PCI-Konformität und WooCommerce – Alles, was Sie wissen müssen

Unabhängig davon, ob Sie eine E-Commerce-Website erstellen, warten oder betreiben, müssen Sie sich Ihrer Sicherheitsverantwortung bewusst sein. Glücklicherweise gibt es Standards und Vorschriften, die Ihnen helfen können, Online-Shops, wie sie mit WooCommerce erstellt wurden, sicher und geschützt zu halten. Der bemerkenswerteste unter diesen ist der Payment Card Industry Data Security Standard (PCI-DSS).

Müssen alle WooCommerce-Sites PCI-konform sein?

Nein, nicht alle Websites, die WooCommerce verwenden, müssen PCI-DSS-konform sein. Diese Vorschriften gelten für Unternehmen, die Online-Zahlungen mit Debit- und Kreditkarten akzeptieren. PCI-DSS gilt nicht, wenn Sie WooCommerce verwenden, um einen Online-Katalog anzuzeigen, Angebotsanfragen anzunehmen oder Käufern zu ermöglichen, Bestellungen aufzugeben, die nicht online erfolgen Zahlungen.

Was ist der Zweck der PCI-Compliance?

PCI-DSS soll sicherstellen, dass die übermittelten Informationen nicht in die Hände von Kriminellen gelangen, wenn Ihre WooCommerce-Käufer mit einer Zahlungskarte wie Visa, Mastercard, American Express oder Discover Card bezahlen. Lesen Sie mehr über Was ist die Einhaltung gesetzlicher Vorschriften und wie wirkt sie sich auf die WordPress-Sicherheit aus?

Wer ist für die PCI-Konformität verantwortlich?

Diese PCI-Standards gelten für alle Organisationen, die Karteninhaberdaten akzeptieren, übertragen und/oder speichern. Dazu gehören Händler, Verarbeiter, Acquirer, Issuer und Service Provider. Im Wesentlichen müssen sich alle Organisationen, die Karteninhaberdaten oder vertrauliche Authentifizierungsdaten berühren, an diese Regeln halten.

WooCommerce-Händler sind natürlich darauf angewiesen, dass die Anbieter diese Vorschriften erfüllen. Das umfasst alles von PCI-konformem Hosting bis hin zu sicheren Zahlungsgateways und Prozessoren. Solche Anbieter ermöglichen es auch kleinen Unternehmen und Startups, diese Sicherheitsanforderungen zu erfüllen.

Was macht eine WooCommerce-Website PCI-konform?

Wie bei den meisten Sicherheitsmaßnahmen müssen Händler fortlaufend eine Reihe von Schritten unternehmen, um PCI-konform zu bleiben. Die neueste Version des Dokuments PCI-DSS Requirements and Security Assessment Procedures umfasst 139 Seiten. Glücklicherweise gilt vieles davon für Anbieter wie Zahlungsabwickler und nicht für die Website-Eigentümer selbst.

Letztendlich tragen die folgenden Schritte dazu bei, dass Sie beim Ausfüllen eines PCI-Fragebogens zur Selbsteinschätzung (SAQ) und beim Scannen Ihrer Website, um festzustellen, ob sie die PCI-Anforderungen erfüllt, eine viel einfachere Zeit haben werden. Sie tragen auch dazu bei, Ihre Website vor den meisten Angriffen zu schützen.

