Suchmaschinenoptimierung Blog

Wenn wir im Auftrag der Shopbetreiber Suchmaschinenoptimierung für XT:Commerce oder osCommerce Shops durchführen, fällt uns häufig auf, dass die Shopbetreiber sehr riskant mit den Kreditkartendaten ihrer Kunden umgehen. Und zwar verwenden die Shopbetreiber das veraltete Kreditkartenmodul, das seinen Ursprung  2003/2004 in dem UR-osCommerce Shop hat.

Die Shopbetreiber fragen während des Bestellvorganges die Kreditkartendaten, also Nummer, Karteninhaber, gültig bis und die CPN Nummer ab und speichern sie direkt in der Shopdatenbank.

Wenn sich nun ein Unberechtigter Zugriff zum Administrationsbereich des Shops oder zur Datenbank verschafft, kann er alle Daten ablesen und selbst damit Bestellungen durchführen oder sogar Zahlungen veranlassen.
Den Shopbetreibern ist nicht klar, dass sie hier etwas tun, das gegen die Richtlinien ihrer Kartenakzeptanzverträge, die sie mit den Kartenunternehmen haben, verstößt.  Die Kartenunternehmen stellen dem Geschäftsmann ein Kartenlesegerät zur Verfügung und gehen davon aus, dass ein Kunde, der im Ladengeschäft mit seiner Karte bezahlt, die Karte in das Gerät steckt.

Bei Onlinebestellungen ist der Vorgang aber nun ein anderer und zwar nimmt der Shopbetreiber die Kartendaten online an und tippt sie dann von Hand in das Kartenlesegerät.

Genau das ist aber gemäß den Richtlinien der Kartenunternehmen verboten. Für den Fall, dass es dennoch vom Shopbetreiber gemacht wird, werden Schadenersatzforderungen und Konventionalstrafen angedroht.

Wenn es nun tatsächlich zu einem Mißbrauch durch Ausspähung der Kartendaten in einem Shop kommt und es kann dem Shopbetreiber die Nachlässigkeit nachgewiesen werden, dann muß er für den kompletten Schaden haften. Dies kann zum geschäftlichen und privaten Ruin führen.

Viele Shopbetreiber meinen, wenn sie den Bestellvorgang verschlüsselt in SSL laufen lassen, der Vorgang sicher wäre.  Das mag für den Übertragungsvorgang zwar stimmen, aber der Administrationsbereich des Shops ist nur durch ein Passwort geschützt. Wird dieses geknackt, hat ein Hacker Zugriff zu allen Kreditkartendaten der Shopkunden.

Häufig ist auch dieses Passwort zum Admin-Bereich so primitiv bewählt, dass man es leicht erraten kann. Beispiel:
Nutzername: Admin
Passwort z. B: Kindername + Geburtsdatum z. B. Lisa93.

Für uns als Dienstleister in Sachen Suchmaschinenoptimierung für Shops ist das immer unangenehm, wenn wir die Zugangsdaten zu einem Shop-Admin-Bereich haben, in dem Kreditkartendaten abgespeichert sind. Die Zugangsdaten benötigen wir aber, um die Suchmaschinenoptimierung einfügen zu können.

Wir würden allen Betreibern von osCommerce und xt:Commerce Shops empfehlen, das serienmäßige Kreditkartenmodul zu löschen und die Spalten mit den Kreditkartendaten der Kunden aus der MySQL Datenbank zu leeren.

Als Alternative für die Kreditkartenzahlung bieten sich z. B. die Zahlarten Paypal oder Albis Zahlungsdienste an.

Der Beitrag wurde geschrieben von Stefan Bauer.
www.top-suchmaschineneintrag.de

Der Beitrag wurde am Dienstag, den 18. November 2008 um 12:19 Uhr veröffentlicht und wurde unter Aus dem Büro, Infos für Betreiber von Onlineshops abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.