Loading

PCI-Übersicht und -Pflichten für Commerce Cloud-Kunden

Veröffentlichungsdatum: Apr 13, 2026
Beschreibung
Als ein PCI DSS-konformer Serviceanbieter ist Commerce Cloud dafür verantwortlich, sicherzustellen, dass der Kunden bereitgestellte Basisservice PCI DSS-konform ist und Kunden konforme Anpassungen ermöglicht. Die Nutzung des Commerce Cloud-Service bedeutet nicht, dass ein Kunde PCI-konform ist. Dieses Dokument soll Hilfestellung dabei geben, zu bestimmen, wo Commerce Cloud unsere Kunden bei Überprüfungen unterstützen kann, was unsere Pflichten sind und was die Pflichten unserer Kunden sind.
Lösung

PCI DSS-Standard

Der PCI DSS-Standard wurde von allen wichtigen Kartenausstellern übernommen, um Datensicherheitsprobleme zu beheben. Er ist in verschiedene Abschnitte unterteilt, die allgemein folgende Themen behandeln:

  • Netzwerksicherheit
  • Schutz der Daten von Karteninhabern
  • Sicherheitslückenverwaltung
  • Zugriffssteuerungsmaßnahmen
  • Überwachen und Testen von Steuerelementen und Sicherheit
  • Richtlinien für die Informationssicherheit


Commerce Cloud ist bei folgenden Stellen als registrierter Serviceanbieter gelistet:


Als Konformitätsnachweis stellt Commerce Cloud eine Kopie der aktuellen PCI-Konformitätsbescheinigung (Attestation of Compliance, AOC) zur Verfügung. Wenden Sie sich an den Support, wenn Sie eine Kopie der Konformitätsbescheinigung benötigen.


Pflichten von Commerce Cloud

Alle Händler tragen die volle Verantwortung für die Sicherstellung ihrer eigenen Konformität mit dem PCI DSS. Im Hinblick auf die Commerce Cloud-Commerce Platform sind im Folgenden die wichtigsten Punkte aufgeführt, die im Aufgabenbereich von Commerce Cloud als PCI DSS-konformer Serviceanbieter liegen. Diese Elemente decken Kundendaten ab, die in unserem Service gespeichert werden. Bei der Konformität der Kunden geht es in erster Linie um Integrationen und den Austausch sensibler Daten mit Systemen außerhalb der Commerce Cloud-Commerce Platform (z. B. einem externen OMS-System). Insbesondere geht es um die 12 Hauptanforderungen des PCI DSS:

     1.      Die Firewallkonfiguration wird validiert und getestet. Commerce Cloud ist für die gesamte Firewall-Konfiguration und -Tests verantwortlich.

     2.      Standardkennwörter werden entfernt und akzeptable Systemsicherheitsparameter werden beibehalten.

     3.      Die auf der Commerce Cloud-Commerce-Plattform gespeicherten Kreditkarteninformationen werden in verschlüsselter Form gespeichert, solange die Standard-API für den Zugriff auf Kreditkartendaten verwendet wird. Commerce Cloud führt eine automatische Schlüsselerneuerung und andere Schutzmechanismen für diese Daten aus.         

     4.      Commerce Cloud ermöglicht es dem Kunden, beim Austausch von Kreditkartendaten mit Drittanbietersystemen die Transportverschlüsselung (TLS/SSH) oder die Nutzlastverschlüsselung (branchenübliche Verschlüsselungsfunktionen) zu verwenden. Die SiteGenesis-Referenzanwendung verwendet die Plattform ordnungsgemäß, um sicherzustellen, dass alle sensiblen Teile einer Verbrauchersitzung geschützt sind. Dies gilt auch für die administrative Business Manager-Anwendung.

     5.      Gegebenenfalls scannt Commerce Cloud auf Viren und/oder Malware.

     6.      Commerce Cloud folgt den branchenüblichen Codierungspraktiken und überwacht Sicherheitsverteilerlisten, um sicherzustellen, dass die Entwicklung von Kernkomponenten auf sichere Weise erfolgt. Außerdem wird im Rahmen des QS-Prozesses nach Sicherheitslücken gesucht. Der Kunde ist für die Suche nach Sicherheitslücken und die Durchführung von Codeüberprüfungen bei Anpassungen, die er für den Service erstellt hat, verantwortlich.

     7.      Commerce Cloud schränkt den Zugriff auf Kundendaten strikt auf interne Mitarbeiter ein, die eine Geschäftsanforderung haben, die den Zugriff rechtfertigt. Diese Personen werden im Rahmen ihrer Beschäftigung bei Commerce Cloud Hintergrundüberprüfungen unterzogen.

     8.      Der Benutzerzugriff in der gesamten Commerce Cloud-Commerce-Plattformumgebung wird durch ein Prüfprotokoll geschützt, das die Identifizierung des Benutzers anhand seiner eindeutigen ID ermöglicht. Für Commerce Cloud-Mitarbeiter wird dies durch Commerce Cloud-Richtlinien und -Verfahren erzwungen.

     9.      Der physische Zugriff entspricht in allen Einrichtungen der Commerce Cloud-Commerce-Plattform den PCI DSS-Anforderungen.

     10. Commerce Cloud überwacht externe und interne Verbindungen auf unerwarteten Datenverkehr. Zusätzlich verwaltet Commerce Cloud umfassende interne Log-Dateien und bietet Kunden die Möglichkeit, Sicherheits- und benutzerdefinierte Protokolle für 30 Tage herunterzuladen. 