Wichtige Punkte, die Sie beachten sollten

• Halten Sie Ihre WordPress-Software auf dem neuesten Stand.
• Aktualisieren Sie WooCommerce und alle anderen WordPress-Plugins und/oder -Erweiterungen.
• In Ihrer Webhosting-Umgebung muss aktuelle Software ausgeführt werden, einschließlich der neuesten Sicherheitspatches.
• Konfigurieren und warten Sie eine Firewall oder wählen Sie einen Host aus, der dies für Sie erledigt. WooCommerce-Webhoster arbeiten oft mit Web Application Firewall (WAF)-Anbietern wie Cloudflare und Sucuri zusammen, um Firewall-Lösungen anzubieten, die rund um die Uhr überwacht werden.
• Übertragen Sie Daten sicher über HTTPS, indem Sie SSL-Zertifikate nutzen.
• Führen Sie Malware-Scanner aus oder wählen Sie einen Host aus, der dies regelmäßig tut. Stellen Sie sicher, dass jeden Tag jemand Sicherheitsberichte sieht – wenn auch nicht in Echtzeit.
• Befolgen Sie die Prinzipien der geringsten Zugriffsrechte und teilen Sie den Zugriff nur mit denen, die ihn unbedingt benötigen. Dies kann grundlegende Schritte umfassen, z. B. den Zugriff auf Ihren WordPress-Adminbereich nur für IP-Adressen auf der Whitelist zu ermöglichen.
• Verwenden Sie eindeutige Benutzer-IDs und sichere Passwörter. Bewahren Sie sie sicher auf und aktualisieren Sie Passwörter mindestens alle 90 Tage.
• Stellen Sie sicher, dass jeder Administrator seine eigenen Anmeldeinformationen hat – teilen Sie keine Anmeldeinformationen.
• Schützen Sie alle Systeme, die mit Ihrer Website interagieren. Dazu gehört das Ausführen aktueller Antivirensoftware auf Computern, die Sie für den Zugriff auf Ihren WordPress-Adminbereich verwenden.
• Hosten Sie andere Anwendungen separat. Dazu gehört das separate Hosting anderer Websites und die Verwendung eines separaten E-Mail-Hostings. Darüber hinaus sollten sich alle alten Kopien Ihrer Website sowie Entwicklungs- oder Staging-Kopien Ihrer Website nicht in Ihrer Produktions-(Live-)Hosting-Umgebung befinden.
• Setzen Sie Intrusion Detection-Systeme (IDS) ein, um Sicherheitsverletzungen frühzeitig zu erkennen und die Folgen zu minimieren.
• Überprüfen Sie weiterhin Ihre Sicherheit und berücksichtigen Sie Änderungen, die an Ihrer Website, Ihrem Personal und Ihren Anbietern vorgenommen wurden.
• Verwenden Sie nach Möglichkeit die Multi-Faktor-Authentifizierung. Erwägen Sie, eine WordPress-Zwei-Faktor-Authentifizierungserweiterung (2FA) hinzuzufügen, um Hackern den Zugriff auf das Backend Ihres WooCommerce-Shops zu erschweren.
• Speichern Sie Protokolle und Sicherungen ordnungsgemäß. Dies ist äußerst wichtig, falls sie im Rahmen einer Verletzungsuntersuchung benötigt werden.

Wie erhalte ich meine PCI-Compliance-Zertifizierung?

Es gibt bestimmte Anbieter, die diesen Service anbieten. Es ist oft eine gute Idee, sich bei Ihrem Zahlungsabwickler und Webhosting-Anbieter zu erkundigen, ob sie solche Dienste anbieten, beinhalten oder empfehlen. Es gibt jedoch eine lange Liste zugelassener Scanning-Anbieter, die vom PCI Security Standards Council erhältlich sind. Denken Sie daran, dass dies kein einmaliger Vorgang ist, sodass Sie hoffen können, viele Jahre mit diesem Anbieter zusammenzuarbeiten.

Garantiert das Bestehen eines PCI-Scans, dass meine WooCommerce-Site sicher und geschützt ist?

PCI-Compliance-Bewertungen befassen sich mit beobachtbaren Sicherheitsrichtlinien und Schwachstellen und konzentrieren sich auf die von Händlern geforderten Mindestsicherheitsbemühungen. Es ist von entscheidender Bedeutung, Ihre Sicherheit aufrechtzuerhalten, nachdem Ihre Site ursprünglich als PCI-konform zertifiziert wurde. Beispielsweise sind Sie weiterhin verpflichtet, neue Sicherheitspatches innerhalb von 30 Tagen nach ihrer Veröffentlichung zu installieren.

Darüber hinaus ist es sehr ratsam, einen proaktiven Sicherheitsansatz zu wählen. Es gibt immer wieder Zero-Day-Events – Fälle, in denen eine neue Sicherheitslücke ausgenutzt wird. In solchen Fällen gibt es noch keine Patches. Am besten nutzen Sie grundlegende Sicherheitstools wie ein Intrusion Detection System (IDS). Dies fungiert als Alarm und gibt Ihnen die Möglichkeit, einen Fall von Hacking schnell zu beheben und einen ansonsten viel schlimmeren Vorfall zu minimieren. Im Allgemeinen können wir sagen, dass es viele Gründe gibt, warum Ihre WordPress-E-Commerce-Lösung sicher sein muss.

Macht die Verwendung eines PA-DSS-Anbieters eine Site PCI-konform?

