Wie sich erst diese Woche wieder in Björn Schottes leicht aktualisiertem Vergleich von Magento, Oxid und XT:Commerce auf der Oxid Commons in Freiburg gezeigt hat, ist der Punkt PCI-DSS leider noch falsch verstanden in dem Magento Kontext und wurde sogar als ein negativ Merkmal dargestellt, da es angeblich überflüssig sei. Da Magento jedoch als einziges der drei genannten Systeme PCI-DSS / PA-DSS Bemühungen voran treibt, möchte ich in diesem Beitrag gerne einige Hintergrundinformationen zu dem Thema erläutern.
Im Gegenteil zu den anderen beiden angesprochenen e-Commerce Systemen hat Magento es sich als Ziel für die Enterprise Edition gesetzt den strengen Anforderungen des PA-DSS (Payment Application Data Security Standard) gerecht zu werden und somit auch als System für Unternehmen in Frage zu kommen, die selber unter die Zertifizierung des PCI-DSS (Payment Card Industry Data Security Standard) fallen.
Software, die als PA-DSS zertifiziert wird, muss strenge Sicherheitsstandards erfüllen in Bezug auf die Verschlüsselung und Speicherung von Daten. Auch die Schnittstellen und Administration müssen besonders strengen Sicherheitsauflagen gerecht werden. Zusammenfassend ist zu sagen, dass diese Sicherheitsmechanismen auch für nicht zur Zertifizierung verpflichtete Unternehmen wertvoll sind, da generell maximale Sicherheit der Software angestrebt werden sollte.
Glücklicherweise bieten die meisten PSP (Payment Service Provider wie z.B. Payone, Computop, Globalcollect und viele mehr) eine einfache Möglichkeit das e-Commerce System out-of-scope für den PCI-DSS zu setzen. Out-of-scope ist jedes Unternehmen, welches selbst keine Kreditkarten speichert und diese auch nicht über die eigenen Server transferiert. Dieser Zustand wird einfach durch Zahlungsmodule der Payment Service Provider erreicht, die Kreditkartendaten direkt gegen eine anonymisierte ID austauschen, ohne die echten Kreditkartendaten an das e-Commerce System zu leiten. Die anonymisierte ID kann dann für Folgeprozesse wie Stornierungen und Gutschriften genutzt werden und fällt nicht unter den PCI-DSS.
Generell werden auch Oxid und XT:Commerce keine Probleme mit dem PCI-DSS bekommen, wenn Shopbetreiber sich entscheiden die angesprochenen Zahlungsmodule einzusetzen. Magento bietet Enterprise Unternehmen jedoch zusätzlich noch die Möglichkeit als e-Commerce Plattform eingesetzt zu werden, wenn das Unternehmen selber in den PCI-DSS scope fällt und daher eine Zertifizierung des e-Commerce Systems notwendig ist bzw. Wert auf besonders hohe Sicherheitsstandards gelegt wird.
Alexander Ringsdorff 
Hi,
eine sehr informative Erläutung. Vielen Dank.
Übrigens: auch http://www.expercash.de bietet das an und wurde vor kurzem PCI zertifiziert.
PCI Compliance Quiz Widget