Zen-Cart 1.5 ist PA/DSS zertifiziert.

Nähere Informationen dazu finden Sie auf:
http://en.wikipedia.org/wiki/PA-DSS

Wenn Sie Ihren Shop derart zertifiziert betreiben wollen, z.B. weil Ihr Payment Anbieter das verlangt, dann beachten Sie bitte, dass Sie zusätzlich zu den normalen Installationsschritten und im laufenden Betrieb folgendes beachten müssen:

PA-DSS Zen-Cart nutzt aus Sicherheitsgründen Apache .htaccess Dateien um einige Verzeichnisse besser schützen zu können. Stellen Sie sicher, dass die Einstellungen Ihres Apache Servers die Nutzung von .htaccess Dateien erlauben (Die meisten tun das). Falls Sie sich nicht nicht sicher sind, fragen Sie bitte Ihren Webspace/Hosting Anbieter.

Insbesondere sollte bei Ihrem Apache Server die Einstellung AllowOverride auf 'All'" oder zumindestens auf 'Limit' und 'Indexes', vorzugsweise auch auf 'Options' gesetzt sein.

Falls Sie keinen Apache Webserver nutzen, sondern beispielsweise IIS oder nginx, dann sollten Sie entsprechenden Schritte unternehmen, um Ihre Verzeichnisse in der gleichen Art wie die mitgelieferten Zen-Cart .htaccess Dateien zu schützen. Ihr Webserver muss in der Lage sein Webseiten anzuzeigen, die eine SSL Verschlüsselung benutzen. Außerdem sollten Sie ein SSL Zertifikat für Ihre Domain auf Ihrem Webserver installiert haben. Falls Sie kein SSL Zertifikat besitzen oder sich unsicher sind, ob Sie Eines besitzen, dann nehmen Sie Kontakt mit Ihrem Webspace/Hosting Anbieter auf.

Ihr Webspace/Hosting Anbieter muss Ihnen ebenso die Möglichkeit anbieten, SFTP (Secure FTP) für den Transfer Ihrer Dateien zum/vom Server nutzen zu können.

Um den Anforderungen der PA-DSS gerecht zu werden müssen Sie im Adminbereich und im Shop SSL aktivieren.
Nach der Aktivierung nutzt Zen-Cart automatisch SSL auf den entsprechenden Seiten in Ihrem Shop (z. B. Kasse, Kundenkonto, Anmeldung/Login, etc.) solange Sie SSL aktiviert lassen.
Weiterhin werden alle in der Standardinstallation eingebauten Zahlungsmodule, die die Zahlung per Kreditkarte akzeptieren, NICHT funktionieren, wenn die SSL nicht aktiviert haben.
Sie werden wahrscheinlich diese Installation ohne SSL durchgeführt haben, dadurch ergibt sich eine extrem kleine Möglichkeit, dass jemand Ihre Zugangsdaten für den Adminbereich abgefangen hat.
Stellen Sie daher sicher, dass Sie SSL für Ihren Adminbereich aktiviert haben.
Wenn Sie den SSL Status für Ihren Adminbereich geändert haben, läuft Ihr Passwort unverzüglich ab und Sie müssen ein neues Passwort erstellen. Diese Vorgehensweise hilft Ihnen zusätzlich sicher zu gehen, dass wenn jemand Ihnen die Zugangsdaten über eine ungesicherte Verbindung gestohlen hat, er diese nicht mehr nutzen kann.

Wichtig: Eine der Anforderungen von PA-DSS ist es, dass Sie Ihre Log Dateien regelmäßig anschauen, um einen unberechtigten Zugriff zu erkennen und die entsprechenden Gegenmaßnahmen einzuleiten.

Wichtig: Eine der Anforderungen von PA-DSS ist es, dass Sie diese Log Dateien mindestens 12 Monate aufbewahren.
Während wir Ihnen die Möglichkeit zur Verfügung stellen, diese Log Daten sicher zu speichern und zu entfernen, sind Sie als Onlineshop Betreiber dafür verantwortlich, dass diese Log Daten im Rahmen einer PCI Audit verfügbar sind.

Hinweis: Die Zen-Cart DA-DSS Zertifizierung gilt nur für den offiziell veröffentlichen Programmcode von Zen Ventures, LLC
Jede Änderung von Ihnen oder Drittanbietern, egal ob eine Änderung einer Admineinstellung, das Hinzufügen von Erweiterungen/Modulen, Codeanpassungen, etc. kann dazu führen, dass die PA-DSS Zertifizierung ungültig wird.
Es liegt an Ihnen dafür zu sorgen, dass alle oben aufgeführten Änderungen PCI gerecht in Bezug auf die PCI Sicherheitstandards sind. Falls Sie spezielle Fragen zu einer geplanten Änderung haben, dann setzen Sie sich mit Ihrem PCI Dienstleister in Verbindung und bitten ggf. um Anleitung und Überprüfung.

Wichtig: Eine der Anforderungen von PA-DSS ist es, dass Drittanbieter nur Zugang zu den Komponenten haben, die sie für ihre Arbeit benötigen und sie diesen Zugang in sicherer Art und Weise nutzen.
Ebenso sollten diese Drittanbieter alle nicht benötigten Kopien Ihrer Informationen nach Entzug des Zugangs vernichten.

PCI Compliance: Sie dürfen weder Zahlungsmodule verwenden, die die komplette Kreditkartennummer oder -prüfziffer in Ihrer Datenbank speichern, noch die komplette Kreditkartennummer oder -prüfziffer per E-Mail an den Shopinhaber oder sonstigen Personen sendet.