Zahlungsabwickler, die sich an den Payment Application Data Security Standard (PA-DSS) halten, machen Ihre Website nicht automatisch PCI-konform. Webhoster auch nicht. Selbst wenn Sie einen Zahlungsabwickler verwenden, der Käufer zum Abschluss ihrer Transaktionen außerhalb des Standorts bringt, haben Sie immer noch Verbindlichkeiten. Wenn Sie beispielsweise Ihre Software nicht patchen und Ihre WordPress-Site gehackt wird, könnten Diebe Ihre Kasse gegen ihr eigenes Formular austauschen, um Kreditkartendaten abzuschöpfen. Während einige Zahlungs-Gateways Ihr Risiko einer Sicherheitsverletzung verringern können, können sie Sie nicht von Ihrer gesamten Sicherheitsverantwortung entbinden.

Welche Risiken bestehen, wenn Ihre WooCommerce-Website nicht PCI-konform bleibt?

Wenn Ihre WooCommerce-Website Zahlungskarten akzeptiert und nicht PCI-konform ist, gibt es viele Risiken. Sie könnten gezwungen sein, Gebühren oder Bußgelder zu zahlen, oder Zahlungsabwickler finden, die sich weigern, Ihr Konto zu bedienen – was Ihre Möglichkeit, Online-Zahlungen zu akzeptieren, unterbricht. Aus diesem Grund ist die PCI DSS-Compliance für WordPress E-Commerce- und Business-Websites äußerst wichtig.

Es wird noch schlimmer, wenn Sie eine Datenpanne haben, während Sie die PCI-DSS-Vorschriften nicht einhalten. Es gibt alle Arten von Bußgeldern und Kosten, einschließlich möglicher rechtlicher Schritte. Das geht über Ihren beschädigten Ruf und die Kosten für die Untersuchung und Behebung eines Verstoßes hinaus, was auch zu Ausfallzeiten und Umsatzeinbußen für Ihren WooCommerce-Shop führen kann.

Nach einem Verstoß kann es für Sie viel schwieriger und/oder kostspieliger sein, Zahlungskarten zu akzeptieren, wenn Sie einen Anbieter finden, der bereit ist, Sie zu bedienen. Es hängt wirklich von den Einzelheiten ab, aber wenn festgestellt wird, dass Sie ein hohes Risiko eingehen, weil Sie grundlegende Sicherheitsstandards nicht eingehalten haben, kann dies schwerwiegende Folgen für Ihr Unternehmen haben.

Gibt es Anbieter, die sich darauf spezialisiert haben, WooCommerce-Händlern bei der PCI-Compliance zu helfen?

Ja! Anstatt Käufer beispielsweise Zahlungskarteninformationen übermitteln zu lassen, die Sie aufbewahren, gibt es eine Vielzahl von Zahlungs-Gateways, die Kreditkarteninformationen sicher übertragen können. Dazu gehören Lösungsanbieter wie Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe und mehr!

Es gibt auch einzigartigere Zahlungs-Gateways, die Käufern einzigartige Optionen bieten, wie Affirm, Bread, Katapult, Klarna, Sezzle und ViaBill, die den Verbrauchern Sofort-Kaufen-Zahlen-später-Optionen bieten, und Bolt, das die WooCommerce-Kaufabwicklung durch ersetzt ein hochgradig optimiertes Checkout-Erlebnis. Es gibt sogar B2B-Zahlungslösungen wie PayStand und Apruve.

Ebenso gibt es Webhoster, die darauf spezialisiert sind, Ihre E-Commerce-Hosting-Umgebung sicher zu halten. Während viele Plattformen die PCI-Compliance erwähnen, sollten Sie nach Malware-Scans, Firewalls für Webanwendungen, Intrusion Detection, 24/7-Überwachung und anderen Faktoren Ausschau halten, für deren Verwaltung Sie möglicherweise einen vertrauenswürdigen Anbieter benötigen.

Fazit

Es ist relativ einfach, einen WooCommerce-Shop aufzubauen, aber ohne die richtigen fortlaufenden Sicherheitspraktiken ist dieser Shop nicht vor Hackern geschützt. Wenn das Geschäft Zahlungskarten akzeptiert, sind die Eigentümer der Website dafür verantwortlich, PCI-konform zu sein, und sie müssen Anbieter auswählen, die ebenfalls konform sind. Glücklicherweise gibt es viele großartige Anbieter, aus denen Sie wählen können, um die Einhaltung der PCI-DSS-Vorschriften ziemlich schmerzlos zu machen.