Good To Know Sicherheit in der PunchOut-Kommunikation – was Unternehmen wissen sollten

Ein PunchOut ist eine elegante Lösung, um Beschaffungsprozesse zu digitalisieren und zu vereinfachen. Einkaufssysteme können dabei über standardisierte Schnittstellen wie OCIoder cXML direkt mit den Katalogen von Lieferanten kommunizieren. Doch gerade, weil dabei sensible Daten zwischen verschiedenen Systemen ausgetauscht werden, sollte auch die Sicherheit der PunchOut-Kommunikation in Unternehmen eine zentrale Rolle spielen.

Was passiert bei der PunchOut-Kommunikation?

Ein Einkäufer klickt im eigenen E-Procurement-System auf einen sogenannten PunchOut-Link. Von dort wird er in direkt in den Onlineshop des Lieferanten weitergeleitet. Nach dem Befüllen des Warenkorbs im Shop des Lieferanten wird dieser zurück ins eigene System übergeben.

Damit dieser Prozess reibungslos und sicher abläuft, müssen alle übertragenen Daten geschützt und der Zugriff eindeutig kontrolliert werden. Denn nur so lassen sich technische Zwischenfälle und unerwünschte Zugriffe von vornherein vermeiden.

Welche Risiken bringen PunchOut-Verbindungen mit sich?

PunchOut-Verbindungen laufen über das Internet und dabei bestehen typische Risiken wie:

• schwache oder fehlende Authentifizierung,
• Zugriff durch unautorisierte Dritte,
• unverschlüsselte Kommunikation,
• veraltete oder schlecht gesicherte Systeme auf beiden Seiten
• und fehlende Ablaufdaten oder unbegrenzte Zugriffsrechte bei Session-Links, die als Zugangs-Token fungieren und im schlimmsten Fall dauerhaft offen bleiben.

Gerade in sensiblen Branchen oder bei komplexen Einkaufsstrukturen kann das zu echten Problemen führen – beispielsweise zu Datenverlust, Systemausfällen aber auch unerwünschte Zugriffe durch Dritte.

Wie kann ich meine PunchOut-Kommunikation absichern?

Damit die Sicherheit gewährleistet ist, sollten Unternehmen – sowohl auf Kund:innen als auch auf Unternehmensseite – einige Standards beachten:

• Systeme aktuell halten: regelmäßige Updates und Sicherheitschecks
• Protokollwahl mitdenken: cXML bietet mehr Möglichkeiten zur Steuerung und Validierung als OCI. - Es kann daher in manchen Fällen die bessere Wahl sein
• HTTPS als Pflicht: alle Daten sollten verschlüsselt übertragen werden
• Session-Gültigkeit begrenzen: PunchOut-Links sollten nur kurzzeitig gültig sein
• Authentifizierte Sessions: nur autorisierte Nutzer:innen dürfen Zugang erhalten. Beispielsweise über ein Single Sign-On. Zugriffsrechte sollten dabei regelmäßig überprüft und veraltete oder ungenutzte Nutzerkonten deaktiviert werden.

Wie unterstützt PunchCommerce die Sicherheit in der PunchOut-Kommunikation?

PunchCommerce unterstützt Sie nicht nur dabei, Onlineshops und Lieferantenkataloge mit E-Procurement-Systemen mittels PunchOut zu verbinden – sondern sorgt auch dafür, dass Ihre Daten sicher bleiben. Durch fest definierte Sicherheitsstandards sind Datenverlust oder Compliance-Verstöße kaum möglich.

Unter anderem bietet PunchCommerce:

• SSL-Verschlüsselung aller Datenübertragungen
• Zentrale Zugangskontrolle über den Gateway-Modus inkl. Session Validierung
• Rollen- und Rechteverwaltung
• Unterstützung von OCI- und cXML-Protokollen
• Hosting in Deutschland, DSGVO-konform
• Single Sign-On (PunchCommerce One)
• Zwei-Faktor-Authentifizierung (PunchCommerce One)

Wenn Sie Fragen oder Anregungen haben, schreiben Sie uns einfach eine E-Mail an hallo@punchcommerce.de oder rufen Sie uns an unter 06142 / 953 80 - 60. Wir freuen uns über Ihr Feedback!