...
Korttimaksut mahdollistavat myös toistuvaismaksut ja one click -click maksut sovelluksen sisällä. Korkeiden myyntivolyymien vuoksi voidaan korttimaksut (Visa, Visa Electron, MasterCard ja Business Eurocard) tarvittaessa liittää Svea Paymentsin palveluun myös omalla asiakkaan ja acquirerin välisellä sopimuksella ns. teknisinä maksutapoina, jolloin Svea toimii teknisenä rajapintana mahdollistaen maksamisen, mutta rahaliikenne hoidetaan asiakkaan ja acquirerin välillä.
...
Kortin myöntäjä eli liikkeelle laskenut pankki voi asettaa rajoituksia korttien käytölle: esimerkiksi Visa Electron -korteissa saattaa olla oletuksena muita kortteja enemmän rajoituksia, jolloin niitä ei voi välttämättä käyttää toistuvais- tai one click -maksuissa. Jotta korttia voidaan käyttää one click ja toistuvaismaksuihin, luodaan kortille identifioiva tunniste eli ns. token. Tätä sanotaan kortin tokenisoimiseksi.
Kortin rekisteröimisen ja tokenisoinnin vaiheet:
Verkkokauppa antaa kortin haltijalle tiedoksi ennen maksua tai kortin tokenisointia, että kortin numero tallennetaan tulevia maksuja varten. Kortin haltijan tulee hyväksyä tämä.
Kortti tokenisoidaan:
Maksu + tokenisointi: Kortinhaltija tekee maksun kortilla käyttäen 3DS-todennusta. Tässä tapahtuu sekä maksu että kortin tallennus toistuvaismaksuja varten.
Pelkkä tokenisointi: Kortinhaltija ainoastaan rekisteröi korttinsa palveluun, käyttäen myös tässä tapauksessa 3DS-todennusta.
Kortille luodaan onnistuneen rekisteröinnin yhteydessä yksilöllinen identifioiva tunniste eli ns. token, jonka Svea Payments välittää verkkokaupalle maksun vastaussanomassa.
Verkkokauppa tallentaa tokenin tiedot ja yhdistää tallennetun kortin asiakkaan tietoihin.
Verkkokauppa voi veloittaa korttia tallennetun tokenin avulla, kun ostaja/kortinhaltija tekee ostoksen.
Tekninen kuvaus toistuvien korttimaksujen / kortin tokenisoinnin käyttöönottamiseksi: Card tokenization and charging (sveapayments.fi)
...
Svea Payments on vastuussa siitä että tarjoamamme korttimaksamisen palvelut vastaavat PCI DSS standardin vaatimaa tasoa myös niiltä osin, kun palveluja on ulkoistettu esimerkiksi teknisille kumppaneille. Verkkokauppa puolestaan on vastuussa siitä, että tietoturva verkkokaupassa vastaa PCI DSS tietoturvastandardia.
Korttimaksujen riskit
Svea Payments on vastuussa siitä, että sen korttimaksamisen ratkaisu vastaa PCI DSS -standardin vaatimuksia myös niiltä osin, kun palvelu on ulkoistettu esimerkiksi tekniselle kumppanille korttitietojen käsittelyn osalta. Verkkokauppa on vastuussa verkkokaupan tietoturvasta ja siitä, että se vastaa PCI DSS -tietoturvastandardia. Etäkaupan riskit ovat erilaisia kuin riskit fyysisessä kaupassa. Ostajan henkilöllisyyden luotettava todentaminen on vaikeampaa, koska kortin haltija ja ostaja eivät ole fyysisesti paikalla. Kauppiaan velvollisuus on tuntea asiakkaansa. Tuotteet tai palvelut, jotka ovat helposti muutettavissa rahaksi, ovat arvokkaita ja houkuttelevat myös rikollisia.
...
Epäselvissä tapauksissa kauppias voi olla yhteydessä Svea Paymentsin asiakaspalveluun, josta voidaan antaa neuvoja, mutta Svea Payments ei voi päättää kauppiaan puolesta onko tilausta tuvallista toimittaa vai ei, tai onko korttimaksu petos vai ei.
...