PrestaShop 1.4 schützt vor Betrug 25. März 2011

PrestaShop liefert in Version 1.4 ein Modul gegen Zahlungsbetrüger mit. Es nennt sich PrestaShop Security (es hieß vorher Presta-Fraud) und liegt momentan in Version 0.99 vor. Das Modul finden Sie im Ordner /modules/prestafraud/.

Aufgaben von PrestaSop Security

Laut dem Newsletter von PrestaShop soll das Modul folgendes können:

  • Analyse von Kundendaten
  • IP-Adressen-Kontrolle mit Geotargeting und Proxy-Erkennung
  • Überprüfung auf Nutzerverhalten (Betrugsverhalten)
  • Überprüfung von Lieferadressen und Transportart
  • Datensynchronisierung aller Shops. So kann ein Betrüger, der in einem Shop identifiziert wurde, in allen Online-Shops, die die PrestaShop Version 1.4 nutzen, identifiziert werden.

Alle Punkte sind sensible Bereiche und man muss abschätzen, ob man diese Kundendaten und Nutzerverhalten an PrestaShop übermitteln will. Es bleibt die Frage, was mit diesen Daten weiterhin gemacht wird und wer auf diese Daten Zugriff hat. (s. Abschnitt zum Thema Datensicherheit weiter unten)

Installation

Sie installieren das Modul über das Back Office in Module >> Zahlungssicherheit >> PrestasShop Security >> Installieren

Module PrestaShop Security installiert

Module PrestaShop Security installiert

Das Modul bietet viele Funktionen, um den Shop vor Betrug zu schützen. Der Shop muss dazu mit einem Konto bei PrestaShop verknüft werden. Man erhält einen Shop Schlüssel und eine Shop-ID, die bei der Prüfung mit dem Security-Modul mitsamt den Kundendaten übermittelt werden.

Unter dem Punkt „Konfigurieren“ wird das Konto angelegt. Geben Sie hierfür Ihre E-Mail-Adresse und Ihre Shop-URL an:

Modul-Konfiguration Security

Modul-Konfiguration Security

Im nächsten Schritt werden die Shop-ID und Shop-Schlüssel angezeigt, sowie die Verknüfungsmöglichkeiten zwischen Shop-Aktivität, Lieferanten mit Lieferantenart, Zahlungen und Zahlungsarten.

 

PrestaShop Security Konfiguration

PrestaShop Security Konfiguration

Manche Lieferanten und Zahlungs-Module lassen sich nicht den jeweiligen Arten zuordnen. Scheinbar fehlt es dem Modul hierbei noch an echter Praxistauglichkeit.

PrestaShop Security in Aktion

Zukünftig bewertet PrestaShop alle Bestellungen und schreibt dieses Scoring in die prestafraud_-Tabellen Ihrer Datenbank. Die Ergebnisse tauchen bei der jeweiligen Bestellung auf der Bestelldetail-Seite in dem Block „PrestaShop Security“ auf. Um eine Bestellung als Betrug an PrestaShop zu übermitteln, genügt es den Link anzuklicken „Diese Bestellung als Betrug an PrestaShop melden“.

Diese Bestellung als Betrug an PrestaShop melden

Diese Bestellung als Betrug an PrestaShop melden

Danach wird eine URL in der Form http://trust.prestashop.com/fraud_report.php?shop_id=10008&shop_key=fe3343fce2d2042047dddddd2e583a44d8888888&order_id=16

an den PrestaShop Security Service übermittelt.

Was dann genau passiert, können wir momentan leider nicht sagen. Es wird eine leere (weiße) Seite mit HTTP Status 200 (OK) zurück geliefert.

Es wäre schön, wenn ein PrestaShop mitarbeiter hier noch ein paar Erklärungen abgeben könnte, was hierbei genau passiert.

In der Bestellübersicht soll angeblich vor jeder Bestellung eine grüne, orangene oder rote Fahne stehen. Das konnten wir leider nicht bestätigen. Vielleicht gibt es hier noch einen Bug oder das Modul wurde nicht korrekt eingerichtet.

Zum Thema Datensicherheit

Alle Angaben aus dem Modul werden als xml-Datei an http://trust.prestashop.com/ übermittelt und dort weiterverabeitet. Bitte nehmen Sie diesen Aspekt bei Einsatz des Moduls in Ihre Datenschutzerklärung auf.

Leider konnten wir während der Konfiguration des Moduls nicht die Bedingungen des PrestaShop Security Services einsehen, obwohl wir diesen zustimmen mussten, um einen Key zu bekommen.

Die Pflichtangabe „Ich stimme den Bedingungen von PrestaShop Security Service zu und halte mich bedingungslos an sie.“ ist leider an keiner Stelle mit den Bedingungen verlinkt. Es gibt auch keinen Hinweis, wo diese einsehbar sind.

Wir empfehlen daher, dieses Modul nur zu Testzwecken einzusetzen und noch nicht im Livebetrieb, bis die datenschutzrechtlichen Aspekte geklärt sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.