Dies kommt grundsätzlich auf die Art der Kreditkartenannahme an. Wenn Sie als normaler Händler Kreditkarten mittels eines Payment Service Provider (PSP) abwickeln möchten (dies ist der Normalfall bei den meisten Händlern), dann muss Ihr Server und die weitere Technik nicht PCI-zertifiziert werden.
Sie müssen hierbei darauf achten, dass Sie einen PSP auswählen, der über eine eigene PCI-Zertifizierung verfügt UND dessen Shopmodul ebenfalls den Anforderungen gem. PCI-DSS entspricht. Eigentlich sollte dies bei allen PSP der Fall sein, weil diese Ihnen als Kunde nur in genau diesem Fall auch die Arbeit abnehmen! Wenn diese Voraussetzungen erfüllt sind, dann müssen Sie "nur" einen Fragebogen ausfüllen (SAQ A), da Sie keine Kreditkartendaten direkt annehmen, verarbeiten oder speichern. Der bereits zertifizierte PSP übernimmt diese Aufgaben für Sie.
Im Mai 2015 wurden neue Richtlinien erlassen, die unter Umständen dazu führen, dass sich ein Shop für SAQ A-EP statt für SAQ A qualifiziert. Dies ist der Fall, wenn der Shop ein Bezahl-Formular bereitstellt, welches Daten direkt an einen Kreditkartendienstleister weiterreicht oder wenn ein iFrame oder eine URL-Weiterleitung genutzt wird, die nicht ausschließlich Elemente des Kreditkartendienstleisters enthält (z.B. CSS- oder JavaScript-Elemente des Shops, welche das Aussehen beeinflussen).
Sollten Sie (aus welchen Gründen auch immer) dazu angehalten werden, hier einen umfangreicheren SAQ zu bearbeiten, dann sollten Sie dringend mit Ihrem PSP sprechen. Unter wirtschaftlichen Aspekten wäre für Sie als Händler eine umfangreichere PCI-Zertifizierung mit hohen Kosten verbunden (die gesamte IT, Server müssen dazu ausgelegt sein), die in keinem Verhältnis zum Nutzen stehen.
Hierzu natürlich keine Regel ohne Ausnahme. Sollen Sie ein hohes Kreditkartenvolumen haben und selbst von der Shopgröße im Enterprisebereich unterwegs sein, dann kann auch eine volle PCI-Zertifizerung Sinn machen. Dies ist dann aber auch immer eine Beratungsfrage.