. Hosting-Auswahl / Ihre Verantwortung (wenn tatsächlich Kartendaten gespeichert werden)
BEHALTEN SIE EINE INFORMATIONSSICHERHEITSPOLITIK12. Pflegen Sie eine Richtlinie zur Informationssicherheit12. Ihre Verantwortung

Wenn Sie diese Tabelle von oben nach unten gelesen haben, in der die Kernanforderungen von PCI DSS 12 und Ihre Verantwortlichkeiten aufgeführt sind, haben Sie möglicherweise festgestellt, dass die Aussage „Wenn tatsächlich Kartendaten gespeichert werden“ VIEL auftaucht.

Dies liegt daran, dass Sie als E-Commerce-Shop-Besitzer eine Wahl haben, aber Sie wären dumm, die falsche Option zu wählen (meiner Meinung nach).

Option 1 - Sie können den Weg des Speicherns von Kartendaten beschreiten und müssen sichere Server ausführen, regelmäßige Scans durch "Approved Scanning Vendors" durchführen, Richtlinien und Papierkram erledigen und Probleme (Kosten) verursachen.

Oder;

Option 2 - Sie können sich darauf konzentrieren, ein E-Commerce-Unternehmen zu sein, und sich so einrichten, dass Ihre PCI-Compliance-Anforderungen so einfach wie das Ausfüllen eines kurzen Fragebogens sind und gleichzeitig die Sicherheit aller Daten und Ihre Kosten auf ein absolutes Minimum beschränkt bleiben.

Wenn Sie immer noch über Option 1 nachdenken, müssen Sie einen überzeugenden Fall finden, um mich davon zu überzeugen, dass Option 2 nicht die richtige Wahl für Ihr E-Commerce-Geschäft ist.

Ist WooCommerce PCI-konform?

Soweit WooCommerce IHR E-Commerce-Geschäft dabei unterstützen kann, PCI-konform zu sein, hält WooCommerce das Schnäppchen und bietet Ihnen ein PCI-konformes Core-Plugin.

WooCommerce macht es auch wirklich einfach, PCI-konform zu bleiben, wenn Sie nichts Dummes tun.

Ist Shopify PCI-konform?

Ähnlich wie bei WooCommerce ist Shopify PCI-konform, sofern Shopify Ihr Unternehmen bei der Erfüllung der PCI-Konformitätsanforderungen unterstützen kann. Aber es ist nicht Shopify, das PCI-konform sein muss, sondern SIE und IHR Unternehmen - und wie bei WooCommerce müssen Sie das Ende der Abmachung aufhalten - und das ist nur ein Papierkram.

Gilt die PCI-Konformität für mich oder nicht?

PCI DSS-Konformität Gilt für Sie.

Wie belastend diese Compliance-Anforderung ist, hängt weitgehend davon ab, welche Technologie Sie IN KOMBINATION mit WooCommerce verwenden - zusammen mit Dingen, die wir als „Grundlagen an Ort und Stelle“ bezeichnen.

Was sind die Grundlagen für die PCI-Konformität, wenn ich keine Kartendaten speichere?

Wenn Sie sie nicht aus der obigen Tabelle entnommen haben, sind sie hier in Listenform:

  • SSL-Zertifikat vor Ort erzwungen
  • Starke Passwörter für den Zugriff auf Serverebene (Hosting-Konto)
  • Auf der Website verwendete sichere Passwörter (WordPress-Login)
  • Fragebogen A-EP (dazu später mehr)

Was sind die technologischen Anforderungen für die PCI-Konformität mit WooCommerce?

Wenn Sie noch nicht gesammelt haben, ist es Ihr Ziel, das Speichern von Kartendaten zu vermeiden.

Wenn Sie das Speichern von Kartendaten vermeiden, werden die Anforderungen an die PCI-Konformität erheblich vereinfacht.

Wie vermeiden Sie das Speichern von Kartendaten mit WooCommerce?

Dies hängt alles von Ihrer Auswahl an Payment Gateway oder Payment Plugin für Ihren WooCommerce-Shop ab.

