Wir werden häufig gefragt, ob Kinsta PCI-konformes Hosting anbietet, deshalb gehen wir heute auf dieses Thema ein. Vielen ist nicht bewusst, dass jeder E-Commerce-Shop, der Kreditkartendaten verarbeitet, speichert oder überträgt, PCI-konform sein muss, unabhängig vom jährlichen Umsatzvolumen.  Deshalb lohnt es sich, einen Moment innezuhalten, um die PCI-Konformität und ihre Auswirkungen auf dein Unternehmen wirklich zu verstehen.

Was ist PCI?

Der Begriff PCI steht für „Payment Card Industry“. Du hörst ihn oft im Zusammenhang mit dem PCI DSS – dem Payment Card Industry Data Security Standard. Dabei handelt es sich um eine Reihe von Sicherheitsstandards für alle Unternehmen, die Kreditkartendaten annehmen, speichern oder übermitteln, um die Verbraucher zu schützen und einen sicheren Umgang mit Zahlungsdaten zu gewährleisten.

Unternehmen wie American Express, Discover, JCB International, MasterCard und Visa haben ihre eigenen Compliance-Programme, aber sie alle befolgen die Regeln des PCI Security Standards Council (dessen Gründungsmitglieder sie sind).

Im März 2022 wurde die Version 4.0 des PCI DSS veröffentlicht, die den älteren Standard 3.2.1 ablöst. Die neue Version konzentriert sich darauf, die Sicherheit zu erhöhen und den Unternehmen mehr Flexibilität bei der Einhaltung der Vorgaben zu bieten. Zu den wichtigsten Änderungen gehören:

  • Ein neuer „individueller Ansatz“ für die Einhaltung der Vorschriften, neben dem traditionellen, auf Checklisten basierenden Modell.
  • Verpflichtende Multi-Faktor-Authentifizierung (MFA) für alle Zugriffe auf Karteninhaberdaten.
  • Ein verstärkter Fokus auf Sicherheit als kontinuierlichen Prozess, nicht als einmalige Maßnahme.
  • Erhöhte Anforderungen für die Sicherung von E-Commerce-Plattformen und Webanwendungen – besonders relevant für WordPress- und WooCommerce-Websites.

Wenn du Zahlungen oder Kundendaten auf deiner WordPress-Website verwaltest, ist es wichtig zu wissen, wie sich diese Änderungen auf deine Pflichten nach PCI DSS auswirken.

Bietet Kinsta PCI-konformes Hosting an?

Nur weil ein Hoster PCI-konform ist, bedeutet das nicht automatisch, dass deine Website es auch ist. Das liegt daran, dass die Einhaltung des PCI DSS einem Modell der geteilten Verantwortung folgt.

Als Managed-WordPress-Hosting-Anbieter ist Kinsta dafür verantwortlich, die Serverinfrastruktur zu sichern, Betriebssystem-Patches auf dem neuesten Stand zu halten, strenge Schutzmaßnahmen auf Netzwerkebene durchzusetzen und sichere TLS (HTTPS) Verbindungen zu unterstützen. Alles, was oberhalb der Infrastrukturebene liegt – wie z. B. die Sicherung deiner WordPress-Installation, die Verwaltung von Plugins und Themes, die Handhabung von Zahlungsinformationen und die ordnungsgemäße Konfiguration deiner Website – unterliegt jedoch deiner Kontrolle.

In der Praxis bedeutet das, dass der Großteil der Verantwortung immer noch bei dir als Website-Betreiber liegt. Wenn du zum Beispiel einen WooCommerce-Shop betreibst, bist du für den Umgang mit Kundendaten, die Verarbeitung von Kreditkarten, die Sicherung von Benutzerkonten und die Wartung der Codebasis deiner Website verantwortlich.

Kinsta übernimmt keine Garantie für die PCI-Konformität, und wir können nicht überprüfen, ob deine Website die Anforderungen erfüllt. Das heißt aber nicht, dass du nicht PCI-konform sein kannst, während du bei uns hostest.

