Sicherheit bei der Übertragung personenbezogener Daten

Ein wichtiger Bestandteil bei der Bewertung internationaler Übertragungen ist die Analyse der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. In Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und anderen geltenden Datenschutzgesetzen stellt Shopify umfassende technische und organisatorische Maßnahmen bereit, um die Sicherheit der personenbezogenen Daten von Händlern und Kunden zu gewährleisten.

Diese Seite enthält eine Übersicht unseres Sicherheitsprogramms. Weitere Informationen zum Thema Sicherheit findest du hier.

Physische Sicherheit

Shopify nutzt virtuelle Hosting-Umgebungen, die in Rechenzentren mit Sicherheitszertifizierungen nach Industriestandard gespeichert werden. Diese Standorte werden physisch durch Perimetersicherheitslösungen und Sicherheitszonen mit mehreren Ebenen und Alarmanlagen, CCTV-Überwachung und Sicherheitspersonal, das rund um die Uhr vor Ort ist, sowie durch Multi-Faktor-Identifizierung, private Zellen und physische Schlösser geschützt. Festplatten verlassen das Rechenzentrum nicht, sondern werden vor Ort sicher vernichtet. Unsere Server werden in Datenzentren mit den folgenden Zertifizierungen gehostet:

Architektur

Die Shopify-Plattform basiert auf einer Architektur mit mehreren Mandanten, die für Leistung und Ausfallsicherheit optimiert ist. Personenbezogene Daten von Händlern werden durch Kontrollen auf Anwendungsebene voneinander getrennt. Die Anwendungsumgebung auf jedem Server (die Anwendung, ihre Abhängigkeiten und ihre Konfigurationsdateien) wird bei der Bereitstellung von Änderungen ersetzt, wodurch Vektoren für die Persistenz von Malware eliminiert werden.

Anwendung

Die Aufrechterhaltung der Anwendungssicherheit ist für unseren Entwicklungsprozess von entscheidender Bedeutung. Unsere Entwickler werden regelmäßig in den Best Practices für die Anwendungssicherheit geschult. Außerdem überwachen wir Schwachstellen. Shop-Inhaber können auch zusätzliche Sicherheitsfunktionen einrichten. Kontoinhaber können zum Beispiel:

  • die mehrstufige Authentifizierung in ihrem Konto aktivieren
  • Aktivitätsprotokolle anzeigen, einschließlich kürzlicher Anmeldeaktivitäten von Benutzern
  • rollenbasierte Zugriffsebenen festlegen
  • granulare Berechtigungen für den API-Bereich erzwingen

Zwei-Faktor-Authentifizierung

Funktionen wie die Zwei-Faktor-Authentifizierung fungieren als zusätzliche Sicherheitsebene, um es einer unbefugten Person zu erschweren, auf die Konten unserer Händler zuzugreifen. Diese zusätzliche Ebene kann die Wahrscheinlichkeit von Kontoübernahmen verringern.

Wenn du versuchst, dich einzuloggen, musst du zwei separate Schritte ausführen:

  1. E-Mail-Adresse und Passwort eingeben
  2. Anmeldung mit einem Mobilgerät oder einem Sicherheitsschlüssel authentifizieren

Auch wenn eine andere Person das Passwort in Erfahrung bringt, kann sie sich nicht ohne den zweiten Schritt einloggen.

Shopify bietet eine Reihe von Zwei-Faktor-Authentifizierungsmethoden, einschließlich SMS, Authentifizierungs-App und Sicherheitsschlüssel.

Weitere Informationen findest du unter Dein Konto mit der Zwei-Faktor-Authentifizierung schützen.

Verschlüsselung

Die Daten werden bei der Übertragung mit diesen branchenüblichen Verschlüsselungsprotokollen verschlüsselt:

  • SSH
  • HTTPS-TLSv1.2

Shopify verwendet das HTTPS-Protokoll für Checkout-, Storefront- und Admin-Seiten. Kreditkartendaten und andere vertrauliche Informationen in den betrieblichen Datenspeichern werden im Ruhezustand verschlüsselt. Alle Benutzerpasswörter werden beim Speichern mit dem bcrypt-Hash-Algorithmus "gesalzen" und gehasht.

Shopify verwendet Transport Layer Security (TLS), ein Verschlüsselungsprotokoll, das zur Sicherung der Kommunikation über das Internet verwendet wird, um alle Verbindungen zu den Händler-Adminbereichen und Shops zu sichern. Wenn in der Adressleiste eines Browsers neben einer URL, die mit https:// beginnt, ein Vorhängeschloss-Symbol angezeigt wird, bedeutet dies, dass die Verbindung TLS verwendet. TLS schützt alle Verbindungen zu Shopify, einschließlich Händlerverbindungen und Händler-Kunden-Verbindungen. Shopify unterstützt für das TLS-Protokoll die Version TLS 1.2 und höher.

TLS-Zertifikate bieten Händler-Shops die folgenden Vorteile:

  • Sie fügen eine Sicherheitsebene hinzu, indem sie personenbezogene Kundendaten verschlüsseln.
  • Sie helfen dir dabei, Kundenvertrauen aufzubauen, indem ein Vorhängeschloss-Symbol neben der URL des Onlineshops angezeigt wird.