Wenn Sie an Ihrer Kasse ein Zahlungsgateway verwenden, das verhindert, dass Sie, Ihre Website oder Ihre Server jemals die von Kunden eingegebenen Kreditkartendaten sehen, geben Sie im Wesentlichen den Löwenanteil der Verantwortung für die PCI-Konformität an die Fachleute weiter.

Zahlungsgateway-Anbieter wie Stripe befassen sich mit PCI-Compliance für ein LEBEN. Es ist das, was sie tun. Lassen Sie SIE es also tun und befreien Sie sich von der überwiegenden Mehrheit der PCI-Compliance-Anforderungen.

Wie können Zahlungsgateways und Plugins meine PCI-Konformitätsanforderungen reduzieren?

Das konventionellste und krasseste Beispiel dafür, dass ein Zahlungsanbieter die Verantwortung für die Speicherung von Kartendaten (und damit den Großteil der PCI-Konformitätsanforderungen) von Ihnen übernimmt, ist PayPal.

Jeder hat eine Checkout-Erfahrung gemacht, bei der er sich für "Bezahlen mit PayPal" entschieden hat und dann ein Popup oder einen neuen Bildschirm mit der Aufschrift "Weiterleiten an PayPal" erhalten hat.

Im Wesentlichen werden die Zahlung, die Kartendaten und alles andere, was mit der Transaktion zu tun hat, auf der PayPal-Website und ihren Servern erfasst - nicht auf Ihren.

(Sie erfassen offensichtlich immer noch wichtige personenbezogene Daten in den Augen von DSGVODenken Sie also daran, dass dies eine weitere Anforderung ist, die Sie beachten müssen, aber das gilt für einen anderen Tag.)

Müssen Kunden auf die Website des Zahlungsanbieters umgeleitet werden, um PCI-konform mit WooCommerce zu sein?

Kurz gesagt, nein.

Stripe ist ein hervorragendes Beispiel für einen Zahlungsgateway-Anbieter, der mithilfe von Technologie Kreditkarteneingabefelder auf der Checkout-Seite Ihrer Website platziert.

Obwohl sich diese Kreditkarten-Eingabefelder auf Ihrer Webseite befinden, werden die Felder im Wesentlichen von Stripe gehostet. Dies bedeutet wiederum, dass Ihre Server NIEMALS die sensiblen Kundenkartendaten in die Hände bekommen.

In diesem Beispiel werden bei Verwendung von Stripe die Kreditkarteninformationen von Stripe in einen verschlüsselten Schlüssel umgewandelt und in einem nicht verwendbaren Format an Sie zurückgegeben.

Stripe ist seit Jahren führend bei dieser Technologie - sie wurden 2011 gegründet und wir sind seit 2012 bei ihnen. Sie waren absolut solide und viele Spieler wie PayPal haben versucht, mitzuhalten ihr eingebettetes Zahlungsformular bietet seit Jahren. Meiner Meinung nach ist Stripe bei weitem der führende Anbieter von Lösungen für eingebettete Zahlungsformulare für E-Commerce-Geschäfte im Allgemeinen, insbesondere für WooCommerce-Geschäfte.

Möglicherweise hören Sie Leute über "Zahlungen vor Ort" und "Zahlungen außerhalb des Standorts" sprechen.

Zur Hölle, sogar die WooCommerce-Zahlungsgateways-Erweiterungsliste kann nach "vor Ort" und "außerhalb" gefiltert werden.

Vielleicht ist das ein Rückschritt.

Wenn Sie jedoch Dinge wie "Vor-Ort-Zahlungen erfordern die Einhaltung strenger PCI-Compliance-Anforderungen" und "Off-Site-Zahlungen bedeuten, dass die PCI-Compliance-Anforderungen erheblich gelockert werden" hören, kann dies zu unnötiger Verwirrung führen.

Im Wesentlichen werden die eingebetteten Zahlungsfelder von Stripe mithilfe Ihrer Themenstile in Ihre Checkout-Seite „gestylt“, sodass sie wie „Ihr“ Zahlungsformular aussehen. Dies kann von Ladenbesitzern als "Zahlungen vor Ort" bezeichnet werden. Was aus der Perspektive richtig ist, dass der Benutzer NICHT von Ihrer Website umgeleitet wird, um zu zahlen.

Im Zusammenhang mit der Kreditkartenzahlung erfolgt die Zahlung jedoch trotz des Formulars "vor Ort" "außerhalb des Standorts".

Diese Unterscheidung wird wirklich eine Menge Verwirrung und endlose Nachforschungen derselben Dinge immer und immer wieder hervorrufen.

Muss mein Hosting PCI-konform sein, wenn ich keine Kreditkartendaten speichere?

Wenn Ihre Hosting-Server niemals Kreditkartendaten sehen und Sie die oben genannten Grundlagen haben, kommen die Server Ihres Hosting-Anbieters nicht mit sensiblen Zahlungskartendaten in Kontakt.

Die oben beschriebenen PCI-DSS-Anforderungen werden aus der Perspektive geschrieben, dass die Server, auf die sie sich beziehen, die Kreditkartendaten empfangen.

Wenn Sie keine Kreditkartendaten auf Ihren Hosting-Servern speichern, müssen diese daher nicht PCI-konform sein. Tatsächlich könnte es wirklich über Bord gehen und letztendlich zu erheblichen Mehrkosten führen.

Fragebogen PCI DSS - A-EP für E-Commerce-Unternehmen

Sie haben vielleicht bemerkt, dass ich über einem seltsam klingenden Fragebogen in die Liste „Grundlagen an Ort und Stelle“ aufgenommen wurde.

Ja. Wenn Sie die Schritte befolgt und Ihre Kartendatenverarbeitung an einen Drittanbieter ausgelagert haben, haben Sie Ihre PCI-Konformitätsanforderungen auf einige einfache Vor-Ort-Aktionen (Kennwörter und SSLs) und einen bloßen Papierkram reduziert.

Und da dachten Sie, Sie brauchen ein Maß an Datensicherheit der 'Bank of America'!

Es gibt mehrere Fragebögen zur PCI-Konformität. Diejenige, die für E-Commerce-Shops gilt, heißt Fragebogen A-EP. Dies ist, wer der Security Standards Council sagt, dass A-EP anwendbar ist auf:

E-Commerce-Händler, die die gesamte Zahlungsabwicklung an von PCI DSS validierte Dritte auslagern und über eine Website verfügen, die keine Karteninhaberdaten direkt empfängt, die jedoch die Sicherheit des Zahlungsvorgangs beeinträchtigen kann. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers.
Gilt nur für E-Commerce-Kanäle.

Rat für Sicherheitsstandards - PCI DSS

Wenn Sie also den Fragebogen ausfüllen möchten, finden Sie hier einen Link zu der Seite, auf der Sie alle vom Security Standards Council erhältlichen Fragebögen sehen können. PCI-Fragebögen.

Was macht man als nächstes?

Wenn Sie bereits einen WooCommerce-Shop betreiben und auf PCI-Konformität gestoßen sind, sollten Sie einige Dinge überprüfen.

  1. Sie verwenden ein Zahlungsgateway, das eindeutig angibt, dass es die Seite der PCI-Konformität im Umgang mit Kartendaten übernimmt. Wie Stripe zum Beispiel - Hier sind einige wirklich nützliche Informationen zu Stripe und PCI
  2. Sie verwenden ein Zahlungs-Plugin, um das Zahlungs-Gateway mit WooCommerce zu verbinden, das auch PCI-kompatibel ist - entsprechend dem Ziel, NIEMALS mit Kreditkartendaten umzugehen
  3. Füllen Sie den A-EP-Fragebogen aus, reichen Sie ihn ein und setzen Sie ihn auf eine jährliche Checkliste

Müssen Shopify-Benutzer PCI-konform sein und einen PCI-Fragebogen ausfüllen?

JA! Aber die meisten werden und werden sich einem Restrisiko aussetzen.

Shopify-Filialbetreiber führen ihr Geschäft in der Regel unter dem falschen Eindruck, dass „Shopify alles erledigt“.