Viele unserer Kunden haben mit externen Prüfern zusammengearbeitet, um die PCI-Compliance-Prüfungen erfolgreich zu bestehen. In einigen Fällen haben wir auf Anfrage einige kleinere Anpassungen an der Infrastruktur vorgenommen, aber die Prüfungen wurden durch eine Kombination aus kundenseitiger Konfiguration und Anleitung durch Dritte bestanden.

Wir sind zwar nicht direkt am Prüfungsprozess beteiligt, helfen aber gerne bei spezifischen Änderungen, wenn diese erforderlich sind.

Wie du die Anforderungen erfüllst

Hier sind einige Best Practices, die sicherstellen, dass du bei Kinsta die Vorschriften einhältst:

1. Fragebogen zur PCI-Selbsteinschätzung

Fülle jährlich einen Fragebogen zur Selbsteinschätzung (Self-Assessment Questionnaire, SAQ) aus, damit du feststellen kannst, ob deine Zahlungsabwicklung PCI-konform ist.

2. TLS und HTTPS

Stelle deine Zahlungsseiten sicher mit TLS 1.3 (bevorzugt) oder TLS 1.2 bereit, um HTTPS (verschlüsselte Verbindungen) zu aktivieren. PCI DSS 4.0 erfordert eine sichere TLS-Konfiguration, einschließlich starker Cipher Suites und regelmäßiger Sicherheitsüberprüfungen. Kinsta hält die TLS-Versionen auf unseren Servern immer auf dem neuesten Stand und du kannst ein SSL-Zertifikat ganz einfach über dein MyKinsta-Dashboard installieren.

Hier erfährst du, wie du das SSL-Zertifikat in WooCommerce installierst.

PCI DSS 4.0 akzeptiert Domain Validated (DV)-Zertifikate, sofern sie starke Verschlüsselungsalgorithmen (wie SHA-256) verwenden und ordnungsgemäß gewartet werden. Bei Kinsta werden SSL-Zertifikate – einschließlich Wildcard-Unterstützung – automatisch über unsere kostenlose Cloudflare-Integration ausgestellt, sodass standardmäßig sichere und konforme HTTPS-Verbindungen gewährleistet sind. Für zusätzliche Sicherheit oder organisatorische Anforderungen kannst du auch ein benutzerdefiniertes EV- (Extended Validation) oder OV- (Organization Validated) Zertifikat installieren.

Lies unbedingt unseren Leitfaden TLS vs. SSL.

3. Zahlungen über einen Drittanbieter abwickeln

Eine der einfachsten Möglichkeiten, die Einhaltung der PCI-Vorschriften zu vereinfachen, besteht darin, deine Kreditkartentransaktionen über einen Drittanbieter abzuwickeln. Du kannst deinen WooCommerce- oder Easy Digital Downloads-Shop ganz einfach mit einem Zahlungsgateway wie Stripe oder PayPal verbinden. Du solltest dir aber trotzdem die Richtlinien für die PCI-Konformität ansehen, denn die einfache Verarbeitung von Kreditkarten außerhalb des Unternehmens ist nicht immer eine Garantie für die Einhaltung der Richtlinien. Es können zusätzliche Schritte erforderlich sein.

4. Implementierung einer Firewall

PCI DSS verlangt, dass Systeme, die Karteninhaberdaten verarbeiten, durch ordnungsgemäß konfigurierte Firewalls geschützt werden, um den Datentraffic zu kontrollieren und unbefugten Zugriff zu verhindern.

Bei Kinsta profitiert jede Website von einem mehrschichtigen Firewall-Schutz. Der gesamte Webtraffic wird über unsere Cloudflare-Integration geleitet, die eine vollständig verwaltete Web Application Firewall (WAF) mit benutzerdefinierten Regeln, intelligenter Trafficfilterung und integrierter DDoS-Abwehr am Netzwerkrand umfasst.

Dieser Ansatz bietet einen starken Standardschutz gegen gängige Bedrohungen wie unbefugte Zugriffsversuche, bösartige Bots und Angriffe auf der Anwendungsebene.

Wenn dein PCI-Auditor oder dein Sicherheitsteam zusätzliche Anpassungen verlangt, kannst du auch eine Web Application Firewall (WAF) eines Drittanbieters wie Sucuri oder eigenständige Cloudflare-Pläne mit individuellen Regeln integrieren.

5. Regelmäßige Sicherheitstests durchführen

PCI DSS 4.0 enthält spezifische Anforderungen an laufende Sicherheitstests. Dazu gehören Schwachstellenscans, Penetrationstests und die Überwachung der Dateiintegrität, um potenzielle Sicherheitsbedrohungen zu erkennen und zu beseitigen, bevor sie zu Problemen werden.

Bei Kinsta schützen wir deine Umgebung mit Funktionen wie DDoS-Abwehr, Malware-Scanning, Hardware-Firewalls und anderen Sicherheitsvorkehrungen auf Infrastrukturebene. Für die Prüfung der Anwendungsebene – einschließlich deiner WordPress-Website, Plugins, Themes und jeglichen benutzerdefinierten Codes – bist du jedoch selbst verantwortlich.

Neben den ASV-Scans empfehlen wir auch regelmäßige interne Tests, um das Risiko zu verringern und den Compliance-Prüfungen voraus zu sein:

  • Verwende einen Schwachstellen-Scanner, um veraltete oder unsichere Plugins und Themes aufzuspüren.
  • Plane regelmäßige Penetrationstests, insbesondere wenn du direkt mit Zahlungsdaten arbeitest.
  • Aktiviere die Überwachung von Dateiveränderungen mit einem WordPress-Sicherheits-Plugin.

Einige Zahlungsabwickler oder Drittanbieter von Sicherheitslösungen bieten auch Tools an, die dir helfen, die Anforderungen der PCI-Konformität zu erfüllen.

6. Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, bei der die Nutzer/innen zwei oder mehr Arten von Anmeldeinformationen angeben müssen, bevor sie Zugang erhalten – in der Regel eine Kombination aus etwas, das du kennst (z. B. ein Passwort) und etwas, auf das du Zugriff hast (z. B. ein Code aus einer Authentifizierungs-App auf deinem Handy).

Dies wird gemeinhin als Zwei-Faktor-Authentifizierung (2FA) bezeichnet, eine spezielle Form der MFA, die genau zwei Faktoren verwendet. Obwohl die Begriffe oft synonym verwendet werden, verwendet PCI DSS 4.0 jetzt den umfassenderen Begriff MFA und erweitert die Situationen, in denen sie erforderlich ist.

Nach PCI DSS 4.0 ist MFA verpflichtend für:

  • Alle Zugriffe auf die Umgebung für Karteninhaberdaten (CDE).
  • Alle Fernzugriffe auf Systeme, die Zahlungsdaten verarbeiten.
  • Jeden administrativen Zugriff auf Zahlungsverarbeitungssysteme.

Bei Kinsta ist für alle MyKinsta-Logins eine Zwei-Faktor-Authentifizierung (2FA) erforderlich, die einen zusätzlichen Schutz für dein Hosting-Dashboard bietet. Du kannst die Zwei-Faktor-Authentifizierung auch für deinen WordPress-Adminbereich aktivieren, um deine Website noch besser zu schützen.

7. Sicherheit im Rechenzentrum

Die Cloud-Infrastruktur von Kinsta ist darauf ausgelegt, strenge Sicherheits- und Compliance-Anforderungen für das Hosting sensibler Workloads zu erfüllen, einschließlich Umgebungen, die die PCI DSS-Compliance unterstützen.

Unsere Rechenzentren verfügen über mehrstufige physische Sicherheitskontrollen, wie z. B. kontrollierten Zugang zu den Einrichtungen, ständige Überwachung, Einbruchserkennungssysteme und Sicherheitspersonal vor Ort. Alle Zugriffe und Aktivitäten werden protokolliert und geprüft, um die Untersuchung von Vorfällen und die Einhaltung von Vorschriften zu unterstützen.

Die Daten werden bei der Übertragung und im Ruhezustand mit starken Verschlüsselungsstandards verschlüsselt, einschließlich 256-Bit-AES für gespeicherte Daten. Die Verschlüsselungsschlüssel werden im Rahmen unserer allgemeinen Sicherheitskontrollen verwaltet und regelmäßig ausgetauscht.

Kinsta ist SOC-2-konform. Weitere Informationen findest du auf unserer Seite zur SOC 2-Konformität oder auf unserer Seite zum Vertrauensbericht.

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.