Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden

Leitfaden zur Integration

Sorgen Sie für PCI-Konformität und eine sichere Kommunikation zwischen Kund/innen und Ihrem Server.

Seite kopieren

PCI DSS ist der globale Sicherheitsstandard für alle Unternehmen, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. PCI DSS legt ein grundlegendes Schutzniveau für Verbraucher/innen fest und trägt dazu bei, Betrug und Datenschutzverletzungen im gesamten Zahlungsökosystem zu reduzieren. Alle an der Verarbeitung, Übertragung oder Speicherung von Kartendaten Beteiligten unterliegen den Bestimmungen des Payment Card Industry Data Security Standard (PCI DSS).

Validierung Ihrer PCI-Konformität

Die PCI-Konformität stellt eine gemeinsame Verantwortung dar und gilt sowohl für Stripe als auch für Ihr Unternehmen.

  • Stripe wird jährlich von einem unabhängigen PCI Qualified Security Assessor (QSA) als PCI Level 1-Dienstleister zertifiziert, der alle PCI-Anforderungen erfüllt.
  • Als Unternehmen, das Zahlungen annimmt, müssen Sie dies auf eine PCI-konforme Art und Weise tun und diese Konformität jährlich bescheinigen.

Überprüfen Sie die Dokumentationsanforderungen für Ihr Unternehmen in Ihrem Dashboard und informieren Sie sich in diesem Leitfaden auch darüber, wie Stripe Sie dabei unterstützen kann, PCI-Konformität zu erlangen.

Integrationen mit geringem Risiko verwenden

Einige Geschäftsmodelle erfordern die Aufnahme von nicht tokenisierten PANs auf einer Zahlungsseite. Wenn Ihr Unternehmen bei der Annahme von Zahlungen sensible Kreditkartendaten direkt verarbeitet, müssen Sie möglicherweise die mehr als 300+ Sicherheitskontrollen in PCI DSS erfüllen. Dies kann erforderlich mamchen, dass Sie spezielle Sicherheitssoftware und -hardware kaufen, implementieren und warten und externe Prüfer/innen einstellen, um Ihre jährlichen Bewertungsanforderungen zu erfüllen.

Viele Geschäftsmodelle müssen keine sensiblen Kartendaten verarbeiten. Sie können stattdessen eine unserer risikoarmen Zahlungsintegrationen verwenden, um Zahlungsinformationen sicher zu erfassen und direkt an Stripe zu übermitteln, ohne dass sie Ihre Server durchlaufen, wodurch sich Ihre PCI-Verpflichtungen verringern.

Außerhalb des Geltungsbereichs liegende Kartendaten, die Sie sicher speichern können

Stripe gibt nicht vertrauliche Kartendaten in der Antwort auf eine Zahlungsanfrage zurück. Dazu gehören der Kartentyp, die letzten vier Ziffern der Karte und das Ablaufdatum. Diese Informationen unterliegen nicht der PCI-Konformität, sodass Sie jede dieser Eigenschaften in Ihrer Datenbank speichern können. Zusätzlich können Sie alle Daten speichern, die von unserer API zurückgegeben werden.

Verwendung von TLS und HTTPS

TLS bezieht sich auf das Verfahren der sicheren Datenübertragung zwischen dem Client – also der auf Kundenseite genutzten App bzw. dem Browser – und Ihrem Server. Ursprünglich wurde hierfür das Secure Sockets Layer-Protokoll (SSL-Protokoll) eingesetzte, dieses ist aber inzwischen veraltet und nicht mehr sicher. SSL wurde daher durch TLS ersetzt. Der Begriff SSL wird jedoch weiterhin umgangssprachlich verwendet, wenn es um TLS und dessen Funktion zum Schutz der übertragenen Daten geht.

Zahlungsseiten müssen eine aktuelle Version (TLS 1.2 oder höher) verwenden, da sich das Risiko von Man-in-the-Middle-Angriffen für Sie und Ihre Kundinnen und Kunden dadurch erheblich verringert. TLS möchte Folgendes erreichen:

  • Verschlüsselung und Verifizierung der Integrität des Datenverkehrs zwischen dem Client und dem Server.
  • Überprüfen Sie, ob der Client mit dem richtigen Server kommuniziert. Dies bedeutet in der Praxis üblicherweise, dass überprüft wird, ob der Eigentümer der Domäne und der Eigentümer des Servers die gleiche Einheit sind. Dadurch werden Man-in-the-Middle-Angriffe verhindert. Ohne die richtige Kommunikation gibt es keine Garantie, dass Sie den Datenverkehr für den richtigen Empfänger verschlüsseln.

Um TLS verwenden zu können, wird ein digital certificate benötigt – eine Datei, die von einer Zertifizierungsstelle ausgestellt wird. Wenn dieses Zertifikat installiert ist, ist dadurch für den Client gewährleistet, dass dieser tatsächlich mit dem Server kommuniziert, mit dem er kommunizieren soll, und nicht mit einem Betrüger. Beziehen Sie ein solches Zertifikat von einem seriösen Zertifikatsanbieter, wie z. B.:

Sie können Ihre Integration bei Bedarf ohne HTTPS testen und es aktivieren, wenn Sie zur Annahme von Live-Zahlungen bereit sind. Für alle Interaktionen zwischen Ihrem Server und Stripe muss jedoch HTTPS verwendet werden (d. h. wenn Sie unsere Bibliotheken verwenden).

Einrichten von TLS

So richten Sie TLS ein:

  1. Erwerben Sie ein Zertifikat von einem geeigneten Anbieter.
  2. Konfigurieren Sie Ihren Server für die Verwendung des Zertifikats. Da dieser Schritt komplex ist, befolgen Sie daher die Installationsanleitung des von Ihnen verwendeten Anbieters.

Da es sich bei TLS um eine komplexe Suite kryptografischer Tools handelt, kann es leicht passieren, dass Dinge übersehen werden. Wir empfehlen Ihnen, den SSL Server Test von Qualys SSL Labs durchzuführen, um sicherzustellen, dass Sie nichts vergessen und alles sicher eingerichtet haben.

Sicherheitsüberlegungen

Durch das Einbinden von JavaScript von anderen Websites machen Sie Ihre eigene Sicherheit von diesen Websites abhängig. Das stellt ein Sicherheitsrisiko dar. Falls diese Websites kompromittiert werden, sind Angreifer möglicherweise in der Lage, beliebigen Code auf Ihrer Website auszuführen. Tatsächlich nutzen viele Websites JavaScript für Dienste wie Google Analytics – auch auf sicheren Seiten. Wir empfehlen Ihnen dennoch, eine solche Nutzung weitestgehend zu vermeiden.

Wenn Sie Webhooks nutzen, sollten Sie TLS für den Endpoint verwenden. So vermeiden Sie, dass Datenverkehr abgefangen wird und Benachrichtigungen verändert werden (in einem Webhook-Ereignis sind niemals vertrauliche Informationen enthalten).

Obwohl die Einhaltung der Datensicherheitsstandards wichtig ist, sollten Sie an dieser Stelle nicht damit aufhören, sich über die Sicherheit Gedanken zu machen. Nachfolgend sind einige gute Ressourcen aufgelistet, um mehr über Websicherheit zu erfahren:

Inhaltssicherheitsrichtlinie

Wenn Sie eine Sicherheitsrichtlinie für Inhalte bereitgestellt haben, sind für Checkout, in Connect eingebettete Komponenten und Stripe.js die folgenden Richtlinien erforderlich:

  • connect-src, https://checkout.stripe.com
  • frame-src, https://checkout.stripe.com
  • script-src, https://checkout.stripe.com
  • img-src, https://*.stripe.com

Unterstützung für Cross-Origin Isolation

Derzeit werden Ursprungsübergreifende isolierte Standorte nicht unterstützt.

Cross-origin Isolation erfordert die Unterstützung durch alle Abhängigkeiten, und einige wichtige Abhängigkeiten, die unsere Zahlungsangebote ermöglichen, bieten noch keine Unterstützung für diese Funktion.

Siehe auch

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unser Änderungsprotokoll an.
Fragen? Sales-Team kontaktieren.
LLM? Lesen Sie llms.txt.
Unterstützt von Markdoc