Per E-Mail kam eine Anfrage der Kriminalpolizei Bremen. Man ermittelt im Rahmen eines Betrugs mit gestohlenen Kreditkartendaten. Mit diesen gestohlenen Daten sei bei uns eingekauft und gleichzeitig via Cashback auch 200 Euro Bargeld vom betroffenen Konto abgehoben worden.
Uns trifft keine Schuld und wir haben auch keinen Schaden erlitten. Aber ob ich zur Identifizierung des Täters oder der Täterin mit Bildern aus der Videoaufzeichnung, sofern wir denn eine haben, helfen könnte, wollte die Absenderin der Mail wissen.
Unsere Anlage speichert ganz DSGVO-konform maximal 72 Stunden und überschreibt die Aufzeichnungen dann automatisch wieder. Nach fünf Monaten war da nun beim besten Willen nichts mehr zu machen.
Post vom Finanzdienstleister Concardis, die mich zunächst zusammenzucken ließ:
Außerordentliche Kündigung der Geschäftsbeziehung Geschäftspartner-Nr.: xxx
Sehr geehrte Damen und Herren,
als Ihr Partner für die Abwicklung von Kartenzahlung ist uns aufgefallen, dass Sie über einen längeren Zeitraum die Vorteile der Kartenakzeptanz nicht mehr über uns genutzt haben.
Im Rahmen des Gesetzes zur Verhinderung der Geldwäsche- und Terrorismusfinanzierung (GWG) verlangt der Gesetzgeber von uns, inaktive Konten zu deaktivieren.
In diesem Fall sind wir leider dazu verpflichtet, die Geschäftsbeziehung zu beenden und kündigen Ihren Vertrag zur Kreditkartenakzeptanz daher außerordentlich und mit sofortiger Wirkung.
Wir bedauern diese Entscheidung sehr und möchten Ihnen versichern, dass Sie ein wertvoller Kunde für uns sind. Gerne möchten wir Sie für die Reaktivierung Ihrer Kartenakzeptanz begeistern. Wir beraten Sie gerne zu den vielen Vorteilen des bargeldlosen Bezahlens: […]
Nachdem ich kurz mein E-Mail-Archiv nach der angegebenen Geschäftspartnernummer durchsucht hatte, war ich schlauer: Das ist, bzw. war der alte Vertrag, über den die Kreditkarten vom Onlineshop abgerechnet wurden. Die Geschichte, die mich auch immer wieder unsinnigerweise bis vor ein paar Jahren mit diesem PCI-DSS-Krempel genervt hat.
Hat sich damit wohl endgültig erledigt.
Süß aber irgendwie, dass wir zwar ein paar Jahre lang schon nicht mehr die Kartenzahlung nutzen, aber ich dennoch ein wertvoller Kunde bin.
Nach langer Zeit gab es mal wieder eine Meldung von Concardis, bei denen ich über unser drittes ec-Terminal immer noch Kunde bin (Kreditkartenabrechnung) und über die wir auch die Kreditkarten vom Onlineshop abgerechnet hatten. Dass es den Shop nicht mehr gibt, hatte ich zwar schon etliche Male mitgeteilt, aber entweder entweder waren E-Mails der falsche Kommunikationsweg für eine solch wichtige Info oder es hat einfach niemanden interessiert. Dauernd kamen diese Self-Assessment-Questionaires, die ich irgendwann ignoriert habe. Letztendlich war es egal, es gab keinen Shop mehr und damit keine Online-Kartenzahlungen und damit auch kein Sicherheitsrisiko.
Nun war fast zwei Jahre Ruhe und jetzt kam diese Mail von der ich nicht mal die etwas krude Anrede so richtig verstanden habe.
Sehr geehrte Herr/Frau Haste,
die starke Kundenauthentifizierung (SCA) ist ab dem 01. Januar 2021 für alle e-commerce Händler im europäischen Währungsraum verpflichtend.
Ab heute können Sie Ihre Ecommerce Transaktionen problemlos mit dem neuen Sicherheitsstandard der starken Kundenauthentifizierung (SCA = Strong Customer Authentication) authentifizieren lassen.
Ihr Payment Service Provider (PSP*) stellt Ihnen neben der Transaktionsabwicklung auch die gesetzlich vorgeschriebenen Möglichkeiten zur 2-Faktor Authentifizierung zur Verfügung. Damit Ihr PSP auch die auf Ihr Concardis Konto individualisierten Parameter korrekt einsetzen kann, müssen Sie Ihrem PSP lediglich die nachfolgend gezeigten Parameter mitteilen. Sobald diese Werte bei Ihrem PSP registriert sind, stehen Ihnen die Möglichkeiten der 2 Faktor Authentifizierung zur Verfügung. […]
Mal gucken, wie lange mich das Thema (alter) Onlineshop noch verfolgt.
Es folgte die übliche und alljährliche E-Mail von Concardis mit der Aufforderung, diese komische Compliance-Validierung mit Hilfe des Selbstbewertungsfragebogens (Self-Assessment Questionnaire (SAQ)) abzuarbeiten. Letztes Jahr hatte ich denen schon geschrieben, dass ich nicht selber Kreditkartendaten erfasst, gespeichert oder gar bearbeitet habe und der Onlineshop ohnehin seit einer Weile nicht mehr existent ist.
Und ich hatte hier im Blog geschrieben: "Mal gucken, was da als Rückmeldung kommt …"
Es kam nie eine Rückmeldung und offenbar hat auch niemand meine E-Mail beachtet. Ist mir aber auch egal, ich ignoriere die Anfrage jetzt einfach gänzlich. Augenverdrehsmiley.
Von Concardis kam mal wieder die alljährliche Anfrage nach der Bestätigung der Einhaltung der PCI-DSS-Standards.
Anstatt mich wieder einmal durch diesen unsäglich unverständlichen Fragenkatalog zu quälen, der offenbar ausdrücklich darauf ausgelegt ist, dass ihn kein normal sterblicher Mensch verstehen kann, habe ich dieses E-Mail jetzt einfach mal folgendermaßen beantwortet:
Sehr geehrte Damen und Herren,
bitte nehmen Sie zur Kenntnis, dass ich als Onlineshopbetreiber, der auf seinem Server KEINE Kreditkartendaten verarbeitet, auch keine PCI-Zertifizierung benötige.
Abgesehen davon ist der Onlineshop seit einem Jahr ohnehin offline: https://www.bjoern-shop.de/
Ich habe mal scherzeshalber eine Phishing-Mail komplett durchgespielt. Sie tat so, als wenn sie in einer dringenden Kontoangelegenheit von Paypal gesendet worden wäre.
Abgefragt wurden nacheinander die Paypal-Zugangsdaten, die eigenen persönlichen Daten inkl. Adresse und Geburtsdatum, die Bankverbindung(en) und die Kreditkartennummer(n) inkl. Sicherheitscodes und Geheimzahlen.
Hinterher landete man kommentarlos auf der echten Paypal-Startseite.
Wer da seine echten Daten eingibt, hat es schon fast nicht mehr besser verdient.
In der letzten halben Stunde habe ich mal wieder den PCS-DSS-Fragebogen bearbeitet. Das ist natürlich alles für uns relativ egal, da wir überhaupt keine Kreditkartendaten auf unseren Systemen speichern oder verarbeiten – weder hier im Laden (zertifizierte Terminals), noch über den Onlineshop (Erfassung der Kartendaten erfolgt komplett auf der Website von Ingenico). Dennoch habe ich wieder einmal nach bestem Wissen und Gewissen versucht, meiner Verpflichtung nachzukommen, den Nachweis gegenüber den Kreditkartenorganisationen über die Konformität mit dem PCI-Standard zu erbringen.
Auch wenn ich bei 90% der Fragen das Gefühl hatte, dass der Finanzdienstleister und ich in zwei unterschiedlichen Universen beheimatet sind.
Seit Anfang des Jahres sind (nicht nur) meine Kontoführungsgebühren deutlich teurer geworden. Da die ec-Zahlungen bis dahin pro Zahlung abgerechnet worden sind, hätte ich alleine für den Markt in der Gastfeldstraße nun deutlich über 500€ an Gebühren pro Monat bezahlen müssen.
Nun habe ich mich bei einem System direkt bei unserem Kartenanbieter registriert, dass die Zahlungen gegen eine kleine Gebühr, deutlich kleiner als bei meiner Bank, zusammenfasst. Bei mir auf dem Konto wird dann nur noch eine einzelne Buchung berücksichtigt.
Es ist nun mal so, dass ich hier (und auch im Markt in der Münchener Straße) für Kartenzahlungen keinen Mindestbetrag vorschreibe. Dabei entstehen dann natürlich solche Kuriositäten wie das berühmte Duplo mit Kreditkarte – aber für mich ist das immer ein besonderer Service gewesen, den man definitiv nicht überall bekommt.
Momentan denke ich ja ernsthaft darüber nach einen Mindesteinkaufswert für Kartenzahlungen einzuführen, um diesen immensen Gebühren entgegenzuwirken. Aber möchte ich das wirklich?