     11. Commerce Cloud testet unseren Service im Rahmen unseres QS-Prozesses sowie durch regelmäßige Penetrationstests und Sicherheitslückenscans durch unseren externen Sicherheitsprüfer. Der Kunde ist für das Testen seiner Storefront, seiner Anpassungen und aller Integrationen anderer Services verantwortlich. 

     12. Commerce Cloud verfügt über gut definierte interne Richtlinien und Verfahren zur Informationssicherheit.


Kundenverantwortung

Wie bereits erwähnt, ist bei externen Integrationen oder Anpassungen, die auf der Commerce Cloud-Commerce-Plattform basieren, der Kunde für die Sicherstellung der PCI-DSS-Konformität verantwortlich. Typische Beispiele:

  • Externe Integration in OMS und andere Services: Erfolgt sie über TLS und mit entsprechenden Firewall-Einschränkungen?
  • In Bezug auf die Firewall-Regeln sind die Kunden für die angeforderten ausgehenden Ports verantwortlich, die in Commerce Cloud offen sein sollen. Kunden sollten unsichere Ports und deren Auswirkungen auf ihre PCI-Konformität berücksichtigen. Wenn Sie Fragen haben, wenden Sie sich an Ihren qualifizierten Sicherheitsgutachter. Kunden sollten alle 6 Monate überprüfen, ob die angeforderten ausgehenden Ports offen sein müssen, und Commerce Cloud benachrichtigen, wenn diese Ports nicht mehr erforderlich sind, damit sie entfernt werden können.
  • Kunden müssen festlegen, wie lange sie Zahlungsdaten aufbewahren. Dies kann im Business Manager verwaltet werden, indem die Aufbewahrung von Zahlungsinformationen definiert wird.
  • Benutzerdefinierte Exporte werden verschlüsselt und entsprechend behandelt.
  • Alle Anpassungen werden unter Berücksichtigung der möglichen Sicherheitsauswirkungen vorgenommen. Der Kunde ist dafür verantwortlich, sicherzustellen, dass seine Anpassungen keine Kreditkartendaten oder anderen sensiblen Informationen auf unsichere Weise erfassen. Die Speicherung von Kreditkarteninformationen in Klartext (auch in Log-Dateien) ist niemals zulässig und die Kunden sind für die Einhaltung dieser Anforderung verantwortlich.
  • Die Penetrations- und Sicherheitslückentests werden von einem externen qualifizierten Sicherheitsgutachter/zugelassenen Scanning-Anbieter ausgeführt.
  • Führen von benutzerdefinierten spezifischen Protokollen zu Sicherheit und Zugriffskontrolle des Kunden, d. h. Kunden, die das Commerce Cloud-Protokoll-Framework, Fehler-, benutzerdefinierte Fehler-, Sicherheits- oder andere Protokolle verwenden. Benutzerdefinierte Protokolle und andere Sicherheitsprotokolle sollten binnen 30 Tagen vom Kunden heruntergeladen und entsprechend der PCI DSS-Anforderung archiviert werden.
  • Die Zwei-Faktoren-Authentifizierung muss für Code-Aktualisierungen (über Commerce Cloud Studio) am Staging-System der Kunden eingerichtet werden. Dieses Zwei-Faktoren-Zertifikat wird vom Kunden verwaltet und er kann seinen eigenen Sicherheitsrichtlinien folgen, die er für Code-Bereitstellungen im Commerce Cloud-Service eingerichtet hat.

HINWEIS: Diese Liste ist nicht vollständig. Sie sollten sich an Ihren PCI DSS-Gutachter oder -Berater wenden, um alle Anforderungen und Pflichten zu bestimmen, die Sie erfüllen müssen, um Ihre PCI DSS-Händlerkonformität aufrechtzuerhalten.


Wie kann Commerce Cloud mir bei meiner Prüfung helfen?

Die meisten Prüfer sind mit der Arbeit mit externen PCI-konformen Partnern vertraut. Sie können alle relevanten Dokumentationen über die obigen Links herunterladen. Dazu gehört unsere Listung als Serviceanbieter bei den Kreditkartenunternehmen. Sie können auch ein Ticket beim Support erstellen, um eine Kopie der Commerce Cloud-Konformitätsbescheinigung (AOC) zu anfordern. Dies sollte für Ihren Prüfer ausreichen, um festzustellen, wo unsere Verantwortung als Serviceanbieter endet und wo Ihre Verantwortung beginnt. Commerce Cloud unterstützt den Kunden nicht bei der Durchführung einer PCI-Prüfung, einschließlich Fragebogen zur Selbstbewertung (Self-Assessment Questionnaires, SAQ).


Planung von Prüfungen/Sicherheitsscans
Lesen Sie die Informationen unter Sicherheitsbewertungen.


An wen kann ich mich bei Fragen wenden?

Wenn Sie in diesem Dokument keine Antwort auf Ihre Frage finden, posten Sie eine Frage im Abschnitt "Platform Operations" (Plattformvorgänge) des Entwicklerforums hier. Alle geposteten Fragen werden von einem Commerce Cloud-Ansprechpartner beantwortet.

Nummer des Knowledge-Artikels

000391196

 
Laden
Salesforce Help | Article