Remote e-/m-Payments im Internet - · PDF file– GlobalCollect – Skrill, Webmoney – Clickandbuy – mpass • andere Verfahren – Money Transfer P2P (Person-2-Person) – Mobile

Schulungsunterlage e-Commerce

Einführung in das Thema e-/m-Payments

Remote e-/m-Payments

im Internet

30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 1

Stand: 22. März 2013

Online Shop Online Käufer Internet


Inhalt Remote e-/m-Payments im e-Commerce


► e-Commerce Übersicht 2-7

► Zahlungsverfahren im Internet 8-19

► Beteiligte Parteien 20-24

► Technische Infrastruktur 25-28

► Sicherheitsanforderungen 29-35

► Online Betrug 36-37

► Maßnahmen gegen Online Betrug 38-41

► e-/m-Payment Geschäftsmodelle 42-43

► Rechtliche Rahmenbedingungen 44-45

► Marktinformationen 46-54

► Ausblick 55-59


Zur Entwicklung des Internets

Das Internet ist ein weltweiter Verbund von Computern, die über unterschiedlichste

Kommunikationsverbindungen und Rechnerplattformen auf der Basis des einheitlichen

Kommunikationsprotokolls (TCP/IP) miteinander Daten austauschen können.

– TCP/IP = Transmission Control Protocol / Internet Protocol

Zur Historie des Internets – Beispiele

– 1969: Projekt der Defence Advanced Research Projects Agency (DARPA)

Name ARPANET mit dem NCP Protokoll des US-Militärs u. der US-Verwaltung

– 1982: Das NCP-Protokoll mündet in die Spezifikation TCP/IP in UNIX BSD-Version

– 1989: CERN (Genf) Entwicklung eines Hypertext-Projekts als In-house Lösung

HTML Sprache (Hyper Text Markup Language) und des HTTP-Protokolls (Hypertext Transfer Protocol)

– 1991: Freigabe des Internets zur öffentlichen Nutzung

– 1993: www-Browser Netscape, Implementierung des „Single Line Internet Protokoll“ (SLIP) SLIP wurde später abgelöst durch das Point-to-Point Protokoll (PPP)

– 1993+ Implementierung von Multi Media (JAVA fähige Browser) und von Applets (Applikationen)

– 2006+ Das Internet wird mobil (Browser für Smart Phones, Tablets, PDAs; QR Codes)

– 2009: Weltweit sind ca. 350 Millionen PCs gleichzeitig miteinander verbunden.

– 2012: Weltweit ca. 2,4 Mrd. Internet Nutzer – Datenaufkommen >26,7 Mrd. GB/Monat

– 2013+ Mehr Menschen nutzen das Internet über mobile Geräte als über den heimischen PC



Zum Begriff e-Commerce

Weltweiter Online Handel von Waren, Dienstleistungen, digitalen Produkten und

Informationen im Internet in den Ausprägungen B2B, B2C, C2C.

– e-Commerce im mobilen Internet – auch m-Commerce genannt – ist Teil des e-Commerce

e-Commerce ist ein Distanzgeschäft und daher kein Verkauf am Point of Sale.

– Verlagerung von Geschäftsprozessen des Handels in das Internet.

e-Commerce nutzt mehrere Online Verkaufskanäle

– Internet (Onlineshops, mobile Shops, mobile Apps, QR Code)

– Telefon / IVR (Call Center, MOTO)

– Mobile Internet Endgeräte (z. B. Mobiltelefone, Tablets, PDAs)

– Öffentliche Kiosk Systeme (z. B. Outdoor Verkauf von Tickets)

e-Commerce unterliegt der EU Regulierung und der nationalen Gesetzgebung.

Weltweit gibt es auch Rechtsauffassungen, die EU Recht widersprechen können.



Besonderheiten / Einflüsse

77% der deutschen Internet User sind Online Käufer (Stand: Ende 2011).

e-Commerce wächst am stärksten in den Segmenten

– Airlines, Bahn, Veranstalter (z. B. Tickets)

– Internet Communities, Malls (z. B. eBay, Amazon, i-tunes, …)

– Reiseveranstalter (z. B. Expedia, Opodo, …)

– Zuwachs ca. 30% pro Jahr (geschätzt; stark branchenabhängig)

– Onlineshops im mobilen Internet (Zugang über Smart Phones, Tablets, PDAs).

Bei grenzüberschreitenden Online-Käufen und internationalen Transaktionen können

bei Streitfällen unterschiedliche Rechtsauffassungen zu Problemen führen.

