e-Commerce
Transcrição
e-Commerce
Schulungsunterlage e-Commerce Einführung in das Thema e-/m-Payments Remote e-/m-Payments im Internet Online Shop Internet Online Käufer Stand: 22. März 2013 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 1 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 2 Schulungsunterlage e-Commerce Zur Entwicklung des Internets Das Internet ist ein weltweiter Verbund von Computern, die über unterschiedlichste Kommunikationsverbindungen und Rechnerplattformen auf der Basis des einheitlichen Kommunikationsprotokolls (TCP/IP) miteinander Daten austauschen können. – TCP/IP = Transmission Control Protocol / Internet Protocol Zur Historie des Internets – Beispiele – 1969: Projekt der Defence Advanced Research Projects Agency (DARPA) Name ARPANET mit dem NCP Protokoll des US-Militärs u. der US-Verwaltung – – 1982: Das NCP-Protokoll mündet in die Spezifikation TCP/IP in UNIX BSD-Version 1989: CERN (Genf) Entwicklung eines Hypertext-Projekts als In-house Lösung HTML Sprache (Hyper Text Markup Language) und des HTTP-Protokolls (Hypertext Transfer Protocol) – – 1991: Freigabe des Internets zur öffentlichen Nutzung 1993: www-Browser Netscape, Implementierung des „Single Line Internet Protokoll“ (SLIP) SLIP wurde später abgelöst durch das Point-to-Point Protokoll (PPP) – – – – – 30.04.2013 1993+ Implementierung von Multi Media (JAVA fähige Browser) und von Applets (Applikationen) 2006+ Das Internet wird mobil (Browser für Smart Phones, Tablets, PDAs; QR Codes) 2009: Weltweit sind ca. 350 Millionen PCs gleichzeitig miteinander verbunden. 2012: Weltweit ca. 2,4 Mrd. Internet Nutzer – Datenaufkommen >26,7 Mrd. GB/Monat 2013+ Mehr Menschen nutzen das Internet über mobile Geräte als über den heimischen PC © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 3 Schulungsunterlage e-Commerce Zum Begriff e-Commerce Weltweiter Online Handel von Waren, Dienstleistungen, digitalen Produkten und Informationen im Internet in den Ausprägungen B2B, B2C, C2C. – e-Commerce im mobilen Internet – auch m-Commerce genannt – ist Teil des e-Commerce e-Commerce ist ein Distanzgeschäft und daher kein Verkauf am Point of Sale. – Verlagerung von Geschäftsprozessen des Handels in das Internet. e-Commerce nutzt mehrere Online Verkaufskanäle – – – – Internet Telefon / IVR Mobile Internet Endgeräte Öffentliche Kiosk Systeme (Onlineshops, mobile Shops, mobile Apps, QR Code) (Call Center, MOTO) (z. B. Mobiltelefone, Tablets, PDAs) (z. B. Outdoor Verkauf von Tickets) e-Commerce unterliegt der EU Regulierung und der nationalen Gesetzgebung. Weltweit gibt es auch Rechtsauffassungen, die EU Recht widersprechen können. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 4 Schulungsunterlage e-Commerce Besonderheiten / Einflüsse 77% der deutschen Internet User sind Online Käufer (Stand: Ende 2011). e-Commerce wächst am stärksten in den Segmenten – – – – – Airlines, Bahn, Veranstalter Internet Communities, Malls Reiseveranstalter Zuwachs ca. 30% pro Jahr Onlineshops im mobilen Internet (z. B. Tickets) (z. B. eBay, Amazon, i-tunes, …) (z. B. Expedia, Opodo, …) (geschätzt; stark branchenabhängig) (Zugang über Smart Phones, Tablets, PDAs). Bei grenzüberschreitenden Online-Käufen und internationalen Transaktionen können bei Streitfällen unterschiedliche Rechtsauffassungen zu Problemen führen. Fast 45% der Online Käufer haben die Online Bestellung schon einmal wegen unklarer Zahlungsmethoden abgebrochen: – – – 30.04.2013 Zu kompliziert Misstrauen bzw. empfundene Unsicherheit Dadurch werden Spontankäufe erschwert © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 5 Schulungsunterlage e-Commerce e-Commerce – Wo kann man was kaufen und bezahlen? Physical Goods Products Digital Services Codes & Tickets Content only Digital Goods Mobile Internet 30.04.2013 Internet Web Web Kiosks, POIs B2B Services Contactless Tags