Nix mit PCI DSS
Von Concardis kam mal wieder die alljährliche Anfrage nach der Bestätigung der Einhaltung der PCI-DSS-Standards.
Anstatt mich wieder einmal durch diesen unsäglich unverständlichen Fragenkatalog zu quälen, der offenbar ausdrücklich darauf ausgelegt ist, dass ihn kein normal sterblicher Mensch verstehen kann, habe ich dieses E-Mail jetzt einfach mal folgendermaßen beantwortet:
Anstatt mich wieder einmal durch diesen unsäglich unverständlichen Fragenkatalog zu quälen, der offenbar ausdrücklich darauf ausgelegt ist, dass ihn kein normal sterblicher Mensch verstehen kann, habe ich dieses E-Mail jetzt einfach mal folgendermaßen beantwortet:
Sehr geehrte Damen und Herren,Mal gucken, was da als Rückmeldung kommt …
bitte nehmen Sie zur Kenntnis, dass ich als Onlineshopbetreiber, der auf seinem Server KEINE Kreditkartendaten verarbeitet, auch keine PCI-Zertifizierung benötige.
Abgesehen davon ist der Onlineshop seit einem Jahr ohnehin offline: https://www.bjoern-shop.de/
Comments
Display comments as Linear | Threaded
Alexander M. on :
Aber ich kann Dich beruhigen: die Auditierung für kleine Händler wie Dich ist harmlos. Da geht es ja im Wesentlichen nur um ein paar (evtl. lästige) Fragen. Bei meinem Brötchengeber, einem großen Kreditkartendienstleister, bedeutet das mehrere Wochen Audit durch Prüfer, die durch's ganze Unternehmen stöbern. Das ganze jedes Jahr und dazu jedes Vierteljahr ein kleineres Zwischenaudit.
Christian_08 on :
Alex M. on :
"Speichern von Daten" umfasst ja mehr als nur die IT-mäßige Speicherung, die beim Händler tatsächlich evtl. nicht gegeben wäre, wenn er sein Kreditkartenterminal Stand-Alone, d.h. ohne Anbindung an sein Kassensystem oder so, nutzen würde. Da gehört auch schon der simple Umfang mit Belekkopien dazu. Merke: überall, wo Kreditkartendaten drauf stehen (Kartennr., Verfalldatum, Name des Karteninhabers, etc.), besteht auch die Gefahr des Missbrauchs.