Direktzahlungen zu verarbeiten ist ziemlich einfach, wenn der Käufer – sprich der Karteninhaber – persönlich in den Laden kommt und Waren kauft oder Dienstleistungen bezieht. Wenn Transaktionen jedoch mit Kredit- oder Debitkarten über das Internet, per Mail oder telefonisch abgeschlossen werden sollen, wird es schnell kompliziert.

Bei solchen Transaktionen spricht man von Distanzzahlungen, oder „card not present transactions“ (CNP), und sie stellen für Händler insofern ein Problem dar, weil das Betrugsrisiko hoch ist. Unternehmen müssen sich mit Tools für die Prävention und Erkennung von Betrugsfällen wappnen, um Zahlungskarten zu validieren und authentifizieren, wenn mit CNP-Transaktionen Geld verdienen wollen.

Trotz der Herausforderungen bezüglich Betrug, birgt das Verarbeiten von Distanzzahlungen für beide Parteien Vorteile: Unternehmen sind in der Lage, überall Waren und Dienstleistungen zu verkaufen, ohne ihren Standort zu verlassen, und Karteninhaber können ihre Einkäufe bequem von zu Hause aus tätigen

Sicherheitslösungen für Distanzzahlungen

Da bei Distanzzahlungen weder der Karteninhaber anwesend ist noch die Karte vorliegt, steigt das Betrugsrisiko. Glücklicherweise gibt es jedoch für Unternehmen – die mit einer kostspieligen Rückbelastung rechnen müssen, sobald die betrügerische Transaktion durch den Karteninhaber entdeckt wurde – verschiedene Methoden, um das Betrugsrisiko zu begrenzen. So können verschiedene Betrugsüberwachungs-Tools helfen, Hochrisiko-Transaktionen oder verdächtige Transaktionsmuster zu identifizieren.

Kartenunternehmen wie Visa und MasterCard bieten Dienstleistungen für die Authentifizierung in der CNP-Umgebung an: Verified by Visa und MasterCard Secure Code sind solche Tools, wie auch Kartensicherheitscodes und Adressverifizierungsdienste.

Verified by Visa und MasterCard Secure Code

verified-by-visaVerified by Visa (VbV) hilft Kartenausstellern die Identität der registrierten Karteninhaber zu authentifizieren, wenn sie einen Kauf über das Internet tätigen.

Dies bedeutet, dass die Website des Händlers oder das Zahlungsportal über Software verfügen, welche die Zahlkarte erkennt. Ist die Karte mit dem Service Verified by Visa registriert, wird der Besitzer aufgefordert, ein Passwort einzugeben, das nur er kennen kann, da es bei der anfänglichen Kartenregistrierung definiert wurde.

mastercard-securecodeMasterCard hat ein ähnliches System namens MasterCard Secure Code, und die Lösung von American Express heisst SafeKey.

Wenn ein Online-Händler den Karteninhaber mit einer der aufgeführten Methoden authentifiziert, wird die Haftung für Betrug generell vom Händler zum Kartenunternehmen übertragen. Dies bedeutet, dass der Händler nicht länger mit Rückbuchen belastet wird, falls der Karteninhaber später behaupten sollte, jemand anderes hätte seine Karte benutzt.

Kartenprüfnummern

Als Kartenprüfnummer bezeichnet man den dreistelligen Sicherheitscode auf der Rückseite vieler Kreditkarten. Er hilft zu bestätigen, dass der Karteninhaber mit einer echten Karte eine Transaktion tätigt – einer Karte, die mit einem Bankkonto verknüpft ist. Diese Zahl ist nicht Teil des Magnetstreifens.

Visa nennt die Kartenprüfnummer Card Verification Value 2 (CVV2), bei MasterCard heisst sie Card Validation Code (CVC2), und bei Karten von American Express ist die vierstellige Zahl auf der Vorderseite der Karte zu finden und heisst Unique Card Code oder CID.

Address Verification Service (AVS)

Der Dritte Dienst, den Kartenherausgeber zur Betrugsbekämpfung bereitstellen, heisst Address Verification Service (AVS) und ist in den Vereinigten Staaten eine der am häufigsten verwendeten Methoden im Kampf gegen den Online-Kreditkartenbetrug. In Europa ist die Adressverifizierung derzeit auf Grossbritannien beschränkt.

Distanzzahlungen in der Schweiz

Die meisten Anbieter traditioneller Kartenterminals bieten Verträge für Distanzzahlungen an. Aufgrund des Betrugsrisikos sind die Gebühren jedoch oft höher als für Direktzahlungen.

SumUp, die einzige mobile Verkaufslösung mit Kartenleser und App in der Schweiz, akzeptiert keine CNP-Transaktionen, und die manuelle Eingabe von Kartendetails ist ebenfalls nicht möglich, weshalb Händler auch keine Zahlungen per Telefon entgegennehmen können.

Best-Practice-Verfahren für CNP-Zahlungen

Bei der Verarbeitung von Distanzzahlungen werden Unternehmen angehalten, wichtige Informationen des Karteninhabers in Erfahrung zu bringen, wie beispielsweise eine Kontonummer, der Name des Karteninhabers wie er auf der Karte angezeigt wird (falls zutreffend), das Ablaufdatum der Karte wie es auf der Karte angezeigt wird (Monat, Jahr), die Rechnungsadresse, die Lieferadresse oder den CVV2 Code (falls zutreffend).

Neben den bereits erwähnten Informationen sollten Händler für Zahlungen, die über das Internet verarbeitet werden, auch transaktionsspezifische Informationen erhalten, wie Kontaktdaten (Telefonnummer oder E-Mail-Adresse), das Datum und die Uhrzeit, wann die Bestellung aufgegeben wurden, Einzelheiten der Bestellung oder Einzelheiten eines möglichen Gesprächs mit dem Käufer.

Schliesslich hilft es, wenn Händler Kopien von Bestellscheinen aufbewahren und Nachweise über die Zustellung der Ware beim Käufer einfordern.

Aufgrund der Risiken im Zusammenhang mit dem Erfassen, Verarbeiten und Speichern sowie der Entsorgung sensibler Kartendaten entscheiden sich viele Online-Händler, mit einem externen Payment-Gateway-Unternehmen zusammenzuarbeiten, das Kartenzahlungen in ihrem Namen verarbeitet.