Skip to content

PCI DSS (gähn…)

Es folgte die übliche und alljährliche E-Mail von Concardis mit der Aufforderung, diese komische Compliance-Validierung mit Hilfe des Selbstbewertungsfragebogens (Self-Assessment Questionnaire (SAQ)) abzuarbeiten. Letztes Jahr hatte ich denen schon geschrieben, dass ich nicht selber Kreditkartendaten erfasst, gespeichert oder gar bearbeitet habe und der Onlineshop ohnehin seit einer Weile nicht mehr existent ist.

Und ich hatte hier im Blog geschrieben: "Mal gucken, was da als Rückmeldung kommt …"

Es kam nie eine Rückmeldung und offenbar hat auch niemand meine E-Mail beachtet. Ist mir aber auch egal, ich ignoriere die Anfrage jetzt einfach gänzlich. Augenverdrehsmiley.


Achtung – Sicherheitsrisiko!

Letztes Jahr vor dem großen Umbau bekam ich eine E-Mail, die ich eher zufällig entdeckte. Nämlich nach dem mir der Kunde eine weitere Mail geschrieben hatte, in der er seine Enttäuschung über mein Ignorieren seiner ersten Mail mitteilte – diese war nämlich im Spam-Verzeichnis von Google Mail gelandet.

Warum viele andere Nutzer "ähnliche Nachrichten" als Spam markiert haben sollen, habe ich aber bis heute nicht herausgefunden.

(Es war übrigens wirklich mein Wagen und letztendlich hat er dann auch noch für ein paar Monate den Weg zurück zu uns in den Laden gefunden.)

Screenshot E-Mail

Neue Kamera an der Kasse

Seit gestern haben wir auch an der Kasse zwei neue Kameras. Endlich können wir Geldscheine nicht nur an der Farbe unterscheiden ("der leuchtet pink" (10 €), "der leuchtet braun" (50 €)), sondern können sogar die Beschriftung der Scheine erkennen und sogar schon in Maßen einzelne Münzen unterscheiden

Wenn jetzt mal wieder versehentlich (oder durchaus auch mit betrügerischer Absicht mutwillig) jemand behauptet, eine größere Banknote gegeben zu haben, als meine Mitarbeiter/innen eingegeben hat, lässt sich das ab sofort zweifelsfrei herausfinden.

(Im Original natürlich wieder mal deutlich bessere Qualität als das kleine Bild hier im Blog aus dem Screenshot heraus mit Jpeg-Kompression verunstaltet.)


Mal wieder "kostenloses" Biometriezeugs (2)

Wir hatten im Januar zwar keine Wiedervorlage in einem halben Jahr vereinbart, aber eben erfolgte wieder einmal ein Anruf dieser Firma, die Referenzkunden mit kostenloser Sicherheitstechnik ausstatten möchte.

Ich verweise einfach mal auf den entsprechenden Blogeintrag, das heutige Gespräch verlief quasi genauso ab – und ab sofort ist die Nummer bei mir in der Fritzbox ebenfalls in der Sperrliste aufgeführt.

Mal wieder "kostenloses" Biometriezeugs

Werbeanruf einer Firma "Bioprotect" (Bei Tellows mit 9 bewertet …)

Die Masche war die selbe wie hier schon einmal berichtet. Sogar die vorgeblich zur Verfügung stehende Summe in Höhe von 15.000 Euro war wieder die selbe.

Die Anruferin plapperte drauf los und ließ mich kaum zu Wort kommen. Blabla, Referenzkunde, blabla, kostenlos, blabla Außendienstler nächste Woche in Bremen, blabla, Montag Vormittag oder Dienstag am Nachmittag.

"Welcher Termin würde Ihnen besser passen?", fragte sie mich.

Ich antwortete: "Moooment mal. Bevor wir hier über irgendwelche Termine reden wäre es doch wohl sinnvoller, erst mal zu erfahren, ob ich überhaupt Interesse habe."

"Ich würde mich doch sehr wundern, wenn Sie an sicherheitstechnischer Ausstattung, die wir Ihnen sogar kostenlos zur Verfügung stellen würden, kein Interesse hätten."

Brauche ich aber nicht."

Diese Aussage von mir passte wohl nicht ins vorgegebene Frage-Antwort-Portfolio, sie stockte kurz. "Wer kann sich denn in der heutigen Zeit erlauben, ohne ausreichende Objektsicherheit und Zugangskontrollen zu arbeiten?"

"Na, ich. Ich stehe auf diesen täglichen Kick, ich bin ein richtiger Adrenalinjunkie, ich brauch das einfach, diese Unsicherheit. Normal ist langweilig, kann jeder."

"Na, denn."

Immerhin legte sie nicht einfach auf, sondern verabschiedete sich noch mit einer freundlichen Grußformel. Trotzdem kam die Nummer in meine Sperrliste der Telefonanlage.

Umstellung der DPG-Sicherheitskennzeichenerkennung

Unsere beiden Leergutautomaten (sowohl unser großer in der Neustadt als auch die kleine Einwegmaschine in Findorff) müssen in den nächsten Wochen eine Umrüstung in der Software bekommen, da die DPG eine neue Sicherheitskennzeichenerkennung verlangt.

Der Auftrag ist für beide Geräte erteilt, umgestellt werden sie wohl frühestens Anfang Dezember. Ein eher unspektakulärer Vorgang, wenn ich das richtig verstanden habe.

Nix mit PCI DSS

Von Concardis kam mal wieder die alljährliche Anfrage nach der Bestätigung der Einhaltung der PCI-DSS-Standards.

Anstatt mich wieder einmal durch diesen unsäglich unverständlichen Fragenkatalog zu quälen, der offenbar ausdrücklich darauf ausgelegt ist, dass ihn kein normal sterblicher Mensch verstehen kann, habe ich dieses E-Mail jetzt einfach mal folgendermaßen beantwortet:

Sehr geehrte Damen und Herren,

bitte nehmen Sie zur Kenntnis, dass ich als Onlineshopbetreiber, der auf seinem Server KEINE Kreditkartendaten verarbeitet, auch keine PCI-Zertifizierung benötige.

Abgesehen davon ist der Onlineshop seit einem Jahr ohnehin offline: https://www.bjoern-shop.de/
Mal gucken, was da als Rückmeldung kommt …

Konterplatten

Da häufiger die Frage nach der Masse des Rückkühlers und der Beschaffenheit der Wand gefragt wurde: Das hält locker. Letztendlich verteilt sich das Gewicht auf vier große Konsolen, jede einzelne ist mit mehreren dicken Schrauben / Gewindestangen im Mauerwerk verankert und hat letztendlich nur noch 300kg zu halten. Ein Gewicht, die schon einer der Bolzen alleine tragen könnte.

Dennoch wurden vorsichts- und sicherheitshalber die oberen Halterungen der Konsolen durch die Wand durchgeführt und innen über dem Brotregal mit Konterplatten fixiert. Hält! :-) (Und muss nur noch mal gestrichen werden.)


Gefahr? Hahaha!

Mit der Bohrmaschine zugange, ein Bein auf der schräg zwischen Palette und Fußboden stehenden Klappleiter, das andere auf zwei übereinandergestapelten Rolltischen. Eine Kollegin rief quer über das Leergut: "Oh, das sieht gefährlich aus!"

Ich erwiderte: "Gefahr? Hah! Ich hab' keine Angst. Hörst du mich Gefahr, ich lach' dir ins Gesicht. Hahaha!"

Sie konterte: "Pass auf, gleich kommen die Hyänen!"

Die größte Freudes des Tages: Jemand, der ein Zitat aus dem König der Löwen (er)kennt. Die Kandidatin hat 100 aufblasbare und voll recyclebare Gummipunkte! :-D

(Übrigens: Gefährlich ist etwas nur, wenn man keine Kontrolle über eine Situation hat. Auch wenn das auf dem Bild so instabil aussieht – ich hatte volle Standsicherheit und kann die Maschine auch sicher am ausgestreckten Arm halten.)

Zum Ethylenglycol-Erpresser

Mich hat gestern gleich zweimal Radio Bremen (Sowohl Hörfunk, für den ich dann auch ein kurzes, unverfängliches Interview gegeben habe, als auch das regionale Fernsehmagazin "Buten & Binnen") kontaktiert. Es ging um die Erpressung mit der Drohung, Lebensmittel / Babynahrung mit Ethylenglycol zu vergiften.

Ich denke, dass es auf jeden Fall nicht angebracht ist, in Panik zu verfallen. So lange man original verschlossene Produkte kauft, hat daran auch niemand herummanipuliert. Auf korrekt verschlossene Verpackungen zu achten, kann sowieso generell nicht schaden, damit man keine verdorbenen oder sonstwie verunreinigten Lebensmittel konsumiert.

Zur Kontamination mit Ethylenglycol: Das ist ein (dick)flüssiger Stoff, den man folglich ohnehin nur unauffällig in "nasse" Lebensmittel mischen könnte. Gerade diese sind aber meistens wirklich manipulationssicher verpackt. ("Knack"-Deckel, Siegel, Banderolen, Folie)

Dazu kommt, dass man davon relativ viel dieser Substanz (oral) aufnehmen müsste, damit es eine stark gesundheitsgefährdende bis tödliche Wirkung hat. 30-100ml lassen sich davon aber nicht mehr unauffällig in irgendwelche Verpackungen schummeln. Gerade Flaschen und Gläser tragen eben nicht den Aufdruck "Füllhöhe technisch bedingt", sondern sind meistens relativ gut gefüllt.

Ernsthaft kritisch könnte es eben tatsächlich bei den Babygläsern werden, da das Körpergewicht dieser Kundengruppe nun tatsächlich sehr gering ist. Also auch da unbedingt auf das Knacken beim Öffnen der Deckel achten! Wer das berücksichtigt, ist auf jeden Fall auf der sicheren Seite.

Kryptische Fragen

In der letzten halben Stunde habe ich mal wieder den PCS-DSS-Fragebogen bearbeitet. Das ist natürlich alles für uns relativ egal, da wir überhaupt keine Kreditkartendaten auf unseren Systemen speichern oder verarbeiten – weder hier im Laden (zertifizierte Terminals), noch über den Onlineshop (Erfassung der Kartendaten erfolgt komplett auf der Website von Ingenico). Dennoch habe ich wieder einmal nach bestem Wissen und Gewissen versucht, meiner Verpflichtung nachzukommen, den Nachweis gegenüber den Kreditkartenorganisationen über die Konformität mit dem PCI-Standard zu erbringen.

Auch wenn ich bei 90% der Fragen das Gefühl hatte, dass der Finanzdienstleister und ich in zwei unterschiedlichen Universen beheimatet sind.

PCI-DSS-Zertifikat (Woooohoo!!!)