CREDITCARDBETALINGEN AFHANDELEN
De creditcard is op internet het meest gebruikte betaalmiddel. De verschillende creditcardaanbieders werken samen om online fraude, hacken en allerlei andere bedreigingen te bestrijden. In dit artikel een uitleg van maatregelen en termen in 'creditcardland', waarmee u als webwinkelier rekening dient te houden.
Tekst: Erik van de Nadort
PCI DSS staat voor Payment Card Industry Data Security Standard en vormt een richtlijn voor bedrijven die kaartbetalingen verwerken. Elk bedrijf dat betaalgegevens verwerkt, opslaat of doorstuurt dient 'PCI DSS compliant' te zijn en mag alleen samenwerken met een payment solution provider (PSP) die deze status heeft. Indien winkeliers niet conform deze regels werken, kunnen ze hun mogelijkheid om online-betalingen te verwerken verliezen. Winkeliers en PSP's moeten dan ook regelmatig controles ondergaan of zelf uitvoeren om na te gaan of ze nog aan de voorwaarden van de PCI voldoen.
Verifiëren
Sinds enkele jaren hebben creditcards een card verification code (CVC). Deze code staat op de creditcard zelf en moet bij 'card not present'-transacties, die via internet, telefoon of fax gebeuren worden opgegeven door de kaarthouder. Banken beslissen in principe zelf of ze deze code willen gebruiken om fraude tegen te gaan, maar inmiddels verplichten ze vrijwel alle webwinkeliers naar deze verificatiecode te vragen. De verificatiecode is op een unieke wijze aan het kaartnummer verbonden, maar is geen onderdeel van het kaartnummer zelf. Afhankelijk van het merk betreft het een drie- of viercijferige code op de voor- of achterzijde van de kaart.
Een andere methode om de kaartgegevens te verifiëren is door middel van AVS (address verification service) voor Visa/MasterCard of AAV (automated address verification voor American Express. Bij deze authenticatieprocedure wordt het factuuradres van de online-aankoop vergeleken met de gegevens die door de rechtmatige creditcardeigenaar bij de creditcardmaatschappij zijn ingeschreven. In Europa is dit systeem vooralsnog alleen in Engeland actief.
3Dsecure
De verschillende creditcardmaat-schappijen werken eveneens samen aan een uniform internetprotocol. Dit protocol heet 3Dsecure en heeft als doel veiligere online-transacties te garanderen en daarnaast de verantwoordelijkheid van een online-fraude te verschuiven van de acquirer naar de issuer (in de meeste gevallen de kaartuitgevende bank). Bij een 3Dsecure transactie wordt de online-koper doorgestuurd naar de website van de creditcarduitgever om daar zijn geheime identificatiecode (bijvoorbeeld een eenmalig paswoord) in te vullen en zo zijn betaling te bevestigen. Eigenlijk dus een soort PIN-transactie, alleen dan online en met een creditcard. Bij een foute identificatie wordt de transactie geweigerd. 3Dsecure wordt aangeboden onder verschillende vormen: MasterCard SecureCode, Verified By Visa en J/Secure (voor JCB).
De eerste transacties op deze manier hebben reeds plaatsgevonden, maar het is nog niet verplicht. Wel wordt het geadviseerd, met als verkoopargument dat een veilige webwinkel uiteraard meer klanten trekt en behoudt.
Wie is wie, wat is wat?
3Dsecure is een online-protocol dat de identificatie van kaarthouders automatiseert bij e-paymenttransacties.
AAV (automated address verification) is een autenticatieprocedure, beschikbaar in sommige markten, om frauduleus gebruik van creditcards bij internettransacties te helpen voorkomen.
Een acquirer is een bank of financiële instelling die winkeliers de mogelijkheid biedt om online-betalingen te accepteren. Deze instelling verwerkt de transacties van de winkelier en schrijft de betalingen over op de rekening van de winkelier. Met een rekening bij een acquiring bank bent u in staat om online-betalingen te accepteren. Welk type betaalmethode hangt af van de acquiring bank.
CVC (card verification code) is ook wel bekend onder de afkorting CVV2 (card verification value).
Dit is een unieke cijferreeks naast het eigenlijke creditcardnummer.
Issuing bank - issuer - is de bank die verantwoordelijk is voor het uitgeven van debit- of creditcards aan de consument of aan bedrijven.
Vaak wordt in de literatuur de term merchant gebruikt om een winkelier aan te duiden.
Een PSP (payment solution/service provider) biedt de mogelijkheid online-betalingen af te handelen voor diverse betaalmethoden.
PCI DSS (Payment Card Industry Data Security Standard) is een (meestal verplichte) richtlijn voor bedrijven die kaartbetalingen -verwerken.
De afkorting SSL staat voor secure socket layer. Dit is een systeem voor de encryptie van data die via internet wordt verstuurd. Gevoelige data kan zo gedurende de overdracht tussen twee servers nooit worden gelezen. Het zichtbare bewijs van SSL is het beveiligde hangslotje onderaan het scherm of de 'https' in de adresbalk van uw browser. Webwinkels kunnen SSL-encryptie aanbieden, om bijvoorbeeld adres- en bestelgegevens te beschermen. In geval van betalingen zullen de PSP's of creditcardmaatschappijen echter altijd gebruikmaken van een eigen SSL-sessie.
Een chargeback komt voor wanneer de kaarthouder zijn issuing bank verzoekt om een creditcardtransactie terug te draaien of ongedaan te maken. Een chargeback kan verschillende redenen hebben: de creditcard werd frauduleus gebruikt, de kaarthouder is niet tevreden met de geleverde producten/diensten. De betaling wordt dus betwist en het geld wordt aan de kaarthouder teruggestort.
Dit artikel is tot stand gekomen met medewerking van Comsec, ion-ip en Ogone.
Dit artikel verscheen eerder in twinkle 2-2008
Er is op dit moment 0 keer gereageerd op:
Wegwijs in veiligheidsmethoden en -eisen
Je kunt niet meer reageren op dit artikel.