Wie sich erst diese Woche wieder in Björn Schottes leicht aktualisiertem Vergleich von Magento, Oxid und XT:Commerce auf der Oxid Commons in Freiburg gezeigt hat, ist der Punkt PCI-DSS leider noch falsch verstanden in dem Magento Kontext und wurde sogar als ein negativ Merkmal dargestellt, da es angeblich überflüssig sei. Da Magento jedoch als einziges der drei genannten Systeme PCI-DSS / PA-DSS Bemühungen voran treibt, möchte ich in diesem Beitrag gerne einige Hintergrundinformationen zu dem Thema erläutern.
Im Gegenteil zu den anderen beiden angesprochenen e-Commerce Systemen hat Magento es sich als Ziel für die Enterprise Edition gesetzt den strengen Anforderungen des PA-DSS (Payment Application Data Security Standard) gerecht zu werden und somit auch als System für Unternehmen in Frage zu kommen, die selber unter die Zertifizierung des PCI-DSS (Payment Card Industry Data Security Standard) fallen.
Software, die als PA-DSS zertifiziert wird, muss strenge Sicherheitsstandards erfüllen in Bezug auf die Verschlüsselung und Speicherung von Daten. Auch die Schnittstellen und Administration müssen besonders strengen Sicherheitsauflagen gerecht werden. Zusammenfassend ist zu sagen, dass diese Sicherheitsmechanismen auch für nicht zur Zertifizierung verpflichtete Unternehmen wertvoll sind, da generell maximale Sicherheit der Software angestrebt werden sollte.
Glücklicherweise bieten die meisten PSP (Payment Service Provider wie z.B. Payone, Computop, Globalcollect und viele mehr) eine einfache Möglichkeit das e-Commerce System out-of-scope für den PCI-DSS zu setzen. Out-of-scope ist jedes Unternehmen, welches selbst keine Kreditkarten speichert und diese auch nicht über die eigenen Server transferiert. Dieser Zustand wird einfach durch Zahlungsmodule der Payment Service Provider erreicht, die Kreditkartendaten direkt gegen eine anonymisierte ID austauschen, ohne die echten Kreditkartendaten an das e-Commerce System zu leiten. Die anonymisierte ID kann dann für Folgeprozesse wie Stornierungen und Gutschriften genutzt werden und fällt nicht unter den PCI-DSS.
Generell werden auch Oxid und XT:Commerce keine Probleme mit dem PCI-DSS bekommen, wenn Shopbetreiber sich entscheiden die angesprochenen Zahlungsmodule einzusetzen. Magento bietet Enterprise Unternehmen jedoch zusätzlich noch die Möglichkeit als e-Commerce Plattform eingesetzt zu werden, wenn das Unternehmen selber in den PCI-DSS scope fällt und daher eine Zertifizierung des e-Commerce Systems notwendig ist bzw. Wert auf besonders hohe Sicherheitsstandards gelegt wird.
Verglichen werden die Aspekte Performance, 3rd party Module, Dokumentation für Entwickler, Community, Erfahrung im Bereich Enterprise, Code Qualität, Modernität und TCO. Die out-of-the-box Funktionalität der Shopsysteme wird hierbei außer Acht gelassen, was mich doch sehr verwundert, da sie nach meiner Erfahrung eine große Rolle bei der Wahl des Systems für Interessenten spielt und sich auch erheblich auf die TCO auswirkt. Magento hätte bei diesem Aspekt weit vor Oxid gelegen.
Bei der Next09 vor zwei Wochen hatte ich mich direkt mit Björn über seinen Vergleich ausgetauscht und wir sind zu der Erkenntnis gekommen, dass Magento bei dem viel diskutierten Punkt out-of-the-box Performance sicher noch seine Schwächen hat, es für die in der Präsentation angesprochenen Enterprise Interessenten jedoch wenig von Interesse ist wie sich das System ohne Optimierung und nicht zugeschnitten auf die Anforderungen verhält. Wenn man sich bei den Referenzen von Oxid und Magento umsieht und dort die Ladezeiten vergleicht sieht man schnell, dass sich diese bei den Top Referenzen auf einem Niveau bewegen. Der VOD Shop von Premiere (Ein Oxid Shop an dem auch Mayflower beteiligt war), wie auch der online Shop von Jack Wolfskin (Ein Magento Shop umgesetzt durch Visions) liegen beide konstant bei ca. 1,3 bis 3,5 Sekunden im Seitenaufbau je nach Seitentyp.
Bei den Themen Modernität und Codequalität muss ich aus meiner Sicht und der unserer Entwickler, die sich mit beiden Systemen beschäftigt haben, den Aussagen von Björn in der Präsentation widersprechen. Technisch ist die schlechte Bewertung von Magento im Vergleich zu Oxid dort nicht nachvollziehbar.
Zusammenfassend denke ich, dass Oxid in jedem Fall den richtigen Schritt gemacht hat, indem sie den Weg von Magento eingeschlagen haben und zum kommerziellen Open Source Anbieter geworden sind. XTC scheint mittlerweile weit abgeschlagen. Wie gut sich Magento und Oxid im Markt der Enterprise e-Commerce Lösungen platzieren können mit ihren offenen Konzepten wird sich wohl in den nächsten 12 Monaten deutlich zeigen. Jochen Krisch sieht in Magento und Oxid jetzt bereits gute Alternativen zu individuellen e-Commerce Lösungen. Genau diese Einschätzung kann ich auch bestätigen, da die meisten Magento Projekte, mit denen ich mich aktuell beschäftige, in-house Lösungen ablösen.
