Aussfüllen des Selbsbeurteilungsfragebogen A-EP von der PCI

Hallo,

ich habe versucht zu diesem Thema Infos im Netz zu finden und auch hier im Forum war ich mir nicht sicher, wo ich das Thema am Besten platziere (Recht? Admin?).

Wir bieten in unserem Shop Bezahlung via Kreditkarte an. Um eine sichere Übertragung (& Umgang) mit den Kreditkartendaten zu gewährleisten, arbeiten wir mit COnCardis zusammen.

Wenn also ein Kunde sich bei uns für die Bezahlung mit Kreditkarte entscheidet, dann wird ein Formular eingeblendet, dass von ConCardis bereitgestellt wird. Der “Rahmen” um das Formular kommt aus unserem Shop. So hat der Kunde den Eindruck, dass er unseren Shop nicht verlässt.

Nun ist es wohl so, dass alle Shops, die Kreditkartenabrechnung anbieten, 1x jährlich eine Selbstbeurteilungsfragebogen der PCI (Payment Card Industry) ausfüllen muss. Hierzu gibt es verschiedene Klassen, je nachdem, wie die technische Umsetzung der Kreditdatenabfrage in dem jeweiligen Shop funktioniert. Verschiedene Klassen heisst auch verschiedene Fragebogen.

Durch unsere Umsetzung der Kreditkartenabfrage (s. Beschreibung oben), wurden wir nun in die Klasse/Kategorie A-EP eingeteilt.
Nach meine Informationen gibt es diese Klasse erst seit Januar 2015. Von daher stehen wir das erste Mal ist es eine ganz neue Situation für uns.

Diese Einteilung zieht einen 46seitigen Fragebogen nach sich. Vor dem ich seit ein paar Tagen mit großen Fragezeichen sitze. Dieser Fragebogen besteht zum größten Teil aus technischen Fragen bzgl. der Sicherheit unserer Systeme. Wir sind nur ein kleiner “2-Personen-Betrieb”, der sich dafür entschieden hat, Dienstleistungen wir ConCardis oder PayOne einzukaufen, die sich um die Sicherheit kümmern sollen. Leider haben wir nicht die Kapazität und das technische Know-How uns selbst darum zu kümmern. Nun frage ich mich, ob ich überhaupt in die richtige Klasse eingeteilt wurde? Ich versuche dringend hierzu Informationen zu finden, aber sowohl hier im Forum als auch bei google.de komme ich mit meinen Fragen nicht weiter. Ich finde keinerlei Hinweise, dass es anderen auch so geht. Das andere (kleinere) Shops ebenso mit einem Fragezeichen vor diesem Fragebogen (A-EP) der PCI sitzen und nicht weiter wissen.

Kann mir hier im Forum etwas dazu sagen?

Ich würde mich sehr freuen, wenn ich hierzu irgendwelche Informationen oder Anmerkugen erhalten oder finden könnte.

Vielen Dank

dann sind deine Informationen leider falsch.
Wenn ich bei google nach “PCI A-EP” suchen lassen, finde ich jede Menge Seiten von 2013.

Hallo vanilla thunder,

Danke für die schnelle Antwort. “Das Problem”, mit dieser Klasseneinteilung gibt es aber erst seit 2015. D.h. das auch “kleine Shopbetreiber” in diese A-EP-Klasse eingeteilt werden und diesen 46-Seiten Fragebogen ausfüllen müssen. Letztes Jahr wurden wir noch anders eingestuft.

Mir geht es ja vor allem um den Austausch mit anderen Shopbetreibern. Ob das “normal” ist, dass wir jetzt in diese Klasse eingeteilt werden? Ob andere ebenso vor dem Problem stehen? Wie sie das Problem gelöst haben?

Ich hätte mich vielleicht konkreter ausdrücken sollen und schreiben sollen, dass ich bei google nicht die richtigen Antworten und passenden Informatioen finde.

Viele Grüße

Paula

Also nachdem was bei Tante Google zu finden ist (mit den Stichwörtern von Vanilla) scheint eigentlich klar dass es auf das Formular ankommt in das die Daten eingegeben werden und dass bei i-Frame nicht A-EP notwendig ist.

Hallo Frank,

mmmh…okay. Das sieht ja gut aus. Ich kann auch nicht glauben, dass ich mit A-EP richtig bin. Mir wurde aber mehrfach versichert, dass sich die Anforderungen geändert hätten und ich seit Januar 2015 nun leider A-EP bin.

Danke für Deine Hilfe.

Das sind vielleicht Hacker, die per Social Engineering mehr über deine Infrastruktur erfahren wollen, um diese anzugreifen. :wink: