Doesn't that kind of defeat the purpose of the audit?<div><br></div><div>Most "smaller merchants" would likely only have 1 security focussed staff member, and you can hardly audit yourself. Definitely not to a level that would make me feel safe about handing over CC details.</div>
<div><br></div><div>Although the last audit I went through seemed more like an exercise in producing doco spiel rather than actual security...</div><div><br></div><div>-Adrian</div><div><br><div class="gmail_quote">On Tue, Jul 6, 2010 at 10:21 AM, Chris Jones <span dir="ltr"><<a href="mailto:chrisj@aprole.com">chrisj@aprole.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On 06-Jul-2010, <a href="mailto:craig@askings.com.au">craig@askings.com.au</a> wrote:<br>
> > But seriously, +1 for PCI-DSS, make it mandatory.<br>
><br>
> My understanding is that PCI-DSS is mandatory for all CC merchants that<br>
> store credit card details. You choice is get audited etc or outsource to<br>
> someone that already has been.<br>
<br>
</div>Don't necessarily need to audit.  Unless it's changed in the last year, most smaller merchants have the option to "self-audit", rather than having a third party come in and do an external audit.<br>

<br>
Regards,<br>
<font color="#888888"><br>
Chris<br>
</font><div><div></div><div class="h5">_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br></div>