e-/m-Payments e-/m-Payments e-/m-Payments e-/m-Payments Mobile NFC Payments (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) music, tones, movies, magazines, etc. music, tones, movies, magazines, etc. music, tones, movies, magazines, etc. SW downloads, services, licences music, tones, movies, downloads, etc. e-/m-Payments e-/m-Payments e-/m-Payments e-/m-Payments Mobile NFC Payments (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) Prepaid Recharging, gifting, events, tickets, games Prepaid Recharging, gifting, events, tickets, games Prepaid Recharging, gifting, events, tickets, games Prepaid Recharging, gifting, events, tickets, vouchers Prepaid Recharging, gifting, events, tickets, vouchers e-/m-Payments e-/m-Payments e-/m-Payments e-/m-Payments Mobile NFC Payments (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) (cards, prepaid products, wallets, SMS payments, online bank transfers) books, any goods, initiate delivery books, any goods, initiate delivery books, any goods, initiate delivery any kind of products, ordering in B2B world books, any goods, initiate delivery © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 6 Schulungsunterlage e-Commerce e-Commerce – ohne Bezahlen geht es nicht Online Geschäftsprozesse und Kriterien Websites WERBUNG Portale Informationssammlung ANGEBOT Angebotsvergleich Auswahl NACHFRAGE Bestellung Bezahlung LIEFERUNG & LEISTUNG CUSTOMER CARE Logistik bis zum Konsumenten TRUST Generation DEMAND Generation Sicheres Online Bezahlen ist unverzichtbarer Baustein bei Online Käufen im Internet. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 7 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 8 Schulungsunterlage e-Commerce Bezahlen im Internet Grundsätzlich identisch mit dem Geschäftsmodell am „realem“ POS – 4 Parteienmodell bzw. 3 Parteienmodell – Adaptiert für alle offenen bzw. geschlossenen Internet Zahlungsverfahren Anforderungen an Zahlungssysteme – Sicher für alle Beteiligte • – Einfache Bedienbarkeit • – Zugang, Abwicklung, ohne Voranmeldung, Implementierung Schnell • – Zahlungssicherheit, Datenschutz, Betrugsabwehr, Nachvollziehbarkeit, ... Zahlungsprozess, Durchführung Günstig für Händler und Kunde Wichtige Akzeptanzkriterien sind Sicherheit, Datenschutz und Vertrauen 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 9 Schulungsunterlage e-Commerce Einordnung Remote e-/m-Payments im Internet (1) Im Internet stehen vielfältige und unterschiedliche Zahlungsverfahren im Wettbewerb. Der in Online Shops angebotene e-/m-Payment Mix setzt sich individuell zusammen aus: – Karten, Online Überweisungen, Wallets, Prepaid Produkten, – verzögerte Zahlungen (z. B. Nachnahme, nach Rechnungseingang, Ratenkauf). Anbieter von e-/m-Payment Diensten sind Banken und E-Geldinstitute (EMI) Acquirer von e-/m-Payment Diensten sind Zahlungsinstitute (PI), Banken und E-Geldinstitute. Einordnung – Mobiles Bezahlen im Kontext der Payment Industrie – Remote e-/m-Payments im Internet und im mobilen Internet – auch: Proximity Payments mit NFC-fähigen mobilen Endgeräten an kontaktlosen POS Terminals – auch: Tablet PCs und Smart Phones als mini-POS Terminal (MPOS Endgeräte) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 10 Schulungsunterlage e-Commerce Einordnung Remote e-/m-Payments im Internet (2) Es gibt weit mehr als 100 verschiedene remote e-/m-Payment Brands im Internet. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 11 Schulungsunterlage e-Commerce e-/m-Payment Zahlungsverfahren in D – Beispiele Nicht-Kartenverfahren • • • • • Vorkasse Rechnung Nachnahme Ratenkauf Inkasso Systeme Kartenverfahren • – – – (z. B. ELV online) • – Bankeinzug – • Online Überweisung – – – • giropay (D) eps (A) iDEAL (NL) Bankeinzug über Telefonrechnung 30.04.2013 • • MasterCard, VISA, … Maestro, V PAY, Electron, … – – Kundenkarten GiftCards • Wallet Dienste – – – