Der neue PCI DSS v4-Standard bringt strengere Sicherheitsanforderungen für den Online-Handel mit sich, insbesondere zum Schutz vor digitalem Skimming. Shopify setzt auf eine Sandbox-Architektur, um Händlern eine konforme und sichere Checkout-Umgebung zu bieten – ohne zusätzlichen Aufwand.
Die Checkout-Seite von Shopify besteht aus zwei Kernkomponenten: Das Backend läuft auf Shopify-Servern und ist für Skalierbarkeit und Performance optimiert. Das Frontend ist ein Shopify-gemanagtes Laufzeitsystem, das individuelle Erweiterungen erlaubt.
Händler können Checkout-Funktionen durch sogenannte UI Extensions oder Web Pixels erweitern, die in einer isolierten Umgebung – einer Sandbox – ausgeführt werden. Dies sorgt dafür, dass individuelle Skripte nicht direkt in die Hauptseite eingebunden werden, sondern über eine kontrollierte Brücke kommunizieren.
Die Architektur bietet mehrere Vorteile:
- Höhere Performance: Da alle Skripte in isolierten Web Workers ausgeführt werden, bleibt die Checkout-Seite reaktionsschnell.
- Maximale Sicherheit: Kein direkt ausgeführter Code auf der Hauptseite, wodurch das Risiko von Angriffen minimiert wird.
- Einfache Wartung und Updates: Änderungen erfolgen über APIs, sodass Händler keine Anpassungen bei Updates vornehmen müssen.
- Garantierte Compliance: Shopify stellt sicher, dass alle Elemente auf der Checkout-Seite den PCI DSS v4-Anforderungen entsprechen.
PCI DSS v4: Neue Schutzmaßnahmen gegen Skimming
Die Payment Card Industry Data Security Standard Version 4 (PCI DSS v4) tritt am 31. März 2025 in Kraft. Die größte Neuerung betrifft den Schutz vor digitalem Skimming – eine Methode, bei der Hacker Schadcode in Bezahlseiten einschleusen, um Kreditkartendaten zu stehlen.
Neue Compliance-Anforderungen umfassen:
- Dokumentation aller geladenen Skripte und ihrer Funktion.
- Mechanismen zur Autorisierung von Skripten, sodass nur genehmigte Inhalte geladen werden.
- Sicherstellung der Skript-Integrität, um Manipulationen zu verhindern.
- Ausweitung dieser Anforderungen auf die gesamte Checkout-Seite, nicht nur auf die Zahlungsseite.
Besonders entscheidend ist die Tatsache, dass nicht nur Zahlungsformulare isoliert in iFrames geladen werden müssen, sondern auch die übergeordnete Seite geschützt sein muss. Diese Änderungen erschweren Skimming-Angriffe erheblich.
Shopify übernimmt die Compliance – keine Arbeit für Händler
Die Umsetzung dieser Vorgaben erfordert erhebliche Sicherheitsmaßnahmen. Für Shopify-Händler bleibt der Aufwand jedoch minimal:
- Zentral verwaltete Skriptprüfung: Shopify überprüft alle Drittanbieter-Skripte.
- Regelmäßige Updates und Sicherheits-Patches: Alle Skripte werden regelmäßig aktualisiert, um Sicherheitslücken zu schließen.
- Striktes Change-Management: Änderungen an der Checkout-Seite erfolgen kontrolliert und geprüft.
- Content Security Policy (CSP): Shopify setzt strenge Richtlinien zur Skript-Autorisierung um.
- Subresource Integrity (SRI): Überprüfung der geladenen Inhalte auf Manipulation.
- Isolierte Zahlungseingabe: Die Zahlungsseite bleibt durch iFrames vollständig abgeschottet.
Dank dieser Maßnahmen bleibt der Shopify Checkout nicht nur sicher, sondern auch zukunftssicher. Händler können sich auf ihr Kerngeschäft konzentrieren, während Shopify die Einhaltung aktueller und zukünftiger Sicherheitsstandards garantiert.
