PCI-Compliance (ab April 2025) – Neue Regelung für Zahlungsdaten
WilMa Digital - März 18, 2025
Magento E-Commerce Sicherheit

 

PCI DSS 4.0 - Was ist das und was bedeutet das für Magento 2 Shopbetreiber?

Datenschutz und IT-Sicherheit sind für Online-Händler keine neuen Themen. Doch mit der neuen PCI DSS 4.0-Version und der Cybersecurity & Privacy Initiative (CPI) kommen weitere Anforderungen hinzu, die viele Shopbetreiber betreffen werden – insbesondere diejenigen, die Kreditkartenzahlungen anbieten.

Viele Händler verlassen sich darauf, dass die DSGVO-Umsetzung ausreicht. Doch PCI DSS 4.0 und CPI gehen darüber hinaus. Sie verlangen nicht nur den Schutz personenbezogener Daten, sondern setzen verstärkt auf technische Sicherheitsmaßnahmen und regelmäßige Überprüfungen.

Für Magento 2 Shops bedeutet das: Mehr Sicherheitsvorgaben, strengere Passwortrichtlinien und verpflichtende Audits, die nachweisen müssen, dass der Shop sicher ist.

Warum ist PCI DSS 4.0 relevant?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweiter Sicherheitsstandard, der vorschreibt, wie Kreditkartendaten verarbeitet, gespeichert und übertragen werden müssen. Ziel ist es, Missbrauch zu verhindern und das Risiko von Datenlecks zu minimieren.

Die neue Version 4.0 bringt einige wesentliche Änderungen, die ab April 2025 verpflichtend werden. Besonders für Betreiber von Magento 2 Shops bedeutet das neue Anforderungen an Passwortsicherheit, Zugriffsrechte und regelmäßige Sicherheitsüberprüfungen.

Was ändert sich mit PCI DSS 4.0?

Die neue Version setzt stärkere Sicherheitskontrollen durch und erfordert von Händlern eine genauere Dokumentation ihrer Schutzmaßnahmen. Wichtige Neuerungen sind:

  1. Strengere Authentifizierung und Passwortrichtlinien

    • Passwörter müssen mindestens 12 Zeichen lang sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
    • Zwei-Faktor-Authentifizierung (2FA) wird für alle administrativen Zugriffe verpflichtend.

  2. Regelmäßige Schwachstellen-Scans und Audits

    • Shopbetreiber müssen vierteljährliche Sicherheitsscans durchführen lassen, um Schwachstellen frühzeitig zu erkennen.
    • Automatisierte Prüfungen durch Approved Scanning Vendors (ASV) sind Pflicht.

  3. Neue Dokumentationspflichten

    • Händler müssen nachweisen, welche Sicherheitsmaßnahmen sie implementiert haben und wer für deren Einhaltung verantwortlich ist.
    • Detaillierte Reports zur IT-Sicherheit sind erforderlich, insbesondere bei Shops, die Kreditkartenzahlungen verarbeiten.

  4. Dynamische Sicherheitsmaßnahmen

    • Zugriff auf Daten und Systeme soll dynamisch gesteuert werden, basierend auf dem individuellen Risikoprofil eines Nutzers.
    • Schutzmechanismen gegen Phishing- und Skimming-Angriffe werden verstärkt.

Was bedeutet das für Magento 2 Shops?

Magento 2 erfüllt einige Sicherheitsanforderungen bereits, ist jedoch nicht automatisch PCI-konform. Das bedeutet, dass Shopbetreiber technische Anpassungen vornehmen müssen, um die neuen Vorschriften zu erfüllen.

Was Magento bereits bietet:

  • Kein Standard-Admin-Passwort
  • 2FA für Administratoren
  • Zugriffsbeschränkungen über ein ACL-Modell
  • Verschlüsselung nach Industriestandard

Was Magento nicht automatisch bietet und angepasst werden muss:

  • Passwortvorgaben entsprechen nicht den neuen PCI DSS 4.0-Anforderungen
  • Zugangskontrollen für APIs (SOAP, REST, GraphQL) müssen manuell eingeschränkt werden
  • Content Security Policy (CSP) Regeln sind nicht standardmäßig konform
  • Regelmäßige ASV-Scans sind nicht integriert und müssen extern organisiert werden

Welche Maßnahmen müssen Magento 2 Shopbetreiber jetzt umsetzen?

Um PCI DSS 4.0- und CPI-konform zu sein, sollten Shopbetreiber folgende Schritte durchführen:

  1. Bewertung des PCI-Umfangs

    • Wenn möglich, Kreditkartenzahlungen vollständig an einen zertifizierten Payment Provider auslagern.
    • Alternativ: Implementierung von Tokenization oder iFrame-Lösungen, um den direkten Umgang mit Kreditkartendaten zu minimieren.

  2. Sicherheitsmaßnahmen optimieren

    • Stärkere Passwortregeln implementieren und Mindestlänge auf 12 Zeichen setzen.
    • Zugriff auf Admin-APIs restriktiver regeln und ungenutzte Schnittstellen deaktivieren.
    • Firewalls und Intrusion Detection Systeme einrichten, um Angriffe frühzeitig zu erkennen.

  3. Regelmäßige Audits und Scans durchführen

    • Quartalsweise ASV-Scans durch zertifizierte Dienstleister veranlassen.
    • Penetrationstests durchführen, um Sicherheitslücken aufzudecken.
    • Sicherstellen, dass Software-Updates und Security Patches innerhalb der empfohlenen Fristen eingespielt werden.

  4. Dokumentation & Nachweisführung

    • Die Content Security Policy (CSP) für den Checkout muss klar definiert und dokumentiert werden.

Ein Sicherheitskonzept mit klar zugewiesenen Verantwortlichkeiten (z. B. RACI-Framework) erstellen.

 

Wie verhält es sich für Sylius Shops?

Sylius ist als headless-first Open-Source-E-Commerce-Framework flexibel anpassbar, bringt jedoch im Standard keine native PCI DSS-Konformität mit. Das bedeutet, dass Händler, die Kreditkartenzahlungen verarbeiten, eigene Sicherheitsmaßnahmen implementieren müssen.

Besonders kritisch sind:

  • Passwortsicherheit: Sylius bietet keine vordefinierte Mindestlänge für Passwörter. Diese muss manuell auf mindestens 12 Zeichen mit komplexen Anforderungen gesetzt werden.
  • Authentifizierung: Zwei-Faktor-Authentifizierung (2FA) für Admin-Zugänge ist nicht standardmäßig enthalten und sollte über Plugins oder individuelle Anpassungen ergänzt werden.
  • API-Absicherung: Da Sylius stark API-getrieben ist, müssen Zugriffskontrollen für GraphQL- und REST-Endpunkte explizit definiert und eingeschränkt werden.
  • Content Security Policy (CSP): Standardmäßig gibt es keine vordefinierte CSP-Regeln, was ein Sicherheitsrisiko für Skimming- oder XSS-Angriffe darstellen kann.
  • Schwachstellen-Scans & Audits: Auch Sylius-Shops unterliegen der Pflicht zu vierteljährlichen ASV-Scans, sofern Kreditkartendaten verarbeitet werden.

Da Sylius als Framework eher für individuelle Lösungen gedacht ist, müssen Shopbetreiber und Entwickler eigenständig sicherstellen, dass alle PCI DSS 4.0-Anforderungen erfüllt werden – sei es durch selbst entwickelte Sicherheitsmaßnahmen oder durch die Integration spezialisierter Payment-Provider, die PCI-konforme Lösungen anbieten.

 

Fazit: Jetzt handeln, um PCI DSS 4.0-Compliance zu erreichen

Die neuen Sicherheitsstandards sind nicht nur eine bürokratische Hürde – sie sind entscheidend für den Schutz von Kundendaten und die langfristige Sicherheit eines Online-Shops. Händler, die sich nicht rechtzeitig vorbereiten, riskieren Bußgelder, Abmahnungen oder den Verlust von Kreditkartenzahlungen als Zahlungsmethode.

Magento 2 bietet bereits eine solide Sicherheitsbasis, doch ohne zusätzliche Anpassungen ist ein Shop nicht PCI-konform. Händler sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und gezielt Maßnahmen ergreifen.

Wer unsicher ist, welche Maßnahmen für den eigenen Shop notwendig sind, sollte jetzt eine individuelle Sicherheitsprüfung durchführen lassen.