Wie kann ich Online-Zahlungen mit Adyen sicher integrieren?
Schützen Sie Ihr Unternehmen vor Online-Angreifern
Bösartige Angreifer (Menschen oder Organisationen) könnten Ihr Unternehmen zum Ziel von Online-Angriffen machen. Je nach Methode Ihrer Integration von Adyen in Ihre Dienste gibt es zusätzliche Sicherheitsmaßnahmen, die Sie berücksichtigen sollten, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Unternehmens- und Kundendaten zu schützen.
Wie Sie kompromittiert werden könnten
Angreifer können versuchen, Zugangsdaten zu fälschen oder zu stehlen, um auf Ihre Umgebung zuzugreifen. Einige bekannte Techniken sind Brute-Force-Angriffe auf schwache Passwörter oder das Ausnutzen einer schwachen oder fehlerhaften Admin-Authentifizierung. Phishing oder sogenannte Social-Engineering-Tricks werden häufig eingesetzt, um eine Person innerhalb Ihres Unternehmens zu täuschen und so Zugriff auf sensible Informationen zu erhalten.
Wenn Angreifer unbefugten Zugriff auf Ihre Seiten erlangen, können sie Kartendaten stehlen. Ein potenzieller Angreifer kann verschiedene Arten von Cross-Site-Scripting-Angriffen durchführen:
- Indem sie einer Zahlung an eine betrügerische Seite weiterleiten, von der aus die eingegebenen Zahlungsdetails an die Angreifer gesendet werden, bevor der Zahlungsvorgang auf der legitimen Seite fortgesetzt wird.
- Indem sogenannte Overlays über ihrer eigentlichen Zahlungsseite eingeblendet und Kartendaten abgegriffen werden, bevor die Zahlung tatsächlich durchgeführt wird.
- Indem Sie die Seite mit bösartigem Code verändern, beispielsweise über sogenannte Keylogger, um die Kartendaten während ihrer Eingabe durch Käufer abzugreifen.
Wie Sie das Risiko einer Kompromittierung senken können
Die Einführung grundlegender Sicherheitsmaßnahmen kann Risiken signifikant senken. Sie sollten Ihre Benutzerkonten, Systeme und den Entwicklungszyklus Ihrer Plattform auf geeignete Weise verwalten.
Verwaltung von Benutzerkonten
- Ändern Sie die Benutzernamen und Passwörter, die der Anbieter voreingestellt hat.
- Verwenden Sie starke Passwörter, um Brute-Force-Angriffe zu verhindern. Verwenden Sie lange Passwörter, die Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten.
- Vermeiden Sie Konten, deren Zugangsdaten von mehreren Personen verwendet werden.
- Erzwingen Sie eine Multi-Faktor-Authentifizierung (MFA), insbesondere bei der Anmeldung von öffentlich verfügbaren Geräten.
Systemverwaltung
- Aktualisieren Sie Systeme und Software mit den neuesten Sicherheits-Updates.
- Lesen Sie die Sicherheitsempfehlungen Ihres E-Commerce- oder Website-Anbieters und befolgen Sie diese.
- Prüfen Sie regelmäßig die Aktivitäten von Administratoren und Benutzern, um ungewöhnliche Aktivitäten durch potenzielle Angreifer zu erkennen.
Verwaltung des Entwicklungszyklus
- Berücksichtigen Sie bewährte Sicherheitsverfahren in den Entwurfs-, Entwicklungs- und Testphasen Ihres Entwicklungszyklus.
- Prüfen Sie Änderungen an Ihren Zahlungsseiten und verwandtem Quellcode. Richten Sie eine kontinuierliche Überwachung ein, um unerwartete Änderungen zu erkennen und auf sie zu reagieren.
- Verwalten Sie Supply-Chain-Risiken, um Angriffe über externe Anbieter zu erkennen, auf sie zu reagieren und sie zu verhindern.
- Stellen Sie sicher, dass Client-seitige Ressourcen in Ihren Seiten von autorisierten Domains geladen werden. Das könnten beispielsweise JavaScript-Bibliotheken, CSS, Chatbots, Analyse-Tools usw. sein.
- Generieren Sie keine Pay-by-Link-URLs auf öffentlich zugänglichen Systemen. Es ist besser, den Host-Teil der URL automatisch zu validieren, bevor sie an Ihren Kunden gesendet wird.
- Implementieren Sie Cross-Origin Resource Sharing und Subresource Integrity. Weitere Informationen hierzu finden Sie in unseren Entwicklungsressourcen.
- Implementieren Sie eine Inhaltssicherheitsrichtlinie (Content Security Policy, CSP), um unter anderem Cross-Site-Scripting-Angriffe zu verhindern. Sie können CSPs einsetzen, indem Sie den HTTP-Header „Content-Security-Policy“ auf Ihrem Webserver hinzufügen und ihn so konfigurieren, dass nur Ressourcen aus vertrauenswürdigen Quellen akzeptiert werden. Verwenden Sie nur die folgenden Direktiven: Adyen, Amazon Pay, PayPal und Google Pay.
Mehr erfahren
Es gibt viele öffentliche Frameworks und andere Leitlinien, die Ihnen bei der Absicherung Ihrer Geschäftstätigkeiten helfen können. Natürlich sollten Sie sichere Programmierpraktiken befolgen, aber Sie sollten auch kontinuierlich mithilfe von Maturity-Frameworks Ihre Sicherheitsmaßnahmen bewerten. Für weitere Informationen empfehlen wir die folgenden Ressourcen:
War dieser Artikel hilfreich?
Der Leitfaden zur Integrationssicherheit
Befolgen Sie Best Practices, um Sicherheitsrisiken zu reduzieren.
Leitfaden zur Integrationssicherheit ansehen