Weitere Informationen findest du unter Transport Layer Security und Sichere Verbindungen zu deinem Shopify-Shop aktivieren.

PCI-Compliance

Shopify ist gemäß Level 1 des PCI DSS zertifiziert. Das PCI Security Standards Council ist eine weltweit anerkannte Organisation, die sich für die Einhaltung von Standards für die sichere Abwicklung von Kreditkartentransaktionen einsetzt. Das Unternehmen hilft Anbietern wie Shopify-Händlern, Kreditkartenzahlungen sicher zu verarbeiten und Karteninhaberdaten zu schützen.

Wir bei Shopify nehmen das sichere Hosting deines Shops ernst. Wir haben viel Zeit und Geld investiert, um sicherzustellen, dass unsere Lösung PCI-DSS-konform ist. Von jährlichen Bewertungen zur Überprüfung der Konformität bis hin zum kontinuierlichen Risikomanagement arbeiten wir hart daran, um das Hosting von Warenkörben und E-Commerce-Seiten sicher zu gestalten.

Alle von Shopify betriebenen Shops sind standardmäßig PCI-DSS-konform, sodass unsere Händler Zahlungsinformationen und Geschäftsdaten sicher nutzen können.

Unsere Konformitätsmaßnahmen decken die sechs PCI-Standard-Ziele ab:

  • Aufrechterhaltung eines sicheren Netzwerks
  • Schutz von Karteninhaberdaten
  • Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen
  • Implementierung strenger Zugriffskontrollen
  • regelmäßige Überwachung und Prüfung der Netzwerke
  • Aufrechterhaltung einer Informationssicherheitsrichtlinie

Erfahre mehr über die PCI-Compliance von Shopify.

Service Organization Control (SOC)

Service Organization Control-Gutachten (SOC-Gutachten) sind Bewertungen von Informationssystemen eines Unternehmens durch externe Prüfer, die bescheinigen, dass das Unternehmen eine Reihe unabhängiger Standards einhält, einschließlich Kriterien in Bezug auf die Sicherheit und Verfügbarkeit seiner Dienste.

Shopify wurden für den Dienst, den wir unseren Kunden anbieten, die folgenden Gutachten ausgestellt:

  • SOC 2, Typ II
  • SOC 3

Weitere Informationen zu diesen Gutachten findest du in unseren Compliance-Berichten. Jeder Benutzer, der als Händler eingeloggt ist, kann das Gutachten für SOC 2 Typ II einsehen.

Sonstige Sicherheitsvorkehrungen

Die Sicherheitskontrollen von Shopify umfassen eine Reihe von grundlegenden Sicherheitsfunktionen, u. a. die folgenden:

  • Es werden regelmäßig Schwachstellen-Scans und Penetrationstests von Drittanbietern durchgeführt, um potenzielle Sicherheitslücken zu ermitteln und zu beheben.
  • Die Leistung von Servern und Anwendungen wird von unserem technischen Produktionsteam kontinuierlich überwacht.
  • Unsere Konfigurationsverwaltungs-Tools stellen sicher, dass auf den Servern die aktuelle Konfiguration angewendet wird.
  • Shopify überwacht die entsprechenden Quellen zur Offenlegung von Schwachstellen und Sicherheitsupdates und ergreift gegebenenfalls Maßnahmen.
  • Händler und Sicherheitsauftragnehmer können Tests in ihrer eigenen Storefront durchführen.
  • Händler werden dazu aufgefordert, Plattform-Entdeckungen an unser HackerOne-Programm zu melden.
  • Unsere Systeme sind für die schnelle Wiederherstellung von Daten im Falle einer Katastrophe ausgelegt. Die Wiederherstellung von Sicherungskopien wird täglich getestet.
  • Shopify verfügt über mehrere Redundanzebenen, um sicherzustellen, dass Händlerdaten für Händler verfügbar sind und dass Kunden die Händler-Shops nutzen können.
  • Wir folgen einem formellen Verfahren für die Reaktion auf Vorfälle und die Problemlösung.
  • Die Geräte der Mitarbeiter werden zentral verwaltet, um Sicherheitsmaßnahmen im Einklang mit den Shopify-Sicherheitsrichtlinien zu implementieren und einzuschränken.
  • Die Konfiguration der Web Application Firewall (WAF) ist plattformübergreifend.
  • Shopify verfolgt eine Präventionsstrategie für Datenverlust durch Plattform- und Sicherheitsüberwachung, wie z. B. Systeme zur Prävention und Erkennung von Eindringlingen (IDS/IPS) in vertraulichen Umgebungen.
  • Shopify implementiert rollenbasierte Zugriffskontrollen nach dem Prinzip der geringsten Privilegien.
  • Wir unterstützen dich bei der jährlichen Sicherheitsüberprüfung, indem wir unsere unabhängigen Auditberichte wie z.
    B. SOC 2 Typ II zur Verfügung stellen.
  • Mitarbeiter erhalten Schulungen zum Thema Informationssicherheit und zu den vertraglichen Geheimhaltungspflichten.

Weitere Informationen findest du unter Sicherheit.

Bereit, mit Shopify zu verkaufen?

Kostenlos testen