Fast 45% der Online Käufer haben die Online Bestellung schon einmal

wegen unklarer Zahlungsmethoden abgebrochen:

– Zu kompliziert

– Misstrauen bzw. empfundene Unsicherheit

– Dadurch werden Spontankäufe erschwert



e-Commerce – Wo kann man was kaufen und bezahlen?


Mobile Internet Internet Web Web Kiosks, POIs Contactless Tags B2B Services

Ph

ys

ica

l G

oo

ds

Pro

du

cts

Dig

ital

Se

rvic

es

Co

de

s &

Tic

ke

ts

Co

nte

nt

on

ly

Dig

ital

Go

od

s

e-/m-Payments (cards, prepaid products, wallets, SMS payments, online bank transfers)

music, tones, movies,

magazines, etc.

e-/m-Payments (cards, prepaid products,

wallets, SMS payments,

online bank transfers)


magazines, etc.





magazines, etc.

Mobile NFC Payments (cards, prepaid products,




downloads, etc.

e-/m-Payments (cards, prepaid products, wallets, SMS payments, online bank transfers)

SW downloads, services, licences

e-/m-Payments (cards, prepaid products, wallets, SMS payments,


Prepaid Recharging,

gifting, events, tickets, games




Prepaid Recharging,

gifting, events,

tickets, games




Prepaid Recharging,

gifting, events,

tickets, games




Prepaid Recharging,

gifting, events,

tickets, vouchers




Prepaid Recharging,

gifting, events,

tickets, vouchers

e-/m-Payments

(cards, prepaid products,



books, any goods,

initiate delivery




books, any goods,

initiate delivery




books, any goods,

initiate delivery




books, any goods,

initiate delivery




any kind of products, ordering in B2B world


e-Commerce – ohne Bezahlen geht es nicht


Websites

Portale

Informations-

sammlung

Angebots-

vergleich

Auswahl

Bestellung

Bezahlung

Logistik

bis zum

Konsumenten

ANGEBOT WERBUNG NACHFRAGE LIEFERUNG

& LEISTUNG

CUSTOMER

CARE

DEMAND Generation

TRUST Generation

Online Geschäftsprozesse und Kriterien

Sicheres Online Bezahlen ist unverzichtbarer Baustein bei Online Käufen im Internet.














► Ausblick 55-59


Bezahlen im Internet

Grundsätzlich identisch mit dem Geschäftsmodell am „realem“ POS

– 4 Parteienmodell bzw. 3 Parteienmodell

– Adaptiert für alle offenen bzw. geschlossenen Internet Zahlungsverfahren

Anforderungen an Zahlungssysteme

– Sicher für alle Beteiligte

• Zahlungssicherheit, Datenschutz, Betrugsabwehr, Nachvollziehbarkeit, ...

– Einfache Bedienbarkeit

• Zugang, Abwicklung, ohne Voranmeldung, Implementierung

– Schnell

• Zahlungsprozess, Durchführung

– Günstig für Händler und Kunde

Wichtige Akzeptanzkriterien sind Sicherheit, Datenschutz und Vertrauen



Einordnung Remote e-/m-Payments im Internet (1)


Im Internet stehen vielfältige und unterschiedliche Zahlungsverfahren im Wettbewerb.

Der in Online Shops angebotene e-/m-Payment Mix setzt sich individuell zusammen aus:

– Karten, Online Überweisungen, Wallets, Prepaid Produkten,

– verzögerte Zahlungen (z. B. Nachnahme, nach Rechnungseingang, Ratenkauf).

Anbieter von e-/m-Payment Diensten sind Banken und E-Geldinstitute (EMI)

Acquirer von e-/m-Payment Diensten sind Zahlungsinstitute (PI), Banken und E-Geldinstitute.

Einordnung – Mobiles Bezahlen im Kontext der Payment Industrie

– Remote e-/m-Payments im Internet und im mobilen Internet

– auch: Proximity Payments mit NFC-fähigen mobilen Endgeräten an kontaktlosen POS Terminals

– auch: Tablet PCs und Smart Phones als mini-POS Terminal (MPOS Endgeräte)


Einordnung Remote e-/m-Payments im Internet (2)


Es gibt weit mehr als 100 verschiedene remote e-/m-Payment Brands im Internet.


e-/m-Payment Zahlungsverfahren in D – Beispiele


• Vorkasse

• Rechnung

• Nachnahme

• Ratenkauf

• Inkasso Systeme

• Lastschrift (z. B. ELV online)

• Bankeinzug

• Online Überweisung – giropay (D)

– eps (A)

– iDEAL (NL)

• Bankeinzug über Telefonrechnung

• Kreditkarten – Alle Kartenbrands

– Gesichert: 3D-Secure (MasterCard SecureCode, Verified by VISA, JCB J/Secure)

– auch gesichert: SSL mit Kartenprüfnummer (KPN)

• Debit Karten – MasterCard Debit, Maestro,

VISA Debit, V PAY, Electron

– Gesichert: 3D-Secure, SSL mit KPN

– keine girocard Karten

• Prepaid Karten – MasterCard, VISA, …

– Maestro, V PAY, Electron, …

• e-Purse (z.B. GeldKarte)

– sicherer Kartenleser erforderlich

• Prepaid Produkte – z. B. PaysafeCard

• Handelskarten – Kundenkarten

– GiftCards

• Wallet Dienste – PayPal, Paybox

– GlobalCollect

– Skrill, Webmoney

– Clickandbuy

– mpass

• andere Verfahren – Money Transfer P2P

(Person-2-Person)

– Mobile Money Transfer (MMT)

– e-Vouchers

Kartenverfahren Nicht-Kartenverfahren Verfahren Dritter


Multi-Payments im e-Commerce – Beispiele


Source: ogone

PSP Services und ACQ Services werden zugeschnitten auf

auf lokale + grenzüberschreitende e-/m-Payment Anforderungen

IT Plattformen führender Payment Service Provider (PSP)

verarbeiten >80 e-/m-Payment Verfahren und verbinden

Onlineshops mit >200 Acquirern der EEA Region (auf Wunsch).

Quellen: Webseiten von ACQs und PSPs


Bezahlseite im Online Handel – Typisches Beispiel


Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung.


Bezahlseite im Online Handel – Beispiel Lufthansa


Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung.


Online Banküberweisung – Beispiel giropay


giropay Online Banküberweisung im Internet – Ziel: keine Zahlungsinformation über den Händler

Source: giropay

80% Marktabdeckung


e-Wallet ID [email protected]

8 Tagesticket Wiener Linien

34,40

Digitale Wallet Services (1) – Beispiel PayPal


34,40

PayPal (E-Geldinstitut mit eigener Banklizenz) nutzt weltweit die Bankeninfrastruktur.

Source: PayPal

PayPal wurde 1998 gegründet und ist seit 2002 ein Tochterunternehmen von eBay mit Hauptsitz in San Jose, Kalifornien.

Seit 2007 besitzt PayPal in Europa eine Banklizenz und unterliegt damit dem Europäischen Recht.

In Europa; Regulierung durch die luxemburgische Bankaufsicht CSSF.

PayPal ermöglicht es Privatpersonen und Unternehmen, Online-Zahlungen sowie Zahlungen

über mobile Geräte sicher, schnell und einfach auszuführen und zu empfangen. Die Eingabe von

Konto- oder Kreditkartendaten ist dabei nicht notwendig, denn diese Daten sind bereits sicher

bei PayPal hinterlegt. Die globale Zahlungs-Lösung zählt bereits 123 Millionen aktive

Kundenkonten und steht Nutzern in 190 Märkten und 25 Währungen zur Verfügung.


Digitale Wallet Services (2) – Beispiel Skrill


Skrill (E-Geldinstitut, vormals Moneybookers) nutzt weltweit die Bankeninfrastruktur.

Source: Skrill


Digitale Wallets – Wallet Wars im Internet?


Digitale Wallet Dienste drängen vom Onlineshop zum POS – die Kartenorganisationen halten dagegen














► Ausblick 55-59


Beteiligte Parteien – oft 3-/4-Parteien Modell + PSPs

Händler als Anbieter mit Onlineshop oder Mobile App

Payment Service Provider (PSP) als spezialisierter Verarbeiter (Processor)

– z. B. Technische Anbindung von Online Shops bzw. Mobile Apps an mehrere Acquirer

Acquirer als Akzeptanzpartner des Handels

Technische Processoren als Dienstleister der Acquirer und der Issuer

Internationale Gateways als Routing Netz der Kartenorganisationen

TSM Processoren als Dienstleister (Setup von Secure Elementen auf mobilen Endgeräten)

Issuer als Anbieter von e-/m-Payment Diensten

– z. B. kartenausgebende Banken

– z. B. E-Geld Institute

– z. B. Internet Player

Konsumenten als Käufer mit PC, Notebook, Tablet oder Smart Phone



Die Rolle der Payment Service Provider (PSP)

Charakteristika der Payment Service Provider (PSP)

– Spezialisierte technische Processing Dienstleister

– Bündeln unterschiedliche e-/m-Payment Zahlungsverfahren in einer Schnittstelle

– Technisches Processing von Internetzahlungsdiensten aller Art

– Technische Anbindung von Online Shops und Mobile Apps an mehrere Acquirer

– Bereitstellung von Software Modules für Integration von speziellen Internetzahlungsdiensten

– z. B. Merchant Plug-In, API Interfaces, Elektronische Kassen für Online Shops, mobile App, Malls, etc.

