Die PCI Compliance (Payment Card Industry Data Security Standard) ist ein Regelwerk für den sicheren Zahlungsverkehr und Umgang mit Kreditkarteninformationen.
Unternehmen und Dienstleister die mit Kreditkarteninformationen in Berührung kommen müssen die PCI-Anforderungen zu 100% einhalten. Ist dies nicht der Fall kann die Verarbeitung von Kreditkartenzahlungen untersagt oder ein hohes Bußgeld verhängt werden.
Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:
1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.
Quelle: wikipedia
Da wir hauptsächlich PCI Compliance taugliche Magento Online-Shops hosten und unseren Kunden größtmögliche Freiheit bieten wollten haben wir den Test gemacht. Das Ergebnis der Serversicherheit war sehr gut, lediglich unser Livechat-Script hatte eine kleine (nicht kritische) Sicherheitslücke. – Diese Lücke führte allerdings dazu, dass der Test nicht erfolgreich war.
Das Chatscript wurde deaktiviert, derzeit läuft die Einrichtung des neuen Livesupport-Scripts Livezilla. Neben einer sauberen Programmierung und einer schöneren Oberfläche bietet das System mehr nützliche Funktionen, welche in einem extra Beitrag ausführlich vorgestellt werden.
Die erneute Prüfung der Server werden wir in Kürze vornehmen.