Bis zu einem gewissen Punkt können Shopify und WooCommerce alles in ihrer Macht stehende tun, um sicherzustellen, dass sie zur PCI-Konformität Ihres E-Commerce-Geschäfts beitragen. Wenn es jedoch darauf ankommt, können Sie Compliance nicht vollständig „auslagern“, SIE haben immer noch eine Rolle zu spielen - und es sind nur einige Unterlagen.

Shopify macht dies meiner Meinung nach nicht wirklich kristallklar. Es wird hier erwähnt Shopify Artikel von 2018, aber es wird auch abstrakt erwähnt, als ob es für andere Geschäfte gelten könnte und vielleicht nicht für Shopify - wenn Sie nicht genau lesen.

Ist Shopify also mehr oder weniger PCI-konform als WooCommerce?

Es ist eine tote Hitze. Jede Plattform ist von Natur aus PCI-kompatibel wie die andere.

Der Unterschied zu WooCommerce besteht darin, dass Sie sicherstellen sollten, dass Sie keine veralteten oder schlecht konfigurierten Payment Gateway-Plugins verwenden, die Sie letztendlich daran hindern, den Umgang mit Kreditkartendaten vollständig auszulagern.

Wenn es um die PCI-Konformität von Shopify geht, MÜSSEN SIE NOCH DAS PAPIERARBEITEN - so wie Sie es tun, um mit WooCommerce PCI-konform zu sein.

Wir empfehlen Stripe Payment Gateway mit dem Stripe WooCommerce Plugin

Stripe ist ein fantastischer Zahlungsgateway-Anbieter, der nicht nur Kreditkartenzahlungen anbietet, sondern jetzt auch Lastschrift- und BACS-Zahlungen (UK) sowie ACH-Zahlungen (USA) abwickelt.

Stripe verwendet die eingebetteten Eingabefelder, um sowohl die PCI-Konformitätsanforderungen für die Kartenverarbeitung für Sie zu erfüllen als auch Ihre Kunden vor Ort zu halten, um die Conversion-Rate für die Kaufabwicklung zu maximieren.

Das Stripe Plugin für WooCommerce wurde von WooCommerce selbst geschrieben und unterstützt, was bedeutet, dass die Kompatibilitätsstufen zwischen dem Stripe Plugin und Core WooCommerce so hoch sind, wie Sie es erreichen werden.

Mit Stripe ist die PCI-Konformität unkompliziert, ohne dass hohe Zahlungsgebühren anfallen, wie dies bei vielen Zahlungsanbietern der Fall ist. (Mit all diesen belastenden PCI-Konformitätsanforderungen verstehen Sie jetzt möglicherweise etwas mehr darüber, warum Ihnen für Ihre Kreditkartentransaktionen Zahlungsgebühren berechnet werden - Sie wissen jetzt, wofür Sie bezahlen.)

FAQs zur WooCommerce PCI-Konformität

Speichert Woocommerce Kreditkarteninformationen?

Das Kern-WooCommerce-Plugin verfügt standardmäßig nicht über eine integrierte Zahlungsverarbeitungsfunktion. Dies bedeutet, dass Kreditkarteninformationen ohne die Unterstützung eines Plugins oder Zahlungsprozessors eines Drittanbieters nicht erfasst oder verarbeitet werden können.
WooCommerce Payments ist jedoch ein Dienst, der ZUSÄTZLICH zum Kern-WooCommerce-Plugin angeboten wird - in diesem Fall fungiert das WooCommerce Payments-Gateway als Zahlungsanbieter -, aber auch hier speichern oder verarbeiten das Kern-WooCommerce-Plugin und das WordPress-CMS keine Kreditkarte Information.

Unterscheidet sich die PCI-Konformität von WordPress von der PCI-Konformität von WooCommerce?

Unabhängig davon, ob Sie WooCommerce mit WordPress oder einem anderen E-Commerce-Plugin wie Easy Digital Downloads verwenden, bleiben die PCI-Konformitätsanforderungen gleich. Obwohl ich hier nicht die PCI-Konformität von Easy Digital Downloads kommentiere.
Grundsätzlich besteht hier der Wunsch, ein Zahlungsgateway zu verwenden, das die überwiegende Mehrheit der PCI-Compliance-Anforderungen erfüllt.