e-Commerce

Transcrição

e-Commerce

Schulungsunterlage e-Commerce
Einführung in das Thema e-/m-Payments
Remote e-/m-Payments
im Internet
Online Shop
Internet
Online Käufer
Stand: 22. März 2013
30.04.2013
© PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach
1
Inhalt Remote e-/m-Payments im e-Commerce
►
►
►
►
►
►
►
►
►
►
►
e-Commerce Übersicht
Zahlungsverfahren im Internet
Beteiligte Parteien
Technische Infrastruktur
Sicherheitsanforderungen
Online Betrug
Maßnahmen gegen Online Betrug
e-/m-Payment Geschäftsmodelle
Rechtliche Rahmenbedingungen
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
2
Zur Entwicklung des Internets
 Das Internet ist ein weltweiter Verbund von Computern, die über unterschiedlichste
Kommunikationsverbindungen und Rechnerplattformen auf der Basis des einheitlichen
Kommunikationsprotokolls (TCP/IP) miteinander Daten austauschen können.
–
TCP/IP = Transmission Control Protocol / Internet Protocol
 Zur Historie des Internets – Beispiele
–
1969: Projekt der Defence Advanced Research Projects Agency (DARPA)
Name ARPANET mit dem NCP Protokoll des US-Militärs u. der US-Verwaltung
–
–
1982: Das NCP-Protokoll mündet in die Spezifikation TCP/IP in UNIX BSD-Version
1989: CERN (Genf) Entwicklung eines Hypertext-Projekts als In-house Lösung
HTML Sprache (Hyper Text Markup Language) und des HTTP-Protokolls (Hypertext Transfer Protocol)
–
–
1991: Freigabe des Internets zur öffentlichen Nutzung
1993: www-Browser Netscape, Implementierung des „Single Line Internet Protokoll“ (SLIP)
SLIP wurde später abgelöst durch das Point-to-Point Protokoll (PPP)
–
–
–
–
–
30.04.2013
1993+ Implementierung von Multi Media (JAVA fähige Browser) und von Applets (Applikationen)
2006+ Das Internet wird mobil (Browser für Smart Phones, Tablets, PDAs; QR Codes)
2009: Weltweit sind ca. 350 Millionen PCs gleichzeitig miteinander verbunden.
2012: Weltweit ca. 2,4 Mrd. Internet Nutzer – Datenaufkommen >26,7 Mrd. GB/Monat
2013+ Mehr Menschen nutzen das Internet über mobile Geräte als über den heimischen PC
3
Zum Begriff e-Commerce
 Weltweiter Online Handel von Waren, Dienstleistungen, digitalen Produkten und
Informationen im Internet in den Ausprägungen B2B, B2C, C2C.
–
e-Commerce im mobilen Internet – auch m-Commerce genannt – ist Teil des e-Commerce
 e-Commerce ist ein Distanzgeschäft und daher kein Verkauf am Point of Sale.
–
Verlagerung von Geschäftsprozessen des Handels in das Internet.
 e-Commerce nutzt mehrere Online Verkaufskanäle
–
–
–
–
Internet
Telefon / IVR
Mobile Internet Endgeräte
Öffentliche Kiosk Systeme
(Onlineshops, mobile Shops, mobile Apps, QR Code)
(Call Center, MOTO)
(z. B. Mobiltelefone, Tablets, PDAs)
(z. B. Outdoor Verkauf von Tickets)
 e-Commerce unterliegt der EU Regulierung und der nationalen Gesetzgebung.
 Weltweit gibt es auch Rechtsauffassungen, die EU Recht widersprechen können.
30.04.2013
4
Besonderheiten / Einflüsse
 77% der deutschen Internet User sind Online Käufer (Stand: Ende 2011).
