Hallo!
Fordert euer Zahlungsanbieter für Kreditkarten euch auf eine Bescheinigung der zur PCI-DSS Konformität einzureichen?
Mich bislang noch nicht aber bei PCI DSS Version 4.0 muss ab 2025 die eigene Webseite alle 3 Monate einem Scan unterzogen werden. Wir speichern keine Kreditkartendaten sondern die werden über ein Iframe vom Zahlungs-Dienstleister eingeben aber das spielt keine Rolle mehr.
Anforderung 11.3.2: Regelmäßige externe Schwachstellen-Scans
Unternehmen müssen alle drei Monate externe Schwachstellen-Scans durchführen, die von einem vom PCI SSC zugelassenen Scan-Anbieter durchgeführt werden.
Und kostenlos ist das nicht.
Gruss
Chris
PCI-DSS 4.0 Müsst ihr Konformität nachweisen?
- Diskussionsforum -
Hilfe und Erfahrungen von Händlern zum Thema Zahlungsdienstleister.
Eine sehr wichtige Sache beim E-Commerce ist das Geld und wie es vom Kunden zum Händler gelangt.
In diesem Unterforum geht es um das PayPal Konto und den PayPal Login, Banken, ein kostenloses Geschäftskonto eröffnen,
Erfahrungen mit Amazon Pay, Adyen, Klarna, Bitcoins, allgemeiner Banken Vergleich.
Wenn du z.B. ein PayPal Problem oder Ärger mit SEPA Zahlungen hast, dann gehört es hier in unser Bankenforum.
Hilfe und Erfahrungen von Händlern zum Thema Zahlungsdienstleister.
Eine sehr wichtige Sache beim E-Commerce ist das Geld und wie es vom Kunden zum Händler gelangt.
In diesem Unterforum geht es um das PayPal Konto und den PayPal Login, Banken, ein kostenloses Geschäftskonto eröffnen,
Erfahrungen mit Amazon Pay, Adyen, Klarna, Bitcoins, allgemeiner Banken Vergleich.
Wenn du z.B. ein PayPal Problem oder Ärger mit SEPA Zahlungen hast, dann gehört es hier in unser Bankenforum.
-
- Beiträge: 20
- Registriert: 28. Jan 2009 01:04
- Land: Deutschland
- Firmenname: Christian
- hissenit
- PLUS-Mitglied
- Beiträge: 477
- Registriert: 16. Mär 2021 15:52
- Land: Deutschland
- Firmenname: Hissen IT
- Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
- Wohnort: Bensheim / Südhessen
- Kontaktdaten:
Re: PCI-DSS 4.0 Müsst ihr Konformität nachweisen?
Dann müsste Paypal das ja bei jedem seiner Händler auch verlangen und vor allem kontrollieren. Das wäre sicher interessant.
PaketConnector und InvoiceCreator: Lösungen für kleine und mittelständische Unternehmen https://hissenit.com/pcic
Re: PCI-DSS 4.0 Müsst ihr Konformität nachweisen?
11.6.1 finde ich schwieriger zu erfüllen (Bis 04/25 umzusetzen):
Ein Änderungs- und manipulationserkennungsmechanismus wird wie folgt eingesetzt:
11.6.1.a Systemeinstellungen, überwachte Zahlungsseiten und Ergebnisse aus
Überwachungsaktivitäten untersuchen, um die Verwendung eines Änderungs- und Manipulationserkennungsmechanismus zu verifizieren.
Um das Personal über nicht autorisierte Änderungen (einschließlich Anzeichen für Kompromittierung, Änderungen, Ergänzungen und Löschungen) der HTTP-Kopfzeile und des Inhalts von Zahlungsseiten, wie sie vom Verbraucherbrowser empfangen werden, zu warnen.
Der Mechanismus ist so konfiguriert, dass er die empfangene HTTP-Kopfzeile und die Zahlungsseite bewertet.
Ein Änderungs- und manipulationserkennungsmechanismus wird wie folgt eingesetzt:
11.6.1.a Systemeinstellungen, überwachte Zahlungsseiten und Ergebnisse aus
Überwachungsaktivitäten untersuchen, um die Verwendung eines Änderungs- und Manipulationserkennungsmechanismus zu verifizieren.
Um das Personal über nicht autorisierte Änderungen (einschließlich Anzeichen für Kompromittierung, Änderungen, Ergänzungen und Löschungen) der HTTP-Kopfzeile und des Inhalts von Zahlungsseiten, wie sie vom Verbraucherbrowser empfangen werden, zu warnen.
Der Mechanismus ist so konfiguriert, dass er die empfangene HTTP-Kopfzeile und die Zahlungsseite bewertet.
- hissenit
- PLUS-Mitglied
- Beiträge: 477
- Registriert: 16. Mär 2021 15:52
- Land: Deutschland
- Firmenname: Hissen IT
- Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
- Wohnort: Bensheim / Südhessen
- Kontaktdaten:
Re: PCI-DSS 4.0 Müsst ihr Konformität nachweisen?
Theoretisch möchte die Kreditkartenindustrie schon immer, dass Händler mindestens ein Self-Assessment abgeben. Selbst bei Level 4 Händlern (<1 Mio. Kreditkartentransaktionen pro Jahr).
Was ab 2025 in der Tat neu ist, ist die strengere Behandlung von iframes bei der Nutzung eines Zahlungsdienstleisters. Vielleicht greift deshalb der Zahlungsdienstleister des TE hier mehr durch, weil dieser selbst Druck erhält...?
Ein iframe innerhalb der eigenen Seite ist nun mal sicherheitstechnisch etwas anderes als ein Weiterleitung zum Zahlungsdienstleister.
Was ab 2025 in der Tat neu ist, ist die strengere Behandlung von iframes bei der Nutzung eines Zahlungsdienstleisters. Vielleicht greift deshalb der Zahlungsdienstleister des TE hier mehr durch, weil dieser selbst Druck erhält...?
Ein iframe innerhalb der eigenen Seite ist nun mal sicherheitstechnisch etwas anderes als ein Weiterleitung zum Zahlungsdienstleister.
PaketConnector und InvoiceCreator: Lösungen für kleine und mittelständische Unternehmen https://hissenit.com/pcic
-
- Information
-
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 76 Gäste