Moin,

ich schreibe an einer Datenbank gestützten Software, im Grunde ein
GDS. User sitzen an einem Webfrontend und Pflegen das System.

Nun ist es so das ich mit Kreditkartendaten in Kontakt komme, die ich speicher soll ! =(
Ich habe schon andere Boards durchsucht und teilweise Aussagen gelesen wie :
"Speichern darfste eh nicht" ... abgesehen davon hab ich auch mal die
PCI-Richtliniengelesen ... was quasi garnicht zu erfüllen ist.

Ich weiß im Grunde bin ich hier auf dem Falschen Board ... aber da das System natürlich in Perl geschrieben ist und hier mitunter Kluge Köpfe sitzen ... xD

Ist es nun legal Daten zu speichern ... gibt es dazu irgendwelche Gesetzestexte in DE. Bzw gibt es irgendwelche *MUST READ*`s in Bezug auf solche Daten ?

Würde mich über Antworten sehr freuen!

Danke =)

Bei solchen Fragen ist es eigentlich besser, einen Anwalt zu fragen. Nur der kann Dir wirklich fundierte Aussagen liefern (auf die Du Dich auch berufen kannst wenn es mal eng wird). Alles was hier gesagt wird kann nicht als Rechtsberatung gelten...

Trotzdem will ich Dir auch meine Meinung nicht vorenthalten... Irgendwie muss man die speichern dürfen, weil sonst so Sachen wie Bahntickets oder Bücher bei Amazon nicht gekauft werden können (abgesehen von anderen Zahlungsmitteln).

Die Frage ist meiner Meinung nach auch, *wie* Du an die Daten gekommen bist. Wurde der Nutzer aufgeklärt, dass die Kreditkarteninfos bei Dir gespeichert wurden?

Gibt es irgendwelche Hinweise/Anweisungen der Kreditkartenunternehmen?

Insgesamt ein schwieriges Thema und ohne anwaltliche Beratung würde ich an Deiner Stelle nix tun.

Edit: hat nix mit "Allgemeines zu Perl" zu tun, werde ich in 'ner Stunde verschieben...

Modedit GwenDragon: Schon verschoben

Habe mir die von dir verlinkten PCI-Richtlinien eben mal angeschaut und halte die nicht nur für erfüllbar sondern finde, die könnten ruhig etwas restriktiver sein und mehr ins Detail gehen. Wenn du es für unmöglich hältst, diese Richtlinien einzuhalten, solltest du erst gar nicht mit Kreditkartendaten arbeiten.

Gespeichert werden Kreditkartendaten von allen Webshops, bei denen man diese nicht bei jeder Bestellung neu eingeben muss. Vollständig angezeigt werden diese allerdings nie. Auch den eigenen Angestellten gegenüber nicht! Wenn ich bei Amazon in meine Einstellungen gehe, bekomme ich meine Kreditkartennummer im Format ***************12345 angezeigt, sowie das Datum bis wann diese Karte gültig ist. Auf keinen Fall aber die Prüfziffer.

Dass der Administrator, der auf der Datenbank arbeitet, diese Daten einsehen kann, lässt sich schlecht verhindern. Daher müssen diese Personen besonders geschult sein und für die Problematik sensibel gemacht werden. Außerdem muss jeder Zugriff auf diese Daten personenbezogen protokolliert werden.

Wie renee schon geschrieben hat, ist das hier aber keine Rechtsberatung sondern nur meine Ansicht zu dem Thema.

Die Datenbank mit den Kundendaten sollte schon verschlüsselt sein.

Die richtlinien kann man kaum mit einem 10€-pro-Monat dedicated Server erfüllen. Aber wenn man seinen eigenen Server betreibt sollte das schon möglich sein.

Schwierig ist der Teil "Restrict physical access to cardholder data", je nach dem wie genau man das nimmt. Wenn der Hoster physikalischen Zugang beschränkt, reicht das? Oder muss man dann den Teil selbst hosten?

Aufwand ist es auf jeden Fall, d.h. das sollte man nur machen, wenn man auch wirklich plant damit Kohle zu machen ;-)

Falls man sich keine Arbeit machen will, kann man ja die Abwicklung auch einem externen Dienstleister überlassen.

hab mir nen merchant account bei paypal eingerichtet.
Business::PayPal hilft mir wohl dabei.

paypal hat irgendwie weniger akzeptanz als ich vermutet hätte.
wie macht man das nun, wenn man die kreditkartendaten hätte ( plus photokopie (fraud protection) ); wie kommt man an die kohle?