Neue Spielregeln für Kreditkartenzahlungen

21 Jan 15
Miro Dietiker

Bereits seit vielen Jahren träumen Händler, Organisationen, aber auch Kunden von modernen Zahlungsmitteln welche unseren Bedürfnissen entsprechen. Die Kreditkarte ist aber in Realität das einzige generell etablierte Echtzeit-Online-Zahlungsmittel. Seit in den Anfangszeiten 1958 die Diner-Karte richtig Verbreitung fand, musste sich die Kreditkarte immer wieder selbst neu erfinden, um den modernen Herausforderungen gerecht zu werden. Per 1.1. 2015 ist ein neuer Standard (PCI DSS 3.0) der Zahlungsverarbeitungs-Industrie verabschiedet worden, dem alle Seitenbetreiber Folge leisten müssen.

Parteien im Zahlungsprozess

Der Standard ist mit 112 Seiten höchst komplex und Relevantes schwierig auf wenige Worte zu reduzieren. Wir wollen es trotzdem versuchen, weil unsere Kunden ihr Zahlungsmittel ja mit einem Fokus auf diese Änderungen anpassen müssen.

In den Geldfluss einer Zahlung sind 4 Parteien involviert:

Partei

Beispiel

1) Kunde

Hans Muster

2) Kreditkarten Herausgeber (Issuer)

Bank (Zürcher Kantonalbank)

3) Website (Merchant)

www.unicef.ch 

4) Kreditkarten Lizenzgeber (Acquirer)

Six Payment Services​

Payment services provider

Saferpay

In Worten: Hans Muster möchte auf www.unicef.ch spenden. Damit dies möglich ist, schliesst www.unicef.ch einen Kreditkarten-Akzeptanzvertrag mit Six Payment Services für VISA und Mastercard ab. Die Zahlungen (Prüfung der Kreditkartendaten, Belastung) werden über den Dienstleister Saferpay verarbeitet und das Geld fliesst so von der Zürcher Kantonalbank an UNICEF.

Wer kennt die Kreditkartendaten?

Immer häufiger erreichen uns Medienmeldungen von gestohlenen Kreditkartendaten und Missbrauch. Es gilt, die eigenen Kunden bestmöglichst zu schützen und selber Risiken zu minimieren.

Die Sicherheit zu gewährleisten, Missbrauch zu erkennen, Kartendaten zu prüfen und somit eine Zahlung verbindlich zu bestätigen ist genau das Kerngeschäft von Saferpay. Jeder dieser Payment Services Provider wird anders technisch integriert, wobei Kampatools z.B. auch Postfinance und Datatrans unterstützt. 

Im einfachsten Fall leiten wir den Kunden zu Saferpay weiter für die Angabe seiner Kreditkartendaten. Nach Zahlungseingabe leitet Saferpay den Kunden wieder zurück zu www.unicef.ch wo der Abschluss des Spendenprozesses bestätigt wird.

Diskutiert wurde in der Vergangenheit, ob das Umleiten zu einem Zahlungsdienstleister den Kunden verunsichert und er deshalb abbricht, oder aber ob es ihn mehr verunsichern würde, wenn er die vertraulichen Kreditkartendaten direkt auf der Shop-Seite eingibt.

Gerade grössere Kunden wie www.unicef.ch setzten in Vergangenheit häufig auf ein integriertes Zahlungsformular, weil das Vertrauensverhältnis des Kunden hier nicht in Frage gestellt wird und der gesamte Prozess schlanker wirkt. Auch bei dieser Integrationsmethode werden die Kreditkarten des Formulars vom Browser direkt an Saferpay geschickt und UNICEF ist nie in Berührung mit den Kreditkartendaten. Die Integration mit Saferpay ist quasi unsichtbar (Hidden mode) für den Kunden.

Die neue Regelungen verunmöglicht aber genau diese Integrationsform.

PCI DSS 3.0

Der neue Standard ist per 1.1.2015 im Einsatz und gilt für alle neuen Seiten. In einer Übergangsfrist bis zum 31.12.2015 dürfen bisher akzeptierte Lösungen weiter betrieben werden. Somit bleibt etwas Zeit zur Umstellung.

Wünscht ein Kunde künftig die unsichtbare Integration, muss er massiv verschärfte PCI Anforderungen erfüllen. Damit verbunden ist ein initiales und wiederkehrendes Prüfverfahren (Audit / Assessment), welches quasi die Prüfkriterien einer Online-Bank anwenden. Ein Anforderungsniveau das für Nicht-Banken schlicht kostenmässig nicht erfüllbar ist.

Es gibt tatsächlich viele Gründe für diese Änderung, von der erwartet wird, dass sie den Kreditkartenmissbrauch signifikant reduzieren wird. Liefert eine Website z.B. Widgets (Facebook, Addthis, Twitter, ...) aber auch Werbung (Google Adsense, OpenX, …) aus, sind diese Drittsysteme Angriffspunkte, über welche Hacker ein Script auf allen Nutzer-Seiten einschleusen kann, und so die Kreditkartendaten abgreifen. Weil gerade Werbeauslieferungen häufig ganze Netzwerke mit Partnern sind, sind dies die beliebtesten Angriffspunkte für Malware / Trojaner mit jeweils riesigem Ausmass.

Die neue Regulation will diesem Treiben einen endgültigen Riegel vorschieben.

Zurück zur externen Zahlungsseite

Die Änderungen haben weitere Vorteile: Für die einfachere Integrationsvariante der externen Zahlungsseite (payment page) genügt der günstigste Vertrag. Dies halbiert die jährlichen Fixkosten.

Für Kunden reduziert sich die Qual der Integrations-Wahl und die vorhandenen Lösungen werden bekannter. Ein weiteres Element welches das Vertrauen des Konsumenten stärken dürfte und Abbrüche wegen Verunsicherung reduziert.

Die Mobile-Experience der verschiedenen Zahlungsseiten der Anbieter liess häufig zu wünschen übrig. Auch dies war bislang ein Grund, weshalb Kunden die Eingabe der Kreditkartendaten auf der eigenen Seite bevorzugten. Die Anbieter haben aber diesen Punkt erkannt und allesamt Verbesserungen in 2015 angekündigt.

Was muss ich tun?

Ich habe bereit eine Seite mit externer Zahlungsseite

Es besteht kein Handlungsbedarf. Freuen Sie sich darüber, dass in 2015 die Zahlungsseiten von den Anbietern u.A. zusätzlich für mobile Geräte optimiert werden.

Ich habe bereits eine Seite, mit integrierten Kreditkartenformulare

Eine Umstellung zu der externen Zahlungsseite bis spätestens 31.12.2015 ist nötig.

Ich möchte neu Zahlungen online entgegennehmen

Das günstigste Paket für die Abwicklung von Online-Zahlungen ist ausreichend. Wählen Sie einen bekannten Anbieter, dem Sie und Ihre Kunden auch vertrauen. Gerne beraten wir Sie bei der Wahl.

Mehr erfahren?