 e-Commerce wächst am stärksten in den Segmenten
–
–
–
–
–
Airlines, Bahn, Veranstalter
Internet Communities, Malls
Reiseveranstalter
Zuwachs ca. 30% pro Jahr
Onlineshops im mobilen Internet
(z. B. Tickets)
(z. B. eBay, Amazon, i-tunes, …)
(z. B. Expedia, Opodo, …)
(geschätzt; stark branchenabhängig)
(Zugang über Smart Phones, Tablets, PDAs).
 Bei grenzüberschreitenden Online-Käufen und internationalen Transaktionen können
bei Streitfällen unterschiedliche Rechtsauffassungen zu Problemen führen.
 Fast 45% der Online Käufer haben die Online Bestellung schon einmal
wegen unklarer Zahlungsmethoden abgebrochen:
–
–
–
30.04.2013
Zu kompliziert
Misstrauen bzw. empfundene Unsicherheit
Dadurch werden Spontankäufe erschwert
5
e-Commerce – Wo kann man was kaufen und bezahlen?
Physical Goods
Products
Digital Services
Codes & Tickets
Content only
Digital Goods
Mobile Internet
30.04.2013
Internet Web
Web Kiosks, POIs
B2B Services
Contactless Tags
e-/m-Payments
e-/m-Payments
e-/m-Payments
e-/m-Payments
Mobile NFC Payments
(cards, prepaid products,
wallets, SMS payments,
online bank transfers)
music, tones, movies,
magazines, etc.
magazines, etc.
magazines, etc.
SW downloads,
services, licences
downloads, etc.
e-/m-Payments
e-/m-Payments
e-/m-Payments
e-/m-Payments
Mobile NFC Payments
Prepaid Recharging,
gifting, events,
tickets, games
Prepaid Recharging,
gifting, events,
tickets, games
Prepaid Recharging,
gifting, events,
tickets, games
Prepaid Recharging,
gifting, events,
tickets, vouchers
Prepaid Recharging,
gifting, events,
tickets, vouchers
e-/m-Payments
e-/m-Payments
e-/m-Payments
e-/m-Payments
Mobile NFC Payments
books, any goods,
initiate delivery
books, any goods,
initiate delivery
books, any goods,
initiate delivery
any kind of products,
ordering in B2B world
books, any goods,
initiate delivery
6
e-Commerce – ohne Bezahlen geht es nicht
Online Geschäftsprozesse und Kriterien
Websites
WERBUNG
Portale
Informationssammlung
ANGEBOT
Angebotsvergleich
Auswahl
NACHFRAGE
Bestellung
Bezahlung
LIEFERUNG
& LEISTUNG
CUSTOMER
CARE
Logistik
bis zum
Konsumenten
TRUST Generation
DEMAND Generation
Sicheres Online Bezahlen ist unverzichtbarer Baustein bei Online Käufen im Internet.
30.04.2013
7
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
8
Bezahlen im Internet
 Grundsätzlich identisch mit dem Geschäftsmodell am „realem“ POS
–
4 Parteienmodell bzw. 3 Parteienmodell
–
Adaptiert für alle offenen bzw. geschlossenen Internet Zahlungsverfahren
 Anforderungen an Zahlungssysteme
–
Sicher für alle Beteiligte
•
–
Einfache Bedienbarkeit
•
–
Zugang, Abwicklung, ohne Voranmeldung, Implementierung
Schnell
•
–
Zahlungssicherheit, Datenschutz, Betrugsabwehr, Nachvollziehbarkeit, ...
Zahlungsprozess, Durchführung
Günstig für Händler und Kunde
 Wichtige Akzeptanzkriterien sind Sicherheit, Datenschutz und Vertrauen
30.04.2013
9
Einordnung Remote e-/m-Payments im Internet (1)

Im Internet stehen vielfältige und unterschiedliche Zahlungsverfahren im Wettbewerb.

Der in Online Shops angebotene e-/m-Payment Mix setzt sich individuell zusammen aus:
–
Karten, Online Überweisungen, Wallets, Prepaid Produkten,
–
verzögerte Zahlungen (z. B. Nachnahme, nach Rechnungseingang, Ratenkauf).

Anbieter von e-/m-Payment Diensten sind Banken und E-Geldinstitute (EMI)

Acquirer von e-/m-Payment Diensten sind Zahlungsinstitute (PI), Banken und E-Geldinstitute.
 Einordnung – Mobiles Bezahlen im Kontext der Payment Industrie
–
Remote e-/m-Payments im Internet und im mobilen Internet
–
auch: Proximity Payments mit NFC-fähigen mobilen Endgeräten an kontaktlosen POS Terminals
–
auch: Tablet PCs und Smart Phones als mini-POS Terminal (MPOS Endgeräte)
30.04.2013
10
Einordnung Remote e-/m-Payments im Internet (2)
Es gibt weit mehr als 100 verschiedene remote e-/m-Payment Brands im Internet.
30.04.2013
11
e-/m-Payment Zahlungsverfahren in D – Beispiele
Nicht-Kartenverfahren
•
•
•
•
•
Vorkasse
Rechnung
Nachnahme
Ratenkauf
Inkasso Systeme
Kartenverfahren
•
–
–
–
(z. B. ELV online)
•
–
Bankeinzug
–
•
Online Überweisung
–
–
–
•
giropay (D)
eps
(A)
iDEAL (NL)
Bankeinzug über
Telefonrechnung
30.04.2013
•
•
MasterCard, VISA, …
Maestro, V PAY, Electron, …
–
–
Kundenkarten
GiftCards
• Wallet Dienste
–
–
–
–
–
PayPal, Paybox
GlobalCollect
Skrill, Webmoney
Clickandbuy
mpass
• andere Verfahren
–
–
e-Purse (z.B. GeldKarte)
–
z. B. PaysafeCard
• Handelskarten
MasterCard Debit, Maestro,
VISA Debit, V PAY, Electron
Gesichert:
3D-Secure, SSL mit KPN
keine girocard Karten
Prepaid Karten
–
–
–
auch gesichert: SSL mit
Kartenprüfnummer (KPN)
Debit Karten
–
Lastschrift
• Prepaid Produkte
Alle Kartenbrands
Gesichert: 3D-Secure
(MasterCard SecureCode,
Verified by VISA, JCB J/Secure)
•
•
Kreditkarten
Verfahren Dritter
sicherer Kartenleser
erforderlich
–
Money Transfer P2P
(Person-2-Person)
Mobile Money Transfer
(MMT)
e-Vouchers
12
Multi-Payments im e-Commerce – Beispiele
Quellen: Webseiten von ACQs und PSPs
 PSP Services und ACQ Services werden zugeschnitten auf
auf lokale + grenzüberschreitende e-/m-Payment Anforderungen
 IT Plattformen führender Payment Service Provider (PSP)
verarbeiten >80 e-/m-Payment Verfahren und verbinden
Onlineshops mit >200 Acquirern der EEA Region (auf Wunsch).
Source: ogone
30.04.2013
13
Bezahlseite im Online Handel – Typisches Beispiel
Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung.
30.04.2013
14
Bezahlseite im Online Handel – Beispiel Lufthansa
Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung.
30.04.2013
15
Online Banküberweisung – Beispiel giropay
Source: giropay
80% Marktabdeckung
giropay Online Banküberweisung im Internet – Ziel: keine Zahlungsinformation über den Händler
30.04.2013
16
Digitale Wallet Services (1) – Beispiel PayPal
[email protected]
e-Wallet ID
34,40
8 Tagesticket Wiener Linien
PayPal ermöglicht es Privatpersonen und Unternehmen, Online-Zahlungen sowie Zahlungen
über mobile Geräte sicher, schnell und einfach auszuführen und zu empfangen. Die Eingabe von
Konto- oder Kreditkartendaten ist dabei nicht notwendig, denn diese Daten sind bereits sicher
bei PayPal hinterlegt. Die globale Zahlungs-Lösung zählt bereits 123 Millionen aktive
Kundenkonten und steht Nutzern in 190 Märkten und 25 Währungen zur Verfügung.
PayPal wurde 1998 gegründet und ist seit 2002 ein Tochterunternehmen von eBay mit Hauptsitz in San Jose, Kalifornien.
Seit 2007 besitzt PayPal in Europa eine Banklizenz und unterliegt damit dem Europäischen Recht.
In Europa; Regulierung durch die luxemburgische Bankaufsicht CSSF.
Source: PayPal
PayPal (E-Geldinstitut mit eigener Banklizenz) nutzt weltweit die Bankeninfrastruktur.
30.04.2013
17
Digitale Wallet Services (2) – Beispiel Skrill
Source: Skrill
Skrill (E-Geldinstitut, vormals Moneybookers) nutzt weltweit die Bankeninfrastruktur.
30.04.2013
18
Digitale Wallets – Wallet Wars im Internet?
Digitale Wallet Dienste drängen vom Onlineshop zum POS – die Kartenorganisationen halten dagegen
30.04.2013
19
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
20
Beteiligte Parteien – oft 3-/4-Parteien Modell + PSPs
 Händler
als Anbieter mit Onlineshop oder Mobile App
 Payment Service Provider (PSP) als spezialisierter Verarbeiter (Processor)
–
z. B. Technische Anbindung von Online Shops bzw. Mobile Apps an mehrere Acquirer
 Acquirer
als Akzeptanzpartner des Handels

Technische Processoren
als Dienstleister der Acquirer und der Issuer

Internationale Gateways
als Routing Netz der Kartenorganisationen

TSM Processoren
als Dienstleister (Setup von Secure Elementen auf mobilen Endgeräten)
 Issuer
als Anbieter von e-/m-Payment Diensten
–
z. B. kartenausgebende Banken
–
z. B. E-Geld Institute
–
z. B. Internet Player
 Konsumenten
30.04.2013
als Käufer mit PC, Notebook, Tablet oder Smart Phone
21
Die Rolle der Payment Service Provider (PSP)
 Charakteristika der Payment Service Provider (PSP)
–
Spezialisierte technische Processing Dienstleister
–
Bündeln unterschiedliche e-/m-Payment Zahlungsverfahren in einer Schnittstelle
–
Technisches Processing von Internetzahlungsdiensten aller Art
–
Technische Anbindung von Online Shops und Mobile Apps an mehrere Acquirer
–
Bereitstellung von Software Modules für Integration von speziellen Internetzahlungsdiensten
–
z. B. Merchant Plug-In, API Interfaces, Elektronische Kassen für Online Shops, mobile App, Malls, etc.
–
Hosting Services (Hosting von Online Shops, Mobile Shops, zusätzliche SaaS Dienste)
–
Akzeptanz von geschlossenen Internetzahlungsdiensten
–
Arbeiten als Vermittler für mehrere Acquirer
–
Bieten Bezahldienste im Internet grenzüberschreitend an (in Europa, auch: weltweit)
 Einige PSP bieten komplette White-Label Virtual PSP Plattform Services (VPSP) an.
 Viele Acquirer bieten auch PSP Services an (ggf. White Label mit PSP Partnern)
 PSPs bieten kein Trusted Service Manager (TSM) Processing an (Stand: E2012).
30.04.2013
22
Internationale PSP Dienstleister – Beispiele (2012)
30.04.2013
23
PSP Dienstleister in DACH – Beispiele (2012)
30.04.2013
24
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
25
Technische Entwicklung von e-/m-Payments
SSL Absicherung für
Kreditkartenzahlungen
Rechnung und
Nachnahme
Mitte 90ziger
Prepaid Karten
und Debitkarten
1997
-
2001
Einführung
SET
Ungesicherte
Kreditkartenzahlung
(analog MOTO,
ab: 2004 SSL + KPN)
CVx2, 3D-Secure
2002
-
2005
„mobile“ Zahlungen
im Internet
(z.B. SMS, paybox)
QR Code
Aktuell
NFC ?, …
Zukunft
„two-factor
authentication“
(CAP, VAP)
?
• Unterschiedliche e-/m-Payment Zahlungsverfahren sind gleichzeitig im Einsatz
• Entscheidungen über Nutzung (enrolment) und Akzeptanz der Verfahren liegt bei
• Kartenherausgebern bzw. e-Geld Instituten
• Karteninhabern
• Acquirern
• Händlern
• Je nach Zahlungsverfahren gibt es unterschiedliche Haftungsregelungen
30.04.2013
26
Zur Technischen Infrastruktur im e-Commerce




Kommunikation
–
Internet Technologie Ebene – z. B. Internetzugang, Router, Web Server, Firewall, Anti-Virus Programm
–
Onlineshop Protokolle, Gateway Protokolle – meist in XML- oder anderer Web-Technologie
–
Onlineshop Interface Ebene – z. B. Merchant Plug-ins, Direktanbindung über API Interface, Mobile Apps
Sicherheit
–
Erfüllung der Anforderungen an Datensicherheit – z. B. PCI Compliance, SSL+KPN, 3D-Secure
–
Payment Gateway – sicheres Routing zu den Acquirer Systemen, ggf. mit eigener HSM Security Box
–
Online Fraud Control Server – Erkennung und Bekämpfung von Online Betrug (bei Issuern und Acquirern)
–
Access Control Server – ermöglicht online 3D-Secure Authentifizierung bei der kartenausgebenden Bank
Merchant Services
–
Merchant Server – für das e-/m-Payment Transaktionsmanagement der einzelnen Online Händler
–
Merchant Information Server – für das Reporting und eigene Abrechnungsdienste des Online Händlers
–
Merchant Fraud Control Service Tool für den Merchant zur Erkennung und Bekämpfung von Online Betrug
Andere Anforderungen
30.04.2013
–
Erfüllung der Anforderungen der Kartenorganisationen und der anderer Zahlungsdienste
–
Erfüllung gesetzlicher Anforderungen – z. B. Payment Service Payment Direktive, Anti-Geldwäsche
27
Technologie bei Payment Service Providern (PSP)
Front-End – Der Internet Payment Gateway verbindet Online Shops und Händler Systeme mit dem PSP
Sicheres Online Processing und Management aller Payment TX mit den Online Shops der einzelnen Händler (z. B. Merchant Plug-in,
Mobile App, web-basierte virtuelle Mail Order/Telefon Order Anwendungen , Direktanbindungen über API oder Batch Interface)
Back-End – Das Processing Gateway routet e-/m-Payment Transaktionen zu den Acquirern
Routing und Switching aller e-/m-Payment TX zu den Acquirern – z. B. Autorisierungsanfrage und –antwort, TX Einreichung
MIS Tool als Merchant Information & Management System – für mehrsprachiges TX Monitoring und TX Management
Der Online Händler ist für das Management und die Kontrolle seiner Online Payment TX selbst verantwortlich (nicht der PSP)
Der PSP stellt dem Online Shop Software Tools gemäß den Wünschen und Marktanforderungen zur Verfügung (z. B. Charge-Back Tool)
Online Händler
Acquirer, z. B. In Europa
Front-End
Back-End
TCP/IP
Merchant
Fraud
Acquirers
IP, GPRS,
UMTS, GSM
MIS
Acquirer
Fraud
Sichere Skalierbare IT Plattform
Online Merchant Domains
30.04.2013
E-/M-Payment Service Provider (PSP)
Acquirer Domains
28
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
29
e-Commerce Sicherheit – Grundstruktur
Online Shops / Merchants
Mall / Community
Zertifizierungsinstanz
Payment Service Provider,
Acquirer, Finanzdienstleister
Internet
128 Bit+
SSL Kanal
128 Bit+
Online Käufer

Anwendungsunabhängige Transportkanal-Verschlüsselung
–
–

Sicherer Zahlungsverkehr – getrennt vom Shop des Merchants
–

Geheimhaltung und Integrität der Daten
Nutzung der de-facto Standards für sichere Kommunikation im Internet
Teilnehmer Authentifizierung unabhängig vom Online Shop des Händlers
PCI DSS Standard – mehr Datenschutz für Karteninhaberdaten und Kontodaten
30.04.2013
30
Sicherheitstechnologien im e-Commerce
Aktuelle Sicherheitsanforderungen an Zahlungsdienste im Internet
Ziel: Betrugsversuche verhindern bzw. zumindest nachhaltig erschweren

Aktuelle Sicherheitstechniken im Internet (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner)

Kartenprüfnummern (KPN) – z. B. CVV2, CVC2, CID, CID2

Verschlüsselung und Zertifizierung nach PCI DSS

3D-Secure (MasterCard SecureCode, Verified -by-VISA, AmExp SafeKey, J/Secure)

einmal gültige TAN bei Online Überweisungen – papierbasiert, mittels TAN-Generator bzw. mTAN

PAN Truncation – Verkürzte Darstellung von Kartendaten auf Transaktionsbelegen
(nur letzte vier Ziffern der Kartennummer, z.B. 42XX XXXX XXXX 1234)

Option: Audit zum Gütesiegel „Zertifizierter Onlineshop“ – z. B. EHI, TÜV, ISO Zertifikat
30.04.2013
31
Das 3D-Secure Verfahren
 Entwickelt von VISA und MasterCard
– Bekannt als
• MasterCard SecureCode
• VbV (Verified by VISA)
–
–
Automatische Registrierung: Frage nach der Mobilfunknummer des Karteninhabers
Issuer können eine beliebige Methode zur Authentifizierung des Karteninhabers anwenden
•
z. B. Passwort, einmalige TAN per SMS, Fingerabdruck, …)
–
Absicherung z. B. mittels einmalig gültigen 3D-Secure Codes zugesandt auf das Mobiltelefon
–
Wegen 3D-Secure Betrug: Viele Issuer haben statische 3D-Secure Passworte abgeschaltet.
 Adaptiert von anderen Kartenorganisationen
–
z. B. SafeKey von American Express, J/Secure von JCB
 Mit „Liability Shift“ (Haftungsumkehr) vom Händler zum Kartenausgeber
wird die Einführung von 3D-Secure Verfahren forciert.
30.04.2013
32
3D-Secure Sicherheit – Übersicht
Haftungsumkehr (Liability Shift)
Käufer
Händler
MPI
VISA
MC
Kartennetzwerk
Acquirer
Directory
Server
….
(1 Directory Server
je Kartenorganisation)
KartenIssuer
Access
Control
Server
(Einmaliger
3D-Code)
MPI in Händler‘s
Online Shop
30.04.2013
33
Ablauf 3D-Secure Zahlung – Beispiel VISA
Issuer Domain
Acquirer Domain
Interoperability Domain
Cardholder
Merchant
1
3
5
Plug-in
5
3
4
2
6
Access
Control
2
3D-Secure Authentication Adapter
3D-Secure Payment Adapter
5
Issuer
VISA
Directory
Authentication
History
VisaNet
Internet Payment System
6
Acquirer
Source: VISA international
30.04.2013
34
e-Commerce Sicherheit – Der PCI DSS Standard
• Der PCI Security Standards Council ist ein offenes globales Forum für die ständige Pflege,
Weiterentwicklung, Dokumentation und Implementierung von Sicherheitsstandards für den
Datenschutz von Karteninhaberdaten und Kontodaten im elektronischen Zahlungsverkehr.
• Die Organisation wurde von American Express, Discover Financial Services, JCB, MasterCard
Worldwide und VISA International gegründet (www.pcisecuritystandards.org).
• Mission des PCI Security Standards Councils ist die nachhaltige Verbesserung der Datensicherheit im elektronischen Zahlungsverkehr durch Anwendung von PCI Security Standards.
• PCI Data Security Standard (PCI DSS)
PCI DSS ist ein umfassender Sicherheitsstandard, der Mindestanforderungen an Datensicherheit,
das Management der Sicherheitsregeln und Sicherheitsprozesse, an Netzwerkarchitekturen, an das
Software Design und an andere sicherheitsrelevante Maßnahmen stellt, z. B. (im Originalton)
– Build and Maintain a Secure Network;
– Protect Cardholder Data;
– Maintain a Vulnerability Management Program;
– Implement Strong Access Control Measures;
– Regularly Monitor and Test Networks;
– Maintain an Information Security Policy.
• Durch Anwendung der PCI Standards sollten alle Merchants, Payment Service Provider, Acquirer
und Issuer zu höherer Datensicherheit im e-Commerce beitragen.
30.04.2013
35
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
36
Online Betrugsarten im Überblick
Online Betrug ist als Verbrechen strafbar  Verurteilungen bis hin zu Haftstrafen.
Online Betrug basiert auf der illegalen Beschaffung von Kartendaten/Kundendaten:
 Kartenfälschung (Counterfeit Fraud)
 Card Not Present Fraud
 Diebstahl von Karten (Lost and Stolen), Mail Non Receipt Fraud
 Identitätsdiebstahl (Identity Fraud)
–
–
–
Cold Calls, Diebstahl von Ausweisen, Elektronischer Identitätsbetrug (Application Fraud)
Diebstahl von Zahlungsbelegen aus Müllcontainern (z. B. in Tankstellen)
Betrug bei Warenrückgabe (Return Fraud, Refund Fraud)
 Manipulierte Geldautomaten (z. B. Beschaffung von Kartendaten für Online Betrug)
 Computerbetrug
–
–
–
–
–
30.04.2013
Phishing; Pharming
Hacking; 3D-Secure Fraud
Manipulierte POS Terminals, Manipulierte Webseiten
Dateneinbruch (Data Breach)
Manipulierte QR Codes (Atagging)
37
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
38
Maßnahmen gegen Online Betrug (1)
Präventionsmaßnahmen







Einsatz von Tools zur Erkennung und Reduzierung von Missbrauch
beim Entstehen von Online e-/m-Payment TXs
Monitoring der IP-Adresse und von Gerätekennungen (MAC-ID, „Device Fingerprint“)
Zurückweisen von eindeutig betrügerischen TX, ggf. manuelle Prüfung durch den Risk Manager
Analyse von Schadensfällen (offline)  daraus dann
Ableitung von neuen Regeln zur frühzeitigen Entdeckung von Tätervorgehensweisen
Implementierung dieser Online-Überwachungsregeln in den Front-Office Systemen mit Alarmierung
Manuelle Nachbearbeitung von Alarmen und verdächtigen TXs (Zurückweisen oder OK?)


Selektiver Anschluss von neuen Vertragspartnern bzw. von (anonymen) Online Käufern
Definition von „unerwünschten Hot-Spots“ oder auch sogenannten „Ausschlussbranchen“

Zusammenarbeit auf nationaler und internationaler Ebene mit Kartenorganisationen

Zusammenarbeit mit Behörden, die Sicherheitsaufgaben nachgehen (z. B. Bundeskriminalamt)
30.04.2013
39
Einsatz von Sicherheitstechnologien – gemäß aktuellem Sicherheitsniveau
 Aktuelle IT Sicherheitstechniken (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner)
 Verschlüsselung der Daten (z. B. PCI DSS Standard)
 Verschlüsselung nach aktuellen Data Encryption Standards (z. B. 3DES)
 PAN Truncation – verkürzte Darstellung der Kartennummer (z. B. nur 4-letzte Ziffern auf Belegen)
 Kartenprüfnummern bei Online Kartenzahlungen (z. B. CVC2, CVV2, CID, CID2)
 3D-Secure – Verified-by-VISA bzw. MasterCard SecureCode (SPA-/UCAF)
 EMV Chip Einführung – von SDA zum DDA/CDA Chip  Abschalten des Magnetstreifen
Repressionsmaßnahmen
 Konsequente Erstattung und Verfolgung von Strafanzeigen
 Zusammenarbeit mit Behörden und Organisationen mit Sicherheitsaufgaben
–
Im Inland und Ausland
 Beitreibung von offenen Salden durch eigene Kräfte oder Inkassodienste
 Kündigung von negativ auffälligen Vertragsunternehmen und Karteninhabern
30.04.2013
40
Einsatz von eigenen Sicherheitssystemen




Bestellen eines internen unabhängigen Risk Managers
Implementierung von immer höheren Sicherheitsstandards
Pflege einer eigenen Chargeback Datenbank und eigener Sperrlisten sowie Merchant Limits
Aufbau einer eigenen Fraud Statistik Datenbank zur Erkennung von Betrugsmustern



Nutzung von Online Tools zur Betrugserkennung (Fraud Detection)
Nutzung von regelbasierten Online Tools zur Betrugsbekämpfung (Fraud Prevention)
Ständige Erweiterung der Online Überwachungsregeln in den Autorisierungssystemen

Mit Umsetzung der PCI Standards abgelöst
–
–
Account Information Security (AIS) von VISA
Site Data Protection (SDP) von MasterCard
Sicherheitssysteme werden z. B. von Issuern, Acquirern und Payment Service Providern eingesetzt.
30.04.2013
41
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
42
e-/m-Payment Geschäftsmodelle – Die Grundtypen
 Die bekannten Geschäftsmodelle des bargeldlosen Zahlungsverkehrs wurden für die
vielfältigen e-/m-Payment Zahlungssysteme im Internet erweitert:
–
–
–
–
–
Issuer Modell
Acquirer Modell
Payment Service Provider (PSP)
Processor Modell
TSM Processor Modell
Remote e-/m-Zahlungsdienste für Konsumenten
Remote e-/m-Zahlungsdienste Akzeptanz
u. a. als spezialisierter PSP Processor
ISS/ACQ Processing von e-/m-Payment Diensten
Setup von Secure Elements auf Mobiltelefonen
 Das Treuhandmodell (Escrow Trust Lösung, z. B. iclear)
–
–
Treuhänder stellt sicher, dass der Käufer die Ware erhält und der Händler das Geld.
Alternative für den Online-Kauf von höherwertigen Waren.
 Der Online-Händler
 Der Online Einkäufer
(„Erlöse .vs. Einkauf + eigene Kosten + Akzeptanzkosten“)
(„Eigenerlöse aus Onlineauktionen oder P2P/M2M-Verkäufen“)
Die Geschäftsmodelle des Kartengeschäfts wurden für e-/m-Payment Dienste adaptiert.
30.04.2013
43
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
44
 e-Commerce und remote e-/m-Payments unterliegen der EU Regulierung
–
–
–
–
–
Richtlinie 2007/64/EG
Zahlungsdienste-Richtlinie (PSD)
E-Geld Richtlinie (EMD)
Anti-Geldwäsche Richtlinie (AML)
Datenschutz Richtlinie
e-Commerce Richtlinie
–
–
–
Verordnung 2009/924/EG
für grenzüberschreitenden Zahlungsverkehr
Customer Rights Direktive (CRD), u. a.: Surcharging
SEPA End-Date Regulierung
 e-Commerce und e-/m-Payments unterliegen auch nationaler Gesetzgebung
–
–
Zahlungsdiensteumsetzungsgesetz (ZaDiUG vom 25.06.2009, BGBL 2009 Teil I Nr. 35)
Zivilrecht bzgl. Zahlungsverkehr in §§ 675c ff. BGB
•
–
–
–
30.04.2013
z. B. das Fernabsatzgesetz FernAbsG (D) ist heute Teil des BGB
Einführungsgesetz zum BGB (EG BGB) in Artikel 248 §§ 1 ff. (Informationspflichten)
Zahlungsdiensteaufsichtsgesetz (ZAG) – Aufsichtsgesetz für Zahlungsinstitute
Geldwäschegesetz (GWG)
45
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
46
e-Commerce – Online Käufer in % der Internet Nutzer
Source: HDE 2008
63,3% der Internet Nutzer sind gleichzeitig Online-Käufer (Deutschland).
30.04.2013
47
e-Commerce – Anforderungen der Online Käufer
Fast 45% haben bereits aufgrund undurchsichtiger
Zahlungsmethoden die Bestellung abgebrochen.
56% der Online Käuferhaben bereits negative
Erfahrungen gemacht.
Sicherheit, Datenschutz und Vertrauen sind den Online Käufern besonders wichtig.
30.04.2013
48
e-Commerce – Unverändert starkes Online Wachstum
Source: Bundesverband des deutschen Versandhandels (bvh)
30.04.2013
49
e-Commerce – Umsätze nach Warengruppen
30.04.2013
50
e-Commerce – Umsatz mit Digitale Gütern
*2012
30.04.2013
51
Online Umsätze nach e-/m-Payments in D (in%)
Jahr 2011
Source: ECC Händlerumfrage IZH6, Februar 2012
Deutsche Online Käufer vertrauen auch online auf bewährte Zahlungsverfahren und PayPal.
30.04.2013
52
e-/m-Payments – Strategien der Händler
Source: eCommerce-Leitfaden 2012
Der Online Handel orientiert sich bzgl. Online Zahlungsverfahren an der Nachfrage seiner Online Käufer.
30.04.2013
53
Anforderungen des Handels an e-/m-Payments
Die Priorität der Anforderungen des Online Handels an Online Zahlungen sind keine Überraschung.
