/
Korttimaksut

Korttimaksut

Svea Paymentsilta saa kattavat korttimaksut yhdellä sopimuksella: maksukortit Visa ja Mastercard debit ja credit sekä Business Eurocard. Svea Payments Oy noudattaa PCI DSS -tietoturvastandardia. Svea Payments ei vastaanota, käsittele eikä tallenna korttinumeroita vaan on ulkoistanut korttinumeroiden käsittelyn kokonaan ulkoiselle PCI DSS Level 1 -sertifioidulle toimijalle. Noudatamme korttimaksamisessa PSD2-maksupalveludirektiiviä. Maksukortti on paljon käytetty maksutapa sekä Suomessa että kansainvälisessä verkkokaupassa ja sitä pidetään jo itsestäänselvyytenä. Kortilla maksaminen netissä on helppoa ja onnistuu sekä debit- että creditkorteilla.

Korttimaksut mahdollistavat myös toistuvaismaksut ja one click -maksut sovelluksen sisällä. Korkeiden myyntivolyymien vuoksi voidaan korttimaksut (Visa, MasterCard ja Business Eurocard) tarvittaessa liittää Svea Paymentsin palveluun myös omalla asiakkaan ja acquirerin välisellä sopimuksella ns. teknisinä maksutapoina, jolloin Svea toimii teknisenä rajapintana mahdollistaen maksamisen, mutta rahaliikenne hoidetaan asiakkaan ja acquirerin välillä.

Toistuvais- ja one click -maksut

Svea Paymentsin korttimaksupalvelu mahdollistaa myös ns. one click- ja/tai toistuvaismaksut. Toistuva korttiveloitus eli toistuvaismaksu on helppo tapa maksaa esimerkiksi kuukausimaksuja, kestotilauksia, kuntosalimaksuja, lahjoituksia ja erilaisia jäsenmaksuja. Asiakkaan verkkokauppaan tai -palveluun rekisteröityneet ostajat voivat tallentaa korttitietonsa maksupalveluun Svea Paymentsin kautta, jonka jälkeen ostoksia voidaan tehdä helposti esim. one click –mallilla tai voidaan tehdä verkkokaupan toimesta ns. toistuvaismaksuina.

One click tai ns. in-app maksuissa ostaja tallentaa korttitietonsa verkkokauppaan, -palveluun tai sovellukseen kerran, jonka jälkeen korttia voidaan veloittaa helposti ostajan niin halutessa, esimerkiksi yksittäisten ostosten kohdalla. Toistuvaismaksujen käyttöönotto vaatii verkkokaupalta jonkin verran teknistä toteutusta, sekä oman sopimuksen Svea Paymentsin kanssa.

Kortin myöntäjä eli liikkeelle laskenut pankki voi asettaa rajoituksia korttien käytölle. Jotta korttia voidaan käyttää one click ja toistuvaismaksuihin, luodaan kortille identifioiva tunniste eli ns. token. Tätä sanotaan kortin tokenisoimiseksi.

Kortin rekisteröimisen ja tokenisoinnin vaiheet:

  1. Verkkokauppa antaa kortin haltijalle tiedoksi ennen maksua tai kortin tokenisointia, että kortin numero tallennetaan tulevia maksuja varten. Kortin haltijan tulee hyväksyä tämä.

  2. Kortti tokenisoidaan:

    • Maksu + tokenisointi: Kortinhaltija tekee maksun kortilla käyttäen 3DS-todennusta. Tässä tapahtuu sekä maksu että kortin tallennus toistuvaismaksuja varten.

    • Pelkkä tokenisointi: Kortinhaltija ainoastaan rekisteröi korttinsa palveluun, käyttäen myös tässä tapauksessa 3DS-todennusta.

  3. Kortille luodaan onnistuneen rekisteröinnin yhteydessä yksilöllinen identifioiva tunniste eli ns. token, jonka Svea Payments välittää verkkokaupalle maksun vastaussanomassa.

  4. Verkkokauppa tallentaa tokenin tiedot ja yhdistää tallennetun kortin asiakkaan tietoihin.

  5. Verkkokauppa voi veloittaa korttia tallennetun tokenin avulla, kun ostaja/kortinhaltija tekee ostoksen.

Tekninen kuvaus toistuvien korttimaksujen / kortin tokenisoinnin käyttöönottamiseksi: Card (tokenization and charging) .

PCI DSS tietoturvastandardi

PCI DSS on lyhenne sanoista Payment Card Industry Data Security Standard, ja se on kansainvälisten korttiyhtiöiden asettama tietoturvastandardi maksujenvälittäjille (Payment Service Provider eli PSP). Svea Payments Oy noudattaa PCI DSS -tietoturvastandardia. Svea Payments ei vastaanota, käsittele eikä tallenna korttinumeroita vaan on ulkoistanut korttinumeroiden käsittelyn kokonaan ulkoiselle PCI DSS Level 1 -sertifioidulle toimijalle.

Svea Payments on vastuussa siitä että tarjoamamme korttimaksamisen palvelut vastaavat PCI DSS standardin vaatimaa tasoa myös niiltä osin, kun palveluja on ulkoistettu esimerkiksi teknisille kumppaneille. Verkkokauppa puolestaan on vastuussa siitä, että tietoturva verkkokaupassa vastaa PCI DSS tietoturvastandardia.

PCI DSS asettaa vaatimuksia myös kauppiaalle. Mitä tapahtuu korttimaksuissa ja korttimaksuihin perustuvissa mobiilimaksuissa verkkokaupassa, Myyjän muissa järjestelmissä tai fyysisessä kaupassa, on Myyjän vastuulla. Myyjän tulee varmistaa oma kykynsä noudattaa PCI DSS -standardia. Myyjän tulee arvioida PCI DSS -standardin noudattamisen kyvykkyytensä jokaisen käyttämänsä korttimaksamisen integraation tai sopimuksen osalta erikseen; esimerkiksi erikseen sen järjestelmän tai integraation osalta, joka käyttää Svea Payments Oy:n maksupalvelua, sekä erikseen mahdollisesti fyysisessä kaupassa käytettävän, toiselta palveluntarjoajalta saadun korttimaksupäätteen osalta. Jokaisen korttimaksusopimuksen osalta Myyjän tulisi tarkistaa sen soveltuvuus jonkin saatavilla olevan PCI DSS -vaatimusten saavuttamista mittaavan itsearviointikyselyn (SelfAssessment Questionnaire, SAQ) käyttöön. Kyselyt erilaisiin skenaarioihin on listattu täällä: https://www.pcisecuritystandards.org/document_library/?document=pci_dss_saq_instr_guide_v4

Liittyen Svea Payments Oy:n kautta hyväksyttäviin korttimaksuihin, Myyjän tulee

  • valita tähän kauppiassopimukseen sopiva itsearviointikysely eli SAQ

  • tarkistaa kelpoisuuskriteerit SAQ:sta

  • ja varmistaa että verkkokauppa noudattaa SAQ:ssa määriteltyjä vaatimuksia

Korttimaksujen riskit

Etäkaupan riskit ovat erilaisia kuin riskit fyysisessä kaupassa. Ostajan henkilöllisyyden luotettava todentaminen on vaikeampaa, koska kortin haltija ja ostaja eivät ole fyysisesti paikalla. Kauppiaan velvollisuus on tuntea asiakkaansa. Tuotteet tai palvelut, jotka ovat helposti muutettavissa rahaksi, ovat arvokkaita ja houkuttelevat myös rikollisia.

Verified by Visa ja MasterCard SecureCode -todennuspalvelut

Kaikki Svea Paymentsin maksupalveluiden kautta korttimaksuja vastaanottavat Myyjät liitetään automaattisesti mukaan Verified by Visa ja MasterCard SecureCode -todentamispalveluihin. Todentamispalvelut ovat kansainvälisten korttiyhtiöiden Visan ja MasterCardin kehittämiä turvallisuutta parantavia vahvan tunnistamisen palveluja. Todennetussa tapahtumassa maksukortti on tunnistettu verkkokaupassa tehdyn maksamisen yhteydessä erillisillä tunnistamistiedoilla (kuten pankkitunnuksilla) maksukortin myöntäjän toimesta.

PSD2-maksupalveludirektiivi määrittää, missä tilanteissa korttimaksujen kohdalla ostajan vahva tunnistaminen on mahdollista ohittaa. Tällaisia tilanteita ovat mm. toistuvaismaksut lukuunottamatta ensimmäistä maksua, ns. low value -maksut jotka ovat arvoltaan alle 30 €, sekä maksut EEA-alueen ulkopuolisilla korteilla, jotka eivät mahdollista vahvaa tunnistamista.

Kortinmyöntäjällä on oikeus hyväksyä tai hylätä maksu, sekä päättää vahvan tunnistamisen tarpeesta maksun kohdalla. Yleisesti ottaen petosriski on todentamattomissa korttimaksuissa aina verkkokauppiaalla, minkä vuoksi kauppiaan tulisi seurata korttimaksuja (ks. seuraava kappale). Jos ostajan henkilöllisyys on todennettu korttimaksun yhteydessä, niin kortinmyöntäjä ei yleensä voi esittää verkkokauppiaalle vaatimuksia väärinkäytöksen yhteydessä.

Korttimaksujen seuraaminen

Väärinkäytösten ehkäisemiseksi kauppiaan tulisi seurata kriittisesti korttimaksujen laatua ja määrää verkkokaupassa, sekä ostajien tietoja liittyen korttimaksuihin. Epätavallista voi olla esimerkiksi äkisti kasvaneet myyntivolyymit, kasvanut myynti tietylle markkina-alueelle, tai epäselvät tai riittämättömät ostajan tiedot. Jos kauppias epäilee kortin tai korttinumeroiden väärinkäyttöä verkkokaupassaan, on hänen ilmoitettava siitä välittömästi Svea Paymentsille. Oletusarvoisesti Svea Payments lähettää verkkokaupalle sähköpostin jokaisesta todentamattomasta korttimaksusta. Tämä on mahdollista kytkeä pois päältä palveluparametrilla, mutta siinä tapauksessa kauppiaan tulee itse seurata korttimaksuja Extranetistä.

Kauppias voi käyttää hyväkseen Extranetin toimintoja korttimaksujen seuraamisessa. Extranetin tapahtumahausta kauppias voi hakea todentamattomat korttimaksut. Tällaiset maksut voivat olla aivan hyväksyttäviä ja normaaleja, mutta on hyvä ottaa huomioon, että väärinkäytöksen riski on näissä suurempi ja tapahtumia tulisi tarkastella kriittisesti ja tarkistaa tilauksen ja ostajan tiedot ennen tilauksen toimittamista.

Epäselvissä tapauksissa kauppias voi olla yhteydessä Svea Paymentsin asiakaspalveluun, josta voidaan antaa neuvoja, mutta Svea Payments ei voi päättää kauppiaan puolesta onko tilausta tuvallista toimittaa vai ei, tai onko korttimaksu petos vai ei.

Svea Paymentsin vastuut korttimaksuissa

Svea Payments Oy noudattaa PCI DSS -tietoturvastandardia sekä maksulaitoksiin kohdistuvaa kansallista ja EU-tason sääntelyä. Svea Payments toimii korttimaksujen osalta Payment Facilitator -roolissa, eli maksujen välittäjänä, ja korttimaksujen tekninen käsittely sekä korttitietojen (mm. korttinumerot) käsittely on ulkoistettu tekniselle kumppanille. Svea Payments ei tallenna, säilytä tai käsittele maksupalvelun yhteydessä käytettäviä korttitietoja tai korttien tunnistetietoja. Svea Payments Oy vastaa siitä, että Svea Paymentsin tarjoama korttimaksamisen palvelu noudattaa PCI DSS –tietoturvastandardia myös siltä osin, kuin palvelu on ulkoistettu esimerkiksi korttitietoja käsittelevälle tekniselle palveluntarjoajalle.

Myyjän vastuut korttimaksuissa

Myyjän tulee noudattaa korttiyhtiöiden laatimaa PCI DSS-turvastandardia (http://www.pcisecuritystandards.org ) ja huolehtia verkkokauppansa tietoturvallisuudesta standardin ja lakien mukaisesti. Lisäksi Myyjän tulee noudattaa kulloinkin voimassa olevia kansainvälisten korttiyhtiöiden sääntöjä ja ehtoja korttimaksamiseen liittyen.

Etämyynnissä riskit ovat erilaisia kuin fyysisessä kaupankäynnissä. Ostajan luotettava tunnistaminen on kauppiaalle haaste, koska maksukortti ja ostaja eivät ole fyysisesti läsnä. Helposti rahaksi vaihdettava, arvokas ja nopeasti jälleenmyytävä tuote tai palvelu houkuttelee myös rikollisia. On myyjän vastuulla tuntea asiakkaansa ja asiakkaidensa ostokäyttäytyminen sekä noudattaa erityistä huolellisuutta varmistaessaan, ettei korttimaksuja käytetä vilpillisesti. Poikkeuksia havainnoimalla voidaan estää mahdollisia petoksia.

Chargebackit

Chargeback -tilanteella tarkoitetaan yleisesti tilannetta, jossa ostaja on vaatinut maksuaan palautettavaksi kortin myöntäneen pankin kautta. Svea Payments ei vastaa eikä ole velvollinen osallistumaan Chargebackeista johtuvien reklamaatiotilanteiden käsittelyyn tai reklamaatioiden ratkaisemiseen. Mahdollisista Chargeback - tilanteista ja niihin liittyvistä mahdollisesta selvitystyöstä, ajankäytöstä ja kustannuksista on vastuussa Myyjä. Myyjä on vastuussa Chargebackeista myös silloin, kun Chargebackin taustalla on todentamaton korttitransaktio tai ostajan henkilöllisyyttä ei ole kyetty varmistamaan.

Chargebackeja on kahta eri tyyppiä: sellaisia, joita verkkokauppa ei voi vastustaa ja sellaisia, joita verkkokauppa voi vastustaa. Chargebackin tyyppi määräytyy chargebackin syyn mukaan. Chargebackit, eli takaisinperinnät, ilmoittaa korttimaksamisen kumppanimme Bambora Ab.

Kun Svea Paymentsille tulee Bamboralta tieto jotain tilausta koskevasta chargebackista, ja jos chargebackin tyyppi on sellainen, että verkkokauppa voi vastustaa sitä, niin Svea Paymentsilta ollaan yhteydessä verkkokauppiaaseen ja kysytään, haluaako verkkokauppias vastustaa chargebackia. Joissakin tapauksissa chargeback voi olla mahdollista perua. Yleensä Bambora antaa chargebackin vastustamiselle 10 päivää aikaa. Mikäli chargebackia ei voi vastustaa tai se pysyy vastustuksesta huolimatta voimassa, niin Svea Payments joutuu laskuttamaan chargebackin verkkokaupalta ja toimittaa siitä verkkokaupalle raportin.