Voraussetzung für kleinen Webshop mit Zahlungs-Gateways

[GwenDragon]

Eine Bekannte von mir will auf einer Subdomain einen kleinen Webshop mit ca 50 Produkten betreiben. Die Zahlungen sollen über Anbieter wie Paypal abgewickelt werden. Kartendaten werden nicht gespeichert, nur Name, Lieferadressen, Mail.

Im Grunde genommen soll sowas wie xtcomerce, Magento oder ähnlich professionelle Shopsoftware benutzt werden.

Bei einem Hoster mieten oder den Shop installieren und regelmäßig updaten?
Rechnungen sollten online erzeugt werden und nach Bestellung udn Bestätigung druch die Transaktions-ID des Zahlungsanbieters als PDF versandt.
Welche technische Voraussetzung muss vorhanden sein, damit es keinerlei Probleme?
Ist PCI-Compliance der Hauptdomain nötig, wenn nur ein Zahlungsgateway vorliegt? Oder reicht es ein anerkanntes SSL-Zertifikat zu haben?

Einfach unpraktisch, wenn sich eine bei ecommerce nicht so auskennt, weil nur Programmierung und Webdesign.
Danke für euer Verständnis.

 

[d4f]

Achtung; keine Rechtsberatung!

Ist PCI-Compliance der Hauptdomain nötig, wenn nur ein Zahlungsgateway vorliegt?

Neben vereinfachter Handhabung ist genau der Wegfall von PCI DSS Compliance _DER_ Hauptgrund um Zahlungssdienstleister wie Saferpay oder Paypal überhaupt zu verwenden. Somit; nein, PCI Compliance ist dann nicht notwendig.

Oder reicht es ein anerkanntes SSL-Zertifikat zu haben?

Rein theoretisch gibt es keine gesetzliche Pflicht ein SSL-Zertifikat zu verwenden. Natürlich sollte man aber mindestens ein solches verwenden, besser sogar ein hübsches EV Zertifikat.

Im Grunde genommen soll sowas wie xtcomerce, Magento oder ähnlich professionelle Shopsoftware benutzt werden.

Die tatsächliche "Professionalität" der Software, Funktionen und Umfang im Voraus sehr gründlich testen! Viele Shopsysteme sind für einige Einsatzbereiche untauglich oder schlicht generell untauglich oder werden gar nicht mehr wirklich weiterentwickelt.

 

[Deleted member 4401]

Rein theoretisch gibt es keine gesetzliche Pflicht ein SSL-Zertifikat zu verwenden. Natürlich sollte man aber mindestens ein solches verwenden, besser sogar ein hübsches EV Zertifikat.

Wobei auch zu erwähnen wäre dass seriöse (zumindest die mir bekannten) Credit Card Payment Processors Zahlungsabwicklungen die nicht über eine SSL Verbindung kommen grundsätzlich ablehnen. Zumindest wenn ein eigenes API Interface benutzt wird und nicht einfach das Formular der Processor Site per iframe.
Hiebei (also bei der API Schnittstelle) reicht dann aber auch ein "einfaches" Zertifikat aus.

 

[Bierteufel]

Sieh Dir mal den Gambio GX2 (www.gambio.de) (ist auch ein XTCommerce Ableger) an. Der bringt eigentlich alles mit was Du benötigst. Auch die Module zu den Zahlungsanbietern lassen sich recht einfach einbinden.

 

[Firewire2002]

bad_brain hat einen entscheidenden Punkt angesprochen: Es ist wahnsinnig relevant wie das Payment Gateway eingebunden wird. Wenn APIs im Hintergrund genutzt werden und der eigene Shop nach wie vor die Schnittstelle zum Kunden ist (der Kunde somit nicht zur eigenen Website des Gateways geleitet wird) kann es je nach Gateway auch die PCI Anforderungen für den Shop geben.
Wenn dieser die Daten nur durchleitet sind die Anforderungen in der Regel kleiner als für die Gateways selbst.
Welche Anforderungen man erfüllen muss, entscheidet dann allerdings der jeweilige Vertragspartner.