30.04.2013
54
►
►
►
►
►
►
►
►
►
►
►
Beteiligte Parteien
Online Betrug
Marktinformationen
Ausblick
30.04.2013
2-7
8-19
20-24
25-28
29-35
36-37
38-41
42-43
44-45
46-54
55-59
55
Ausblick e-Commerce
 Verlagerung von Geschäftsprozessen ins Internet
 Steigende e-Commerce Transaktionszahlen, insbesondere im mobilen Internet
 Stark Wachsend  Mobiler Einkauf über Tablets und mobile Smart Phones
 Online Verkäufe im E-Commerce erreichen in einzelnen Ländern bereits bis zu 15%
des gesamten stationären Verkaufsvolumens vom Point of Sale.
 Das Wachstum der Betrugsfälle (Online Fraud) im e-Commerce bleibt anhaltend hoch
–
–
–
Wachsende Schadenssummen reduzieren die Gewinne der Unternehmen
Hohe Internationalisierung der Bandenkriminalität (Cross-Border, Virtuelle Kartenfälschung)
Organisierte Betrüger greifen gezielt Schwachstellen in der Processing Infrastruktur an
 Ständige Maßnahmen gegen Online Betrug zur Erhöhung des Sicherheitsniveaus
–
–
–
–
–
Kartenprüfnummern, 3D-Secure Passwort, auch regional begrenzte Kartenprofile
Monitoring von IP Adressen und Gerätekennungen (z. B. MAC-ID)
Höhere Datensicherheit dank PCI DSS Implementierung
Einsatz regelbasierter Online Fraud Prevention Systeme
Mehr Sicherheit durch den Einsatz von „two-factor“ Authentifizierungsmechanismen
– Einmalig gültige 3D-Secure Codes, SMS Bestätigung und einmalige mobile TANs
30.04.2013
56
Trends im e-Commerce (1)
Seit 2010
 Trend: Optimaler e-/m-Payment Mix für maximalen Umsatz
–
Nur mit dem passenden e-/m-Payment Mix kann der Händler
in seinen Online Shops den optimalen Umsatz erzielen.
 Trend: QR Code Shopping, Mobile App Shopping
–
–
Einleitung des Online Einkaufs durch Scannen von QR Codes
Zugang zum Onlineshop über eine Mobile App auf dem mobilen Endgerät
 Trend: Multi–Channel Shopping
–
Online Käufer kaufen zunehmend auch per Tablet und per Mobiltelefon online ein.
 Trend: Der digitale e-/m-Payment Mix wächst
–
Kartenzahlungen, Wallets, Prepaid Produkte und Online Banküberweisungen
wachsen zu Lasten von Lastschrift, Rechnung, MOTO und Nachnahme
 Trend: Höheres Sicherheitsniveau durch mehr End-to-End Security
 Trend: Betrug mit Kartenfälschungen geht dank EMV Implementierung zurück.
30.04.2013
57
Trends im e-Commerce (2)
Mittelfristig
 Trend: Wallet Wars – Wer gewinnt den mobilen Kunden?
–
–
–
–
Immer mehr digitale Wallet Anbieter starten mit multi-funktionalen Wallet Diensten
1. Wallets ermöglichen e-/m-Payments im Internet und per QR Code an der Kasse
2. NFC-fähige digitale Wallets werden in einem mobilen Secure Element gespeichert
3. der Konsument zahlt per Wallet im Internet und an kontaktlosen Readern der POS Welt
 Trend: EMV Payments über das Internet
–
Digitale Wallets, gespeichert auf EMV-fähigen SIM-Karten im Mobiltelefon,
ermöglichen sichere „EMV Card-Present“ Zahlungen im Internet
 Trend: Omni-Channel Marketing im e-Commerce
–
Digitales 1:1 Kundenmarketing integriert über alle Verkaufskanäle der POS/e-/m-Welt
Mittelfristig
 Trend: Mobiles NFC Shopping
–
30.04.2013
Kontaktlose Smart Tags, und NFC-fähige Smart Poster ermöglichen mobile NFC Dialoge
zwischen Kunden und Online Shops oder Check-in/Check-out Prozessen (z. B. Nahverkehr)
überall dort, wo individuelle Kommunikation zum Einkauf gewünscht/erforderlich ist.
58

e-Commerce

Transcrição

Documentos relacionados

- E-Commerce Beratung

Die Zukunft des E-Commerce

TGD Beitrittserklärung - TG Dietzenbach 1886 eV

E-Commerce 08

Frankfurter Rundschau

Kfz-Servicespezialist ATU setzt auf das Website

TRENdS IM E-CoMMERCE CRoSS-BoRdER

- Heftarchiv - Internet World Business

Bahnhofstest 2005 Friedrichsdorf

Umweltrelevante Produktinformationen im E

- Heftarchiv - Internet World Business