Tagarchiv: oxid

Magento und PCI-DSS bzw. PA-DSS

Veröffentlicht am 12. Juli 2009 von Alexander Ringsdorff| 3 Kommentare

Wie sich erst diese Woche wieder in Björn Schottes leicht aktualisiertem Vergleich von Magento, Oxid und XT:Commerce auf der Oxid Commons in Freiburg gezeigt hat, ist der Punkt PCI-DSS leider noch falsch verstanden in dem Magento Kontext und wurde sogar als ein negativ Merkmal dargestellt, da es angeblich überflüssig sei. Da Magento jedoch als einziges der drei genannten Systeme PCI-DSS / PA-DSS Bemühungen voran treibt, möchte ich in diesem Beitrag gerne einige Hintergrundinformationen zu dem Thema erläutern.

Im Gegenteil zu den anderen beiden angesprochenen e-Commerce Systemen hat Magento es sich als Ziel für die Enterprise Edition gesetzt den strengen Anforderungen des PA-DSS (Payment Application Data Security Standard) gerecht zu werden und somit auch als System für Unternehmen in Frage zu kommen, die selber unter die Zertifizierung des PCI-DSS (Payment Card Industry Data Security Standard) fallen.

Software, die als PA-DSS zertifiziert wird, muss strenge Sicherheitsstandards erfüllen in Bezug auf die Verschlüsselung und Speicherung von Daten. Auch die Schnittstellen und Administration müssen besonders strengen Sicherheitsauflagen gerecht werden. Zusammenfassend ist zu sagen, dass diese Sicherheitsmechanismen auch für nicht zur Zertifizierung verpflichtete Unternehmen wertvoll sind, da generell maximale Sicherheit der Software angestrebt werden sollte.

Glücklicherweise bieten die meisten PSP (Payment Service Provider wie z.B. Payone, Computop, Globalcollect und viele mehr) eine einfache Möglichkeit das e-Commerce System out-of-scope für den PCI-DSS zu setzen. Out-of-scope ist jedes Unternehmen, welches selbst keine Kreditkarten speichert und diese auch nicht über die eigenen Server transferiert. Dieser Zustand wird einfach durch Zahlungsmodule der Payment Service Provider erreicht, die Kreditkartendaten direkt gegen eine anonymisierte ID austauschen, ohne die echten Kreditkartendaten an das e-Commerce System zu leiten. Die anonymisierte ID kann dann für Folgeprozesse wie Stornierungen und Gutschriften genutzt werden und fällt nicht unter den PCI-DSS.

Generell werden auch Oxid und XT:Commerce keine Probleme mit dem PCI-DSS bekommen, wenn Shopbetreiber sich entscheiden die angesprochenen Zahlungsmodule einzusetzen. Magento bietet Enterprise Unternehmen jedoch zusätzlich noch die Möglichkeit als e-Commerce Plattform eingesetzt zu werden, wenn das Unternehmen selber in den PCI-DSS scope fällt und daher eine Zertifizierung des e-Commerce Systems notwendig ist bzw. Wert auf besonders hohe Sicherheitsstandards gelegt wird.

→ 3 Kommentare

Veröffentlicht unter Magento, PCI, e-Commerce, open source

Tagged , , , , , , , , , , ,

Mayflower vergleicht Magento, Oxid und xt:commerce

Veröffentlicht am 17. Mai 2009 von Alexander Ringsdorff| 9 Kommentare

Björn Schotte, der Geschäftsführer von Mayflower (einem auf PHP Entwicklung spezialisierten Dienstleister, der sich 2007 im Bereich e-Commerce durch die Zertifizierung einiger seiner Programmierer auf Oxid ausgerichtet hat) stellte bei der e-Commerce Conference dieses Jahr bereits zwei mal einen Vergleich von Magento, Oxid und xt:commerce vor.

Verglichen werden die Aspekte Performance, 3rd party Module, Dokumentation für Entwickler, Community, Erfahrung im Bereich Enterprise, Code Qualität, Modernität und TCO. Die out-of-the-box Funktionalität der Shopsysteme wird hierbei außer Acht gelassen, was mich doch sehr verwundert, da sie nach meiner Erfahrung eine große Rolle bei der Wahl des Systems für Interessenten spielt und sich auch erheblich auf die TCO auswirkt. Magento hätte bei diesem Aspekt weit vor Oxid gelegen.

Bei der Next09 vor zwei Wochen hatte ich mich direkt mit Björn über seinen Vergleich ausgetauscht und wir sind zu der Erkenntnis gekommen, dass Magento bei dem viel diskutierten Punkt out-of-the-box Performance sicher noch seine Schwächen hat, es für die in der Präsentation angesprochenen Enterprise Interessenten jedoch wenig von Interesse ist wie sich das System ohne Optimierung und nicht zugeschnitten auf die Anforderungen verhält. Wenn man sich bei den Referenzen von Oxid und Magento umsieht und dort die Ladezeiten vergleicht sieht man schnell, dass sich diese bei den Top Referenzen auf einem Niveau bewegen. Der VOD Shop von Premiere (Ein Oxid Shop an dem auch Mayflower beteiligt war), wie auch der online Shop von Jack Wolfskin (Ein Magento Shop umgesetzt durch Visions) liegen beide konstant bei ca. 1,3 bis 3,5 Sekunden im Seitenaufbau je nach Seitentyp.

Bei den Themen Modernität und Codequalität muss ich aus meiner Sicht und der unserer Entwickler, die sich mit beiden Systemen beschäftigt haben, den Aussagen von Björn in der Präsentation widersprechen. Technisch ist die schlechte Bewertung von Magento im Vergleich zu Oxid dort nicht nachvollziehbar.

Zusammenfassend denke ich, dass Oxid in jedem Fall den richtigen Schritt gemacht hat, indem sie den Weg von Magento eingeschlagen haben und zum kommerziellen Open Source Anbieter geworden sind. XTC scheint mittlerweile weit abgeschlagen. Wie gut sich Magento und Oxid im Markt der Enterprise e-Commerce Lösungen platzieren können mit ihren offenen Konzepten wird sich wohl in den nächsten 12 Monaten deutlich zeigen. Jochen Krisch sieht in Magento und Oxid jetzt bereits gute Alternativen zu individuellen e-Commerce Lösungen. Genau diese Einschätzung kann ich auch bestätigen, da die meisten Magento Projekte, mit denen ich mich aktuell beschäftige, in-house Lösungen ablösen.

→ 9 Kommentare

Veröffentlicht unter Magento, e-Commerce, open source

Tagged , , , , ,

Ein Lob für Tradoria

Veröffentlicht am 12. April 2009 von Alexander Ringsdorff| 3 Kommentare

Ich habe eine Möglichkeit gesucht einfach einen Nischen-Online-Shop zu eröffnen für meine Frau, die in Kürze über einen eigenen kleinen Online-Shop Produkte verkaufen möchte. (Dazu später mehr Details, wenn sie online ist)

Man sollte denken, dass ich natürlich Magento als Shoplösung bevorzugen würde, da aber in diesem Fall einer kleinen Nische ein Magento System wirklich mit viel zu viel Setup-Arbeit verbunden gewesen wäre (Hosting, Layout, Rechtstexte, Payment etc.), habe ich mich auf die Suche nach preiswerten Mietshops mit möglichst vielen out-of-the-box Funktionen gemacht.
Neben ePages (per Strato) habe ich mir auch Oxid angesehen. Im direkten Vergleich hatten mich die Funktionen von ePages überzeugt. Es stellte sich jedoch heraus, dass man bei ePages keine eigene Domain vernünftig hinterlegen kann (außer per i-Frame oder Weiterleitung, was keine Option ist aus SEO Sicht). ePages war somit leider raus und ich meldete meine Frau für einen Oxid-Mietshop an, da es dort scheinbar keine Probleme mit den URLs der eigenen Domain geben sollte und die Funktionen ausreichend erschienen. (Einfaches Einbinden der Paymentdienste per e-Fire)

Nach ein paar Stunden der Einarbeitung, musste ich dann leider feststellen, dass die Sessions per URL übergeben werden und ich die eigene Domain doch nicht vernünftig einbinden konnte. Die Verlinkung intern im Shop erfolgte immer über eine Subdomain von Oxid. Leider hatte ich mich zu diesem Zeitpunkt schon für den Shop angemeldet und versuche daher bis heute (2 Wochen) eine Kündigungsbestätigung zu erhalten.

Nach dieser Vorgeschichte komme ich jetzt zum eigentlichen Inhalt dieses Beitrages:

Über Deutsche Startups hatte ich bereits über Tradoria aus Bamberg gelesen, habe mich jedoch erst jetzt in diesem Zusammenhang richtig mit der Lösung auseinander gesetzt. Kurz gesagt erstellt man einen eigenen Online-Shop, der später unter einer Domain mit SEO geeigneter (!!) URL-Struktur erreichbar ist. Ich konnte somit meine extern verwaltete Domain ohne Probleme per DNS Einstellung verbinden. Der Checkout des Shops ist über die Plattform Tradoria.de abgebildet, wo gleichzeitig alle Artikel kaufbar sind, die man in seinen privaten Shop einstellt.

Was mich wirklich überzeugt hat an der Lösung:

  • Fertige und gegen Abmahungen sichere AGB sind vorhanden
  • Zahlungssysteme sind bereits integriert / Prozess komplett über Tradoria abgebildet
  • Bestellungen können sogar telefonisch bei Tradoria aufgegeben werden
  • Tradoria erstellt Rechnungen, Lieferscheine & Co. zum selber Ausdrucken
  • Meine Frau hat DHL Etiketten (kostenfrei) erhalten, mit denen sie über einen Rahmenvertrag von Tradoria günstiger Pakete versenden kann
  • Die Administration ermöglicht alle Einstellungen am Shop einfach selber vorzunehmen und erlaubt webbasiert Zugriff auf den Code der Templates, um tiefer gehende Änderungen vorzunehmen
  • Das Trustedshops Siegel erhält jeder Tradoria Shop ohne zusätzliche Kosten

Da ich mit Mietshops für kleine Nischen vorher noch nicht in Kontakt gekommen war, hat mich diese Erfahrung wirklich von der Idee der Tradoria-Gründer überzeugt. Sicher hat das Modell seine Grenzen wegen der umsatzbasierten Provision von 8,5%. Im Bereich der kleinen Nischen-Online-Shops sollte man sich jedoch bei einer Marge bewegen, die eine solche Provision handhaben kann.

Interessanter weise haben die Tradoria-Gründer, wie wir mit Visions, vorher einige Jahre e-Commerce Lösungen umgesetzt und sind dadurch auf die Idee zu Tradoria gekommen.

→ 3 Kommentare

Veröffentlicht unter Mitten im Leben, Startups, e-Commerce

Tagged , , , , ,