– Hosting Services (Hosting von Online Shops, Mobile Shops, zusätzliche SaaS Dienste)

– Akzeptanz von geschlossenen Internetzahlungsdiensten

– Arbeiten als Vermittler für mehrere Acquirer

– Bieten Bezahldienste im Internet grenzüberschreitend an (in Europa, auch: weltweit)

Einige PSP bieten komplette White-Label Virtual PSP Plattform Services (VPSP) an.

Viele Acquirer bieten auch PSP Services an (ggf. White Label mit PSP Partnern)

PSPs bieten kein Trusted Service Manager (TSM) Processing an (Stand: E2012).



Internationale PSP Dienstleister – Beispiele (2012)



PSP Dienstleister in DACH – Beispiele (2012)















► Ausblick 55-59


Technische Entwicklung von e-/m-Payments


Rechnung und

Nachnahme

Mitte 90ziger Zukunft 1997 - 2001

Ungesicherte

Kreditkartenzahlung

(analog MOTO,

ab: 2004 SSL + KPN)

SSL Absicherung für

Kreditkartenzahlungen

Einführung

SET

Prepaid Karten

und Debitkarten

„mobile“ Zahlungen

im Internet

(z.B. SMS, paybox)

Aktuell 2002 - 2005

„two-factor

authentication“

(CAP, VAP)

QR Code CVx2, 3D-Secure

?

• Unterschiedliche e-/m-Payment Zahlungsverfahren sind gleichzeitig im Einsatz

• Entscheidungen über Nutzung (enrolment) und Akzeptanz der Verfahren liegt bei

• Kartenherausgebern bzw. e-Geld Instituten

• Karteninhabern

• Acquirern

• Händlern

• Je nach Zahlungsverfahren gibt es unterschiedliche Haftungsregelungen

NFC ?, …


Zur Technischen Infrastruktur im e-Commerce

Kommunikation

– Internet Technologie Ebene – z. B. Internetzugang, Router, Web Server, Firewall, Anti-Virus Programm

– Onlineshop Protokolle, Gateway Protokolle – meist in XML- oder anderer Web-Technologie

– Onlineshop Interface Ebene – z. B. Merchant Plug-ins, Direktanbindung über API Interface, Mobile Apps

Sicherheit

– Erfüllung der Anforderungen an Datensicherheit – z. B. PCI Compliance, SSL+KPN, 3D-Secure

– Payment Gateway – sicheres Routing zu den Acquirer Systemen, ggf. mit eigener HSM Security Box

– Online Fraud Control Server – Erkennung und Bekämpfung von Online Betrug (bei Issuern und Acquirern)

– Access Control Server – ermöglicht online 3D-Secure Authentifizierung bei der kartenausgebenden Bank

Merchant Services

– Merchant Server – für das e-/m-Payment Transaktionsmanagement der einzelnen Online Händler

– Merchant Information Server – für das Reporting und eigene Abrechnungsdienste des Online Händlers

– Merchant Fraud Control Service Tool für den Merchant zur Erkennung und Bekämpfung von Online Betrug

Andere Anforderungen

– Erfüllung der Anforderungen der Kartenorganisationen und der anderer Zahlungsdienste

– Erfüllung gesetzlicher Anforderungen – z. B. Payment Service Payment Direktive, Anti-Geldwäsche



Technologie bei Payment Service Providern (PSP)


TCP/IP

E-/M-Payment Service Provider (PSP)

Online Händler

Back-End Front-End

Acquirers

IP, GPRS,

UMTS, GSM

Acquirer, z. B. In Europa

Sichere Skalierbare IT Plattform

Front-End – Der Internet Payment Gateway verbindet Online Shops und Händler Systeme mit dem PSP

Sicheres Online Processing und Management aller Payment TX mit den Online Shops der einzelnen Händler (z. B. Merchant Plug-in, Mobile App, web-basierte virtuelle Mail Order/Telefon Order Anwendungen , Direktanbindungen über API oder Batch Interface)

Back-End – Das Processing Gateway routet e-/m-Payment Transaktionen zu den Acquirern

Routing und Switching aller e-/m-Payment TX zu den Acquirern – z. B. Autorisierungsanfrage und –antwort, TX Einreichung

MIS Tool als Merchant Information & Management System – für mehrsprachiges TX Monitoring und TX Management

Der Online Händler ist für das Management und die Kontrolle seiner Online Payment TX selbst verantwortlich (nicht der PSP)

Der PSP stellt dem Online Shop Software Tools gemäß den Wünschen und Marktanforderungen zur Verfügung (z. B. Charge-Back Tool)

Acquirer Domains Online Merchant Domains

MIS

Acquirer

Fraud

Merchant

Fraud














► Ausblick 55-59


e-Commerce Sicherheit – Grundstruktur

Anwendungsunabhängige Transportkanal-Verschlüsselung

– Geheimhaltung und Integrität der Daten

– Nutzung der de-facto Standards für sichere Kommunikation im Internet

Sicherer Zahlungsverkehr – getrennt vom Shop des Merchants

– Teilnehmer Authentifizierung unabhängig vom Online Shop des Händlers

PCI DSS Standard – mehr Datenschutz für Karteninhaberdaten und Kontodaten


SSL Kanal

Zertifizierungsinstanz

Payment Service Provider,

Acquirer, Finanzdienstleister

Mall / Community

128 Bit+

Online Käufer

Online Shops / Merchants

128 Bit+

Internet


Sicherheitstechnologien im e-Commerce

Aktuelle Sicherheitsanforderungen an Zahlungsdienste im Internet

Ziel: Betrugsversuche verhindern bzw. zumindest nachhaltig erschweren

Aktuelle Sicherheitstechniken im Internet (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner)

Kartenprüfnummern (KPN) – z. B. CVV2, CVC2, CID, CID2

Verschlüsselung und Zertifizierung nach PCI DSS

3D-Secure (MasterCard SecureCode, Verified -by-VISA, AmExp SafeKey, J/Secure)

einmal gültige TAN bei Online Überweisungen – papierbasiert, mittels TAN-Generator bzw. mTAN

PAN Truncation – Verkürzte Darstellung von Kartendaten auf Transaktionsbelegen

(nur letzte vier Ziffern der Kartennummer, z.B. 42XX XXXX XXXX 1234)

Option: Audit zum Gütesiegel „Zertifizierter Onlineshop“ – z. B. EHI, TÜV, ISO Zertifikat



Das 3D-Secure Verfahren

Entwickelt von VISA und MasterCard

– Bekannt als

• MasterCard SecureCode

• VbV (Verified by VISA)

– Automatische Registrierung: Frage nach der Mobilfunknummer des Karteninhabers

– Issuer können eine beliebige Methode zur Authentifizierung des Karteninhabers anwenden

• z. B. Passwort, einmalige TAN per SMS, Fingerabdruck, …)

– Absicherung z. B. mittels einmalig gültigen 3D-Secure Codes zugesandt auf das Mobiltelefon

– Wegen 3D-Secure Betrug: Viele Issuer haben statische 3D-Secure Passworte abgeschaltet.

Adaptiert von anderen Kartenorganisationen

– z. B. SafeKey von American Express, J/Secure von JCB

Mit „Liability Shift“ (Haftungsumkehr) vom Händler zum Kartenausgeber wird die Einführung von 3D-Secure Verfahren forciert.



3D-Secure Sicherheit – Übersicht


Käufer Händler Acquirer Karten-

netzwerk

Karten-

Issuer

VISA MC ….

MPI Access

Control

Server

(Einmaliger

3D-Code)

Directory

Server

(1 Directory Server

je Kartenorganisation)

MPI in Händler‘s

Online Shop

Haftungsumkehr (Liability Shift)


Ablauf 3D-Secure Zahlung – Beispiel VISA


VISA

Directory

2

Issuer

Authentication

History

5

4

5

3

3

6

Acquirer Domain

6

Issuer Domain

3D-Secure Payment Adapter

Cardholder Merchant 1

5

Plug-in

Source: VISA international

Internet Payment System

VisaNet

Interoperability Domain

Acquirer

3D-Secure Authentication Adapter Access

Control

2


• Der PCI Security Standards Council ist ein offenes globales Forum für die ständige Pflege,

Weiterentwicklung, Dokumentation und Implementierung von Sicherheitsstandards für den

Datenschutz von Karteninhaberdaten und Kontodaten im elektronischen Zahlungsverkehr.

• Die Organisation wurde von American Express, Discover Financial Services, JCB, MasterCard

Worldwide und VISA International gegründet (www.pcisecuritystandards.org).

• Mission des PCI Security Standards Councils ist die nachhaltige Verbesserung der Daten-

sicherheit im elektronischen Zahlungsverkehr durch Anwendung von PCI Security Standards.

• PCI Data Security Standard (PCI DSS)

PCI DSS ist ein umfassender Sicherheitsstandard, der Mindestanforderungen an Datensicherheit,

das Management der Sicherheitsregeln und Sicherheitsprozesse, an Netzwerkarchitekturen, an das

Software Design und an andere sicherheitsrelevante Maßnahmen stellt, z. B. (im Originalton)

– Build and Maintain a Secure Network;

– Protect Cardholder Data;

– Maintain a Vulnerability Management Program;

– Implement Strong Access Control Measures;

– Regularly Monitor and Test Networks;

– Maintain an Information Security Policy.

• Durch Anwendung der PCI Standards sollten alle Merchants, Payment Service Provider, Acquirer

und Issuer zu höherer Datensicherheit im e-Commerce beitragen.

e-Commerce Sicherheit – Der PCI DSS Standard















► Ausblick 55-59


Online Betrugsarten im Überblick

Online Betrug ist als Verbrechen strafbar Verurteilungen bis hin zu Haftstrafen.

Online Betrug basiert auf der illegalen Beschaffung von Kartendaten/Kundendaten:

Kartenfälschung (Counterfeit Fraud)

Card Not Present Fraud

Diebstahl von Karten (Lost and Stolen), Mail Non Receipt Fraud

Identitätsdiebstahl (Identity Fraud)

– Cold Calls, Diebstahl von Ausweisen, Elektronischer Identitätsbetrug (Application Fraud)

– Diebstahl von Zahlungsbelegen aus Müllcontainern (z. B. in Tankstellen)

– Betrug bei Warenrückgabe (Return Fraud, Refund Fraud)

Manipulierte Geldautomaten (z. B. Beschaffung von Kartendaten für Online Betrug)

Computerbetrug

– Phishing; Pharming

– Hacking; 3D-Secure Fraud

– Manipulierte POS Terminals, Manipulierte Webseiten

– Dateneinbruch (Data Breach)

– Manipulierte QR Codes (Atagging)















► Ausblick 55-59


Maßnahmen gegen Online Betrug (1)

Präventionsmaßnahmen

Einsatz von Tools zur Erkennung und Reduzierung von Missbrauch

beim Entstehen von Online e-/m-Payment TXs

Monitoring der IP-Adresse und von Gerätekennungen (MAC-ID, „Device Fingerprint“)

Zurückweisen von eindeutig betrügerischen TX, ggf. manuelle Prüfung durch den Risk Manager

Analyse von Schadensfällen (offline) daraus dann

Ableitung von neuen Regeln zur frühzeitigen Entdeckung von Tätervorgehensweisen

Implementierung dieser Online-Überwachungsregeln in den Front-Office Systemen mit Alarmierung

Manuelle Nachbearbeitung von Alarmen und verdächtigen TXs (Zurückweisen oder OK?)

Selektiver Anschluss von neuen Vertragspartnern bzw. von (anonymen) Online Käufern

Definition von „unerwünschten Hot-Spots“ oder auch sogenannten „Ausschlussbranchen“

Zusammenarbeit auf nationaler und internationaler Ebene mit Kartenorganisationen

Zusammenarbeit mit Behörden, die Sicherheitsaufgaben nachgehen (z. B. Bundeskriminalamt)




Einsatz von Sicherheitstechnologien – gemäß aktuellem Sicherheitsniveau

Aktuelle IT Sicherheitstechniken (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner)

Verschlüsselung der Daten (z. B. PCI DSS Standard)

Verschlüsselung nach aktuellen Data Encryption Standards (z. B. 3DES)

PAN Truncation – verkürzte Darstellung der Kartennummer (z. B. nur 4-letzte Ziffern auf Belegen)

Kartenprüfnummern bei Online Kartenzahlungen (z. B. CVC2, CVV2, CID, CID2)

3D-Secure – Verified-by-VISA bzw. MasterCard SecureCode (SPA-/UCAF)

EMV Chip Einführung – von SDA zum DDA/CDA Chip Abschalten des Magnetstreifen

Repressionsmaßnahmen

Konsequente Erstattung und Verfolgung von Strafanzeigen

Zusammenarbeit mit Behörden und Organisationen mit Sicherheitsaufgaben

– Im Inland und Ausland

Beitreibung von offenen Salden durch eigene Kräfte oder Inkassodienste

Kündigung von negativ auffälligen Vertragsunternehmen und Karteninhabern




Einsatz von eigenen Sicherheitssystemen

Bestellen eines internen unabhängigen Risk Managers

Implementierung von immer höheren Sicherheitsstandards

Pflege einer eigenen Chargeback Datenbank und eigener Sperrlisten sowie Merchant Limits

Aufbau einer eigenen Fraud Statistik Datenbank zur Erkennung von Betrugsmustern

Nutzung von Online Tools zur Betrugserkennung (Fraud Detection)

Nutzung von regelbasierten Online Tools zur Betrugsbekämpfung (Fraud Prevention)

Ständige Erweiterung der Online Überwachungsregeln in den Autorisierungssystemen

Mit Umsetzung der PCI Standards abgelöst

– Account Information Security (AIS) von VISA

– Site Data Protection (SDP) von MasterCard


Sicherheitssysteme werden z. B. von Issuern, Acquirern und Payment Service Providern eingesetzt.














► Ausblick 55-59


e-/m-Payment Geschäftsmodelle – Die Grundtypen

Die bekannten Geschäftsmodelle des bargeldlosen Zahlungsverkehrs wurden für die

vielfältigen e-/m-Payment Zahlungssysteme im Internet erweitert:

– Issuer Modell Remote e-/m-Zahlungsdienste für Konsumenten

– Acquirer Modell Remote e-/m-Zahlungsdienste Akzeptanz

– Payment Service Provider (PSP) u. a. als spezialisierter PSP Processor

– Processor Modell ISS/ACQ Processing von e-/m-Payment Diensten

– TSM Processor Modell Setup von Secure Elements auf Mobiltelefonen

Das Treuhandmodell (Escrow Trust Lösung, z. B. iclear)

– Treuhänder stellt sicher, dass der Käufer die Ware erhält und der Händler das Geld.

– Alternative für den Online-Kauf von höherwertigen Waren.

Der Online-Händler („Erlöse .vs. Einkauf + eigene Kosten + Akzeptanzkosten“)

Der Online Einkäufer („Eigenerlöse aus Onlineauktionen oder P2P/M2M-Verkäufen“)


Die Geschäftsmodelle des Kartengeschäfts wurden für e-/m-Payment Dienste adaptiert.














► Ausblick 55-59


Rechtliche Rahmenbedingungen

e-Commerce und remote e-/m-Payments unterliegen der EU Regulierung

– Richtlinie 2007/64/EG Zahlungsdienste-Richtlinie (PSD)

– Richtlinie 2009/110/EG E-Geld Richtlinie (EMD)

– Richtlinie 2005/60/EG Anti-Geldwäsche Richtlinie (AML)

– Richtlinie 1995/46/EG Datenschutz Richtlinie

– Richtlinie 2000/31/EG e-Commerce Richtlinie

– Verordnung 2009/924/EG für grenzüberschreitenden Zahlungsverkehr

– Verordnung 2011/83/EG Customer Rights Direktive (CRD), u. a.: Surcharging

– Verordnung 2012/260/EG SEPA End-Date Regulierung

e-Commerce und e-/m-Payments unterliegen auch nationaler Gesetzgebung

– Zahlungsdiensteumsetzungsgesetz (ZaDiUG vom 25.06.2009, BGBL 2009 Teil I Nr. 35)

– Zivilrecht bzgl. Zahlungsverkehr in §§ 675c ff. BGB

• z. B. das Fernabsatzgesetz FernAbsG (D) ist heute Teil des BGB

– Einführungsgesetz zum BGB (EG BGB) in Artikel 248 §§ 1 ff. (Informationspflichten)

– Zahlungsdiensteaufsichtsgesetz (ZAG) – Aufsichtsgesetz für Zahlungsinstitute

– Geldwäschegesetz (GWG)















► Ausblick 55-59


e-Commerce – Online Käufer in % der Internet Nutzer


63,3% der Internet Nutzer sind gleichzeitig Online-Käufer (Deutschland).

Source: HDE 2008


e-Commerce – Anforderungen der Online Käufer


Sicherheit, Datenschutz und Vertrauen sind den Online Käufern besonders wichtig.

Fast 45% haben bereits aufgrund undurchsichtiger

Zahlungsmethoden die Bestellung abgebrochen.

56% der Online Käuferhaben bereits negative

Erfahrungen gemacht.


e-Commerce – Unverändert starkes Online Wachstum


Source: Bundesverband des deutschen Versandhandels (bvh)


e-Commerce – Umsätze nach Warengruppen




e-Commerce – Umsatz mit Digitale Gütern



*2012


Online Umsätze nach e-/m-Payments in D (in%)


Deutsche Online Käufer vertrauen auch online auf bewährte Zahlungsverfahren und PayPal.

Source: ECC Händlerumfrage IZH6, Februar 2012

Jahr 2011


e-/m-Payments – Strategien der Händler


Der Online Handel orientiert sich bzgl. Online Zahlungsverfahren an der Nachfrage seiner Online Käufer.

Source: eCommerce-Leitfaden 2012


Anforderungen des Handels an e-/m-Payments


Die Priorität der Anforderungen des Online Handels an Online Zahlungen sind keine Überraschung.














► Ausblick 55-59


Ausblick e-Commerce

Verlagerung von Geschäftsprozessen ins Internet Steigende e-Commerce Transaktionszahlen, insbesondere im mobilen Internet

Stark Wachsend Mobiler Einkauf über Tablets und mobile Smart Phones

Online Verkäufe im E-Commerce erreichen in einzelnen Ländern bereits bis zu 15% des gesamten stationären Verkaufsvolumens vom Point of Sale.

Das Wachstum der Betrugsfälle (Online Fraud) im e-Commerce bleibt anhaltend hoch – Wachsende Schadenssummen reduzieren die Gewinne der Unternehmen

– Hohe Internationalisierung der Bandenkriminalität (Cross-Border, Virtuelle Kartenfälschung)

– Organisierte Betrüger greifen gezielt Schwachstellen in der Processing Infrastruktur an

Ständige Maßnahmen gegen Online Betrug zur Erhöhung des Sicherheitsniveaus – Kartenprüfnummern, 3D-Secure Passwort, auch regional begrenzte Kartenprofile

– Monitoring von IP Adressen und Gerätekennungen (z. B. MAC-ID)

– Höhere Datensicherheit dank PCI DSS Implementierung

– Einsatz regelbasierter Online Fraud Prevention Systeme

– Mehr Sicherheit durch den Einsatz von „two-factor“ Authentifizierungsmechanismen – Einmalig gültige 3D-Secure Codes, SMS Bestätigung und einmalige mobile TANs



Trends im e-Commerce (1)

Seit 2010

Trend: Optimaler e-/m-Payment Mix für maximalen Umsatz – Nur mit dem passenden e-/m-Payment Mix kann der Händler

in seinen Online Shops den optimalen Umsatz erzielen.

Trend: QR Code Shopping, Mobile App Shopping – Einleitung des Online Einkaufs durch Scannen von QR Codes

– Zugang zum Onlineshop über eine Mobile App auf dem mobilen Endgerät

Trend: Multi–Channel Shopping – Online Käufer kaufen zunehmend auch per Tablet und per Mobiltelefon online ein.

Trend: Der digitale e-/m-Payment Mix wächst – Kartenzahlungen, Wallets, Prepaid Produkte und Online Banküberweisungen

wachsen zu Lasten von Lastschrift, Rechnung, MOTO und Nachnahme

Trend: Höheres Sicherheitsniveau durch mehr End-to-End Security

Trend: Betrug mit Kartenfälschungen geht dank EMV Implementierung zurück.



Trends im e-Commerce (2)

Mittelfristig

Trend: Wallet Wars – Wer gewinnt den mobilen Kunden? – Immer mehr digitale Wallet Anbieter starten mit multi-funktionalen Wallet Diensten

– 1. Wallets ermöglichen e-/m-Payments im Internet und per QR Code an der Kasse

– 2. NFC-fähige digitale Wallets werden in einem mobilen Secure Element gespeichert

– 3. der Konsument zahlt per Wallet im Internet und an kontaktlosen Readern der POS Welt

Trend: EMV Payments über das Internet – Digitale Wallets, gespeichert auf EMV-fähigen SIM-Karten im Mobiltelefon,

ermöglichen sichere „EMV Card-Present“ Zahlungen im Internet

Trend: Omni-Channel Marketing im e-Commerce – Digitales 1:1 Kundenmarketing integriert über alle Verkaufskanäle der POS/e-/m-Welt

Mittelfristig

Trend: Mobiles NFC Shopping – Kontaktlose Smart Tags, und NFC-fähige Smart Poster ermöglichen mobile NFC Dialoge

zwischen Kunden und Online Shops oder Check-in/Check-out Prozessen (z. B. Nahverkehr) überall dort, wo individuelle Kommunikation zum Einkauf gewünscht/erforderlich ist.


Documents

Remote e-/m-Payments im Internet - · PDF file– GlobalCollect – Skrill, Webmoney – Clickandbuy – mpass • andere Verfahren – Money Transfer P2P (Person-2-Person) – Mobile