Skip to content

Nix mit PCI DSS

Geschrieben von Björn Harste am
Von Concardis kam mal wieder die alljährliche Anfrage nach der Bestätigung der Einhaltung der PCI-DSS-Standards.

Anstatt mich wieder einmal durch diesen unsäglich unverständlichen Fragenkatalog zu quälen, der offenbar ausdrücklich darauf ausgelegt ist, dass ihn kein normal sterblicher Mensch verstehen kann, habe ich dieses E-Mail jetzt einfach mal folgendermaßen beantwortet:

Sehr geehrte Damen und Herren,

bitte nehmen Sie zur Kenntnis, dass ich als Onlineshopbetreiber, der auf seinem Server KEINE Kreditkartendaten verarbeitet, auch keine PCI-Zertifizierung benötige.

Abgesehen davon ist der Onlineshop seit einem Jahr ohnehin offline: https://www.bjoern-shop.de/
Mal gucken, was da als Rückmeldung kommt …

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Alexander M. am :

Hm, akzeptierst Du im Markt keine Kreditkarten? Wenn doch, dann wäre doch auch dafür die Auditierung gemäß PCI DSS nötig...

Aber ich kann Dich beruhigen: die Auditierung für kleine Händler wie Dich ist harmlos. Da geht es ja im Wesentlichen nur um ein paar (evtl. lästige) Fragen. Bei meinem Brötchengeber, einem großen Kreditkartendienstleister, bedeutet das mehrere Wochen Audit durch Prüfer, die durch's ganze Unternehmen stöbern. Das ganze jedes Jahr und dazu jedes Vierteljahr ein kleineres Zwischenaudit.

Christian_08 am :

So ein Audit ist auch notwendig, wenn man ein Terminal nutzt, welches von einem Dienstleister gestellt bekommt und etwa Maestro- und Kreditkarten annimmt? Ich speichere, dann doch gar keine Daten, das macht doch der Dienstleister.

Alex M. am :

Bei Maestro nicht, PCI DSS bezieht sich explizit nur auf die Karten der großen Kreditkartengesellschaften, die in der PCI organisiert sind, also Visa, Amex, Mastercard, Diner's Club, JCB, …

"Speichern von Daten" umfasst ja mehr als nur die IT-mäßige Speicherung, die beim Händler tatsächlich evtl. nicht gegeben wäre, wenn er sein Kreditkartenterminal Stand-Alone, d.h. ohne Anbindung an sein Kassensystem oder so, nutzen würde. Da gehört auch schon der simple Umfang mit Belekkopien dazu. Merke: überall, wo Kreditkartendaten drauf stehen (Kartennr., Verfalldatum, Name des Karteninhabers, etc.), besteht auch die Gefahr des Missbrauchs.

Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen