Korttimaksut

Svea Paymentsilta saa kattavat korttimaksut yhdellä sopimuksella: maksukortit Visa ja Mastercard debit ja credit, Visa Electron ja Business Eurocard. Korttimaksaminen täyttää korttiyhtiöiden asettamat korkeimmat tietoturvavaatimukset (PCI DSS Level 1). Noudatamme korttimaksamisessa PSD2-maksupalveludirektiiviä. Maksukortti on paljon käytetty maksutapa sekä Suomessa että kansainvälisessä verkkokaupassa ja sitä pidetään jo itsestäänselvyytenä. Kortilla maksaminen netissä on helppoa ja onnistuu sekä debit- että creditkorteilla.

Korttimaksut mahdollistavat myös toistuvaismaksut ja one click -maksut sovelluksen sisällä. Korkeiden myyntivolyymien vuoksi voidaan korttimaksut (Visa, Visa Electron, MasterCard ja Business Eurocard) tarvittaessa liittää Svea Paymentsin palveluun myös omalla asiakkaan ja acquirerin välisellä sopimuksella ns. teknisinä maksutapoina, jolloin Svea toimii teknisenä rajapintana mahdollistaen maksamisen, mutta rahaliikenne hoidetaan asiakkaan ja acquirerin välillä.

Toistuvais- ja one click -maksut

Svea Paymentsin korttimaksupalvelu mahdollistaa myös ns. one click- ja/tai toistuvaismaksut. Toistuva korttiveloitus eli toistuvaismaksu on helppo tapa maksaa esimerkiksi kuukausimaksuja, kestotilauksia, kuntosalimaksuja, lahjoituksia ja erilaisia jäsenmaksuja. Asiakkaan verkkokauppaan tai -palveluun rekisteröityneet ostajat voivat tallentaa korttitietonsa maksupalveluun Svea Paymentsin kautta, jonka jälkeen ostoksia voidaan tehdä helposti esim. one click –mallilla tai voidaan tehdä verkkokaupan toimesta ns. toistuvaismaksuina.

One click tai ns. in-app maksuissa ostaja tallentaa korttitietonsa verkkokauppaan, -palveluun tai sovellukseen kerran, jonka jälkeen korttia voidaan veloittaa helposti ostajan niin halutessa, esimerkiksi yksittäisten ostosten kohdalla. Toistuvaismaksujen käyttöönotto vaatii verkkokaupalta jonkin verran teknistä toteutusta, sekä oman sopimuksen Svea Paymentsin kanssa.

Kortin myöntäjä eli liikkeelle laskenut pankki voi asettaa rajoituksia korttien käytölle: esimerkiksi Visa Electron -korteissa saattaa olla oletuksena muita kortteja enemmän rajoituksia, jolloin niitä ei voi välttämättä käyttää toistuvais- tai one click -maksuissa. Jotta korttia voidaan käyttää one click ja toistuvaismaksuihin, luodaan kortille identifioiva tunniste eli ns. token. Tätä sanotaan kortin tokenisoimiseksi.

Kortin rekisteröimisen ja tokenisoinnin vaiheet:

  1. Verkkokauppa antaa kortin haltijalle tiedoksi ennen maksua tai kortin tokenisointia, että kortin numero tallennetaan tulevia maksuja varten. Kortin haltijan tulee hyväksyä tämä.

  2. Kortti tokenisoidaan:

    • Maksu + tokenisointi: Kortinhaltija tekee maksun kortilla käyttäen 3DS-todennusta. Tässä tapahtuu sekä maksu että kortin tallennus toistuvaismaksuja varten.

    • Pelkkä tokenisointi: Kortinhaltija ainoastaan rekisteröi korttinsa palveluun, käyttäen myös tässä tapauksessa 3DS-todennusta.

  3. Kortille luodaan onnistuneen rekisteröinnin yhteydessä yksilöllinen identifioiva tunniste eli ns. token, jonka Svea Payments välittää verkkokaupalle maksun vastaussanomassa.

  4. Verkkokauppa tallentaa tokenin tiedot ja yhdistää tallennetun kortin asiakkaan tietoihin.

  5. Verkkokauppa voi veloittaa korttia tallennetun tokenin avulla, kun ostaja/kortinhaltija tekee ostoksen.

Tekninen kuvaus toistuvien korttimaksujen / kortin tokenisoinnin käyttöönottamiseksi: Card (tokenization and charging) .

PCI DSS tietoturvastandardi

PCI DSS on lyhenne sanoista Payment Card Industry Data Security Standard, ja se on kansainvälisten korttiyhtiöiden asettama tietoturvastandardi maksujenvälittäjille (Payment Service Provider eli PSP). Svea Paymentsilla on korkeimman tason sertifiointi ja olemme siis PCI DSS Level 1 -sertifioitu maksulaitos.

Svea Payments on vastuussa siitä että tarjoamamme korttimaksamisen palvelut vastaavat PCI DSS standardin vaatimaa tasoa myös niiltä osin, kun palveluja on ulkoistettu esimerkiksi teknisille kumppaneille. Verkkokauppa puolestaan on vastuussa siitä, että tietoturva verkkokaupassa vastaa PCI DSS tietoturvastandardia.

Korttimaksujen riskit

Etäkaupan riskit ovat erilaisia kuin riskit fyysisessä kaupassa. Ostajan henkilöllisyyden luotettava todentaminen on vaikeampaa, koska kortin haltija ja ostaja eivät ole fyysisesti paikalla. Kauppiaan velvollisuus on tuntea asiakkaansa. Tuotteet tai palvelut, jotka ovat helposti muutettavissa rahaksi, ovat arvokkaita ja houkuttelevat myös rikollisia.

Verified by Visa ja MasterCard Secure Code -todennuspalvelut

Kaikki verkkokaupat, jotka käyttävät Svea Paymentsin korttimaksamista, kytketään automaattisesti Verified by Visa ja MasterCard SecureCode -todennuspalveluihin. Nämä ovat kansainvälisten korttiyhtiöiden Visan ja Mastercardin kehittämiä todennuspalveluita, jotka parantavat korttimaksamisen turvallisuutta. Todennuspalvelussa sekä myyjä (verkkokauppa) että ostaja tunnistetaan vahvasti esimerkiksi verkkopankkitunnuksilla tai jollain kortinmyöntäjän toimittamalla erillisellä koodilla tai vastaavalla (mikäli ostajan kortti on kytketty todennuspalveluun).

PSD2-maksupalveludirektiivi määrittää, missä tilanteissa korttimaksujen kohdalla ostajan vahva tunnistaminen on mahdollista ohittaa. Tällaisia tilanteita ovat mm. toistuvaismaksut lukuunottamatta ensimmäistä maksua, ns. low value -maksut jotka ovat arvoltaan alle 30 €, sekä maksut EEA-alueen ulkopuolisilla korteilla, jotka eivät mahdollista vahvaa tunnistamista.

Kortinmyöntäjällä on oikeus hyväksyä tai hylätä maksu, sekä päättää vahvan tunnistamisen tarpeesta maksun kohdalla. Yleisesti ottaen petosriski on todentamattomissa korttimaksuissa aina verkkokauppiaalla, minkä vuoksi kauppiaan tulisi seurata korttimaksuja (ks. seuraava kappale). Jos ostajan henkilöllisyys on todennettu korttimaksun yhteydessä, niin kortinmyöntäjä ei yleensä voi esittää verkkokauppiaalle vaatimuksia väärinkäytöksen yhteydessä.

Korttimaksujen seuraaminen

Väärinkäytösten ehkäisemiseksi kauppiaan tulisi seurata kriittisesti korttimaksujen laatua ja määrää verkkokaupassa, sekä ostajien tietoja liittyen korttimaksuihin. Epätavallista voi olla esimerkiksi äkisti kasvaneet myyntivolyymit, kasvanut myynti tietylle markkina-alueelle, tai epäselvät tai riittämättömät ostajan tiedot. Jos kauppias epäilee kortin tai korttinumeroiden väärinkäyttöä verkkokaupassaan, on hänen ilmoitettava siitä välittömästi Svea Paymentsille. Oletusarvoisesti Svea Payments lähettää verkkokaupalle sähköpostin jokaisesta todentamattomasta korttimaksusta. Tämä on mahdollista kytkeä pois päältä palveluparametrilla, mutta siinä tapauksessa kauppiaan tulee itse seurata korttimaksuja Extranetistä.

Kauppias voi käyttää hyväkseen Extranetin toimintoja korttimaksujen seuraamisessa. Extranetin tapahtumahausta kauppias voi hakea todentamattomat korttimaksut. Tällaiset maksut voivat olla aivan hyväksyttäviä ja normaaleja, mutta on hyvä ottaa huomioon, että väärinkäytöksen riski on näissä suurempi ja tapahtumia tulisi tarkastella kriittisesti ja tarkistaa tilauksen ja ostajan tiedot ennen tilauksen toimittamista.

Epäselvissä tapauksissa kauppias voi olla yhteydessä Svea Paymentsin asiakaspalveluun, josta voidaan antaa neuvoja, mutta Svea Payments ei voi päättää kauppiaan puolesta onko tilausta tuvallista toimittaa vai ei, tai onko korttimaksu petos vai ei.

Chargebackit

Chargeback tarkoittaa tilannetta, jossa kortinhaltija on kiistänyt ostoksen tai vaatinut rahanpalautusta kortinmyöntäjältä. Chargebackeja on kahta eri tyyppiä: sellaisia, joita verkkokauppa ei voi vastustaa ja sellaisia, joita verkkokauppa voi vastustaa. Chargebackin tyyppi määräytyy chargebackin syyn mukaan. Chargebackit, eli takaisinperinnät, ilmoittaa korttimaksamisen kumppanimme Bambora Ab.

Kun Svea Paymentsille tulee Bamboralta tieto jotain tilausta koskevasta chargebackista, ja jos chargebackin tyyppi on sellainen, että verkkokauppa voi vastustaa sitä, niin Svea Paymentsilta ollaan yhteydessä verkkokauppiaaseen ja kysytään, haluaako verkkokauppias vastustaa chargebackia. Joissakin tapauksissa chargeback voi olla mahdollista perua. Yleensä Bambora antaa chargebackin vastustamiselle 10 päivää aikaa. Mikäli chargebackia ei voi vastustaa tai se pysyy vastustuksesta huolimatta voimassa, niin Svea Payments joutuu laskuttamaan chargebackin verkkokaupalta ja toimittaa siitä verkkokaupalle raportin.