Verwaltung der PCI-Konformität mit 4Geeks Payments

🤖 Erklären mit KI

Sicherheit ist bei der Abwicklung von Finanztransaktionen von größter Bedeutung. 4Geeks Payments ist ein vollständig PCI DSS Level 1 konformer Dienstleister, die höchste Zertifizierungsstufe in der Zahlungskartenbranche. Das bedeutet, dass 4Geeks die komplexen Sicherheitsanforderungen für die Speicherung, Verarbeitung und Übertragung von Karteninhaberdaten übernimmt und so die Compliance-Last für Ihr Unternehmen erheblich reduziert.

Dieser Artikel erklärt, wie Sie die Funktionen von 4Geeks Payments – wie gehostete Seiten, Tokenisierung und 3D Secure – nutzen können, um Ihren PCI-Compliance-Umfang effektiv zu verwalten und gleichzeitig sichere Transaktionen für Ihre Kunden zu gewährleisten.

Voraussetzungen¶

Bevor Sie Ihre Compliance-Einstellungen konfigurieren, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

• Aktives Konto: Sie müssen über ein aktives Händlerkonto auf der 4Geeks Console verfügen.
• Sichere Website: Ihre Website oder Anwendung muss mit SSL/TLS (HTTPS) gesichert sein, um Daten sicher zu übertragen.
• Konsolenzugriff: Sie benötigen „Admin“- oder „Developer“-Berechtigungen, um auf API-Schlüssel und Integrationseinstellungen zuzugreifen.

So verwalten Sie die Compliance¶

Um Ihren Compliance-Umfang zu minimieren (typischerweise auf SAQ A oder SAQ A-EP), sollten Sie es vermeiden, rohe Kreditkartennummern direkt auf Ihren Servern zu verarbeiten. Befolgen Sie diese Schritte, um sichere Integrationsmethoden zu implementieren.

Schritt 1: Wählen Sie eine sichere Integrationsmethode¶

4Geeks Payments bietet drei primäre Möglichkeiten zur sicheren Zahlungsabwicklung, bei denen rohe Kartendaten niemals Ihre Infrastruktur berühren.

1. Gehostete Zahlungsseiten/Links:

   • Dies ist die einfachste Methode. Sie erstellen einen sicheren Link über die 4Geeks Console.
   • Leiten Sie Kunden auf diese Seite weiter, um ihren Kauf abzuschließen. 4Geeks hostet die Seite und übernimmt die gesamte Erfassung sensibler Daten.

2. No-Code-Plugins:

   • Wenn Sie Plattformen wie WooCommerce, Magento oder Odoo verwenden, installieren Sie das offizielle 4Geeks Payments-Plugin.
   • Diese Plugins verwenden sichere iFrames oder Weiterleitungen, um Daten direkt an 4Geeks zu übertragen, wodurch Ihr Server außerhalb des Geltungsbereichs bleibt.

3. Tokenisierung (API):

   • Verwenden Sie für benutzerdefinierte Builds die 4Geeks Payments API, um Kartendetails auf der Clientseite (Browser) zu erfassen.
   • Die API tauscht rohe Kartendaten gegen ein sicheres Token aus.
   • Sie senden nur dieses Token an Ihren Server, um die Belastung zu verarbeiten.

Schritt 2: Sicherstellen, dass 3D Secure (3DS) aktiv ist¶

3D Secure fügt während des Checkouts eine zusätzliche Identitätsprüfungsebene hinzu (wie ein Einmalpasswort) und schützt Sie vor Betrug und Rückbuchungen.

1. Melden Sie sich bei der 4Geeks Console an.
2. Navigieren Sie zu Payments > Settings > Security.
3. Stellen Sie sicher, dass 3D Secure aktiviert ist. Es ist in der Regel standardmäßig aktiv, um die Anforderungen von Visa, Mastercard und Amex zu erfüllen.
4. Wenn Sie die API verwenden, stellen Sie sicher, dass Ihr Checkout-Ablauf die in der Antwort bereitgestellte redirect_url für die 3DS-Verifizierung verarbeitet.

Schritt 3: SSL/TLS-Verschlüsselung implementieren¶

Unabhängig von der Integrationsmethode muss Ihre Website sicher sein.

1. Stellen Sie sicher, dass Ihre Website alle Inhalte über HTTPS bereitstellt.
2. Erwerben und erneuern Sie ein gültiges SSL-Zertifikat für Ihre Domain.
3. Testen Sie Ihre Checkout-Seite, um sicherzustellen, dass im Browser keine Warnungen zu „gemischten Inhalten“ (Laden unsicherer Skripte oder Bilder) angezeigt werden.

Schritt 4: Datenspeicherung verwalten¶

Speichern Sie niemals sensible Karteninhaberdaten auf Ihren eigenen Systemen.

1. Nicht speichern: Vollständige Kreditkartennummern (PAN) oder CVV-Codes. Wenn Sie diese speichern, haften Sie vollständig für die PCI-Konformität.
2. Nur speichern: Das von der API zurückgegebene Zahlungstoken und, falls für die Anzeige erforderlich, die letzten 4 Ziffern der Karte.
3. Verwenden Sie das Token für alle zukünftigen wiederkehrenden Belastungen oder One-Click-Checkouts.

Häufige Anwendungsfälle¶

Szenario 1: E-Commerce-Store mit WooCommerce¶

• Situation: Ein Einzelhandelsunternehmen möchte Kreditkarten akzeptieren, verfügt jedoch nicht über ein dediziertes Sicherheitsteam, um komplexe Server-Compliance zu verwalten.
• Anwendung: Das Unternehmen installiert das 4Geeks Payments WooCommerce-Plugin.
• Ergebnis: Wenn ein Kunde bezahlt, nutzt das Plugin die sichere Infrastruktur von 4Geeks zur Datenübertragung. Der Händler berührt niemals rohe Kartennummern, wodurch sein Compliance-Umfang minimal bleibt (SAQ A) und gleichzeitig ein nahtloses Checkout-Erlebnis gewährleistet wird.

Szenario 2: SaaS-Plattform mit wiederkehrender Abrechnung¶

• Situation: Ein Softwareunternehmen muss Abonnenten monatlich belasten, ohne jedes Mal nach Kartendetails zu fragen.
• Anwendung: Bei der ersten Anmeldung verwendet die Plattform die 4Geeks API, um die Karte des Kunden zu tokenisieren. Sie speichern nur das Token in ihrer Datenbank.
• Ergebnis: Für die folgenden Monate ruft die Plattform die 4Geeks API unter Verwendung des gespeicherten Tokens auf. Dies ermöglicht eine automatische, sichere wiederkehrende Abrechnung über 4Geeks Payments, ohne dass der Händler jemals die tatsächlichen Kartendetails speichert.

Fehlerbehebung¶

Problem 1: Transaktionsablehnungen oder Flags¶

• Ursache: Gültige Karten können abgelehnt werden, wenn 3D Secure fehlschlägt oder die Transaktion als hohes Risiko gekennzeichnet ist.
• Lösung: Überprüfen Sie die 4Geeks Console auf spezifische Ablehnungscodes. Stellen Sie sicher, dass 3D Secure aktiv ist. Wenn Sie die API verwenden, überprüfen Sie, ob Sie gültige AVS-Daten (Adressüberprüfung) (Postleitzahl, Rechnungsadresse) übergeben.

Problem 2: „401 Unauthorized“ API-Fehler¶

• Ursache: Dies deutet normalerweise auf ein Problem mit Ihren API-Schlüsseln oder der Art und Weise hin, wie Sie sich authentifizieren.
• Lösung: Stellen Sie sicher, dass Sie die korrekte Client ID und das Client Secret verwenden. Führen Sie niemals API-Aufrufe durch, die Ihren Secret Key von der Clientseite (Browser) verwenden; diese sollten nur von Ihrem sicheren Backend-Server erfolgen.

Problem 3: SSL/TLS-Warnungen beim Checkout¶

• Ursache: Ihre Website lädt möglicherweise unsichere Assets (http statt https) oder Ihr SSL-Zertifikat ist abgelaufen.
• Lösung: Erneuern Sie Ihr SSL-Zertifikat sofort. Verwenden Sie Browser-Entwicklertools, um Warnungen zu „gemischten Inhalten“ auf Ihren Zahlungsseiten zu identifizieren und zu beheben.

Fazit¶

Durch die Nutzung von 4Geeks Payments reduzieren Sie die Komplexität der PCI-Konformität erheblich. Die Verwendung von gehosteten Seiten, Plugins oder Tokenisierung stellt sicher, dass sensible Daten niemals auf Ihren Servern liegen, und schützt sowohl Ihr Unternehmen als auch Ihre Kunden. Stellen Sie immer sicher, dass Ihre Integration HTTPS verwendet und dass Sie niemals rohe Kartendaten speichern.

Für weitere Details zu Sicherheitsfunktionen oder zur Verwaltung Ihrer Integration besuchen Sie die 4Geeks Console oder erkunden Sie weitere Funktionen im 4Geeks Help Center.

Zusätzliche Ressourcen¶

• 4Geeks Payments API-Dokumentation
• PCI Security Standards Council
• 4Geeks Payroll Integrationsleitfaden

• Noch Fragen? Get support.
• Check out the changelog.