Wir werden häufig gefragt, ob Kinsta PCI-kompatibles Hosting anbietet. Deshalb beschäftigen wir uns heute mit diesem Thema. Viele wissen nicht, dass jeder E-Commerce-Shop, der Kreditkartendaten verarbeitet, speichert oder überträgt PCI-kompatibel sein muss, unabhängig von seinem Jahresumsatz. Daher ist es wichtig, sich etwas Zeit zu nehmen und die PCI-Compliance und deren Auswirkungen auf dein Unternehmen besser zu verstehen.
Was ist PCI?
Der Begriff PCI steht für „Payment Card Industry“. Du wirst häufig hören, dass dies mit PCI DSS, dem Datensicherheitsstandard der Zahlungskartenbranche, zusammenhängt. Im Wesentlichen handelt es sich dabei um eine Reihe von Sicherheitsstandards für alle Unternehmen, die Kreditkartendaten akzeptieren, speichern und übertragen. Dies dient dazu, die Daten der Verbraucher zu schützen und sicherzustellen, dass Kreditkartendaten in einer sicheren Umgebung verarbeitet werden.
Unternehmen wie American Express, Discover, JCB International, MasterCard und Visa verfügen alle über eigene Compliance-Programme, unterliegen jedoch den Sicherheitsstandards des PCI Security Standards Council (dessen Gründungsmitglieder sie sind).
Bietet Kinsta PCI-kompatibles Hosting an?
Es ist wichtig zu verstehen, dass ein Hoster möglicherweise PCI-konform ist. Dies bedeutet jedoch nicht automatisch, dass du als Hoster für deine Website giltst. Der Grund dafür ist, dass der größte Teil der Verantwortung für die Gewährleistung der Sicherheit weiterhin bei dir als Website-Inhaber liegt. Wenn du beispielsweise einen WooCommerce-Store betreibst, bist du letztendlich dafür verantwortlich, mit Kundendaten umzugehen, Kreditkarten zu verarbeiten, Anmeldeinformationen zu speichern und zu authentifizieren und den Code deiner Website zu verwalten.
Kinsta garantiert keine PCI-Konformität, und wir können deine Website nicht überprüfen, um sicherzustellen, dass du die richtigen Schritte unternimmst. Das bedeutet jedoch nicht, dass du nicht PCI-kompatibel sein kannst, wenn du deine Website bei uns hostest. Tatsächlich haben wir viele Kunden, die mit Auditoren von Drittanbietern zusammengearbeitet haben, um PCI-Compliance-Scans zu bestehen. In vielen dieser Fälle mussten wir auf Anfrage einige geringfügige Anpassungen vornehmen, aber diese Kunden konnten das Audit nach einigen Feinabstimmungen sowohl zu unserem als auch zu ihrem Ende gut bestehen.
Obwohl wir nicht direkt in den Prüfprozess einbezogen werden, da dies in der Verantwortung des Website-Inhabers liegt, können wir auf Anfrage spezifische Anpassungen vornehmen.
Wie man konform ist
Hier sind einige bewährte Methoden, um sicherzustellen, dass du bei Kinsta konform bist:
1. PCI Self-Assessment Questionnaire (Fragebogen zur Selbsteinschätzung von PCI)
Fülle jährlich einen PCI Self-Assessment Questionnaire (Selbsteinschätzungsfragebogen) (SAQ) aus, damit du feststellen kannst, ob deine Zahlungsverarbeitungseinstellungen PCI-kompatibel sind.
2. TLS und HTTPS
Mit einer modernen Version von TLS (1.2 oder höher) kannst du deine Zahlungsseiten sicher bedienen, sodass deine Website HTTPS (verschlüsselte Verbindungen) verwendet. Kinsta hält die TLS-Versionen auf unseren Servern immer auf dem neuesten Stand. Du kannst problemlos von deinem MyKinsta-Dashboard aus ein SSL-Zertifikat installieren.
Hier erfahren Sie, wie Sie das SSL-Zertifikat auf WooCommerce installieren.
Notiz: Die PCI-Standards (Payment Card Industry) akzeptieren derzeit domainvalidierte (DV) Zertifikate. Dies bedeutet, dass kostenlose Let’s Encrypt-Zertifikate verwendet werden können. Diese Regeln können sich jedoch auch in Zukunft ändern. Wenn du damit nicht vertraut bist oder ein Auditor dagegen empfiehlt, kannst du immer ein benutzerdefiniertes SSL-Zertifikat installieren. Dies bietet auch zusätzlichen Schutz, beispielsweise eine Garantie im Falle einer Datenverletzung.
Stellen Sie sicher, dass Sie unsere TLS vs. SSL-Anleitung lesen.
3. Zahlungen über einen Drittanbieter abwickeln
Eine der einfachsten Möglichkeiten, die PCI-Konformität zu vereinfachen, besteht darin, deine Kreditkartentransaktionen über einen Drittanbieter abzuwickeln. Du kannst deinen WooCommerce- oder Easy Digital Downloads-Store ganz einfach mit einem Payment Gateway wie Stripe oder PayPal verbinden. Du solltest dich dennoch an die PCI-Richtlinien halten, da die einfache Verarbeitung von Kreditkarten außerhalb des Standorts nicht immer die Einhaltung dieser Richtlinien garantiert. Möglicherweise sind zusätzliche Schritte erforderlich.
- PCI-Konformität mit Stripe
- PCI-Konformität mit PayPal
- PCI-Konformität mit Braintree
- PCI-Konformität mit Authorize.net
4. Implementiere eine Firewall
Eine weitere Empfehlung ist es, eine Firewall einzurichten und zu implementieren, um unerwünschten Traffic zu filtern. Wir verwenden die Firewalls der Google Cloud Platform auf Unternehmensebene, aktive und passive Sicherheit und andere bereits vorhandene erweiterte Funktionen, um den Zugriff auf deine Daten zu verhindern.
Du kannst jedoch auch eine Web Application Firewall (WAF) von Drittanbietern wie Sucuri oder Cloudflare implementieren, um zusätzlichen Schutz zu bieten.
- PCI-Konformität mit Sucuri
- PCI-Konformität mit Cloudflare (Cloudflare kann dich dabei unterstützen, die Anforderungen von PCI DSS 2.0 und 3.0, Anforderung 6.6, unter Verwendung ihrer WAF zu erfüllen).
5. Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung umfasst einen zweistufigen Prozess, bei dem du nicht nur dein Kennwort, sondern eine zweite Methode für die Anmeldung benötigst. Durch die Aktivierung der Zwei-Faktor-Authentifizierung kann ein unbefugter Zugriff auf das Steuerungsfeld deines Hosters und auf deine Seite verhindert werden.
- Aktiviere Zwei-Faktor-Authentifizierung bei MyKinsta
- Aktiviere Zwei-Faktor-Authentifizierung auf deiner WordPress-Seite
6. Data-Center-Sicherheit
Kinsta verwendet die Google Cloud-Plattform, die den Sicherheitsstand in allen Rechenzentren nutzt: Sicherheitsvorkehrungen wie kundenspezifische elektronische Zugangskarten, Alarme, Fahrzeugzugangsbarrieren, Begrenzungszäune, Metalldetektoren und Biometrie. Das Data-Center verfügt über eine Detektion von Laserstrahlen.
Deine Data-Center werden rund um die Uhr von hochauflösenden Kameras und von Sicherheitskräften, die strenge Hintergrundkontrollen durchlaufen haben, überwacht. Jede Aktion und Aktivität wird im Falle eines Vorfalls protokolliert und aufgezeichnet.
Alle Daten werden bei der Übertragung und im Ruhezustand zwischen Google, den Kunden und den Rechenzentren verschlüsselt; ebenso wie die Daten in allen Diensten der Cloud-Plattform. Die auf persistenten Festplatten gespeicherten Daten werden unter 256-Bit-AES verschlüsselt, und jeder Verschlüsselungsschlüssel wird auch mit einem Satz regelmäßig geänderter Hauptschlüssel verschlüsselt.
Der Computing Engine-Dienst von GCP wurde von einem unabhängigen Qualified Security Assessor überprüft und als PCI DSS 3.2-konform befunden. Das bedeutet jedoch nicht, dass du automatisch PCI-kompatibel bist. Alles, was wir oben erwähnt haben, gilt weiterhin, da du letztendlich dafür verantwortlich sind, dass deine Seite PCI-kompatibel ist.
Die PCI-Konformitäts- und SOC-2-Berichte von GCP sind nicht öffentlich verfügbar. Diese Dokumente sind nur nach Abschluss einer Geheimhaltungsvereinbarung direkt bei GCP erhältlich. Wenn du Zugriff auf diese Dokumente benötigst, musst du daher eine direkte Beziehung zu GCP aufbauen, um diese Dokumente anzufordern.
Lies mehr über die Sicherheit von Google Cloud Platform.
Notiz: Die obigen Informationen sollen dir bei Fragen zur PCI-Konformität helfen. Wir sind jedoch nicht für die Bewertung deiner Konformität verantwortlich. Dies sollte immer von einem externen Prüfer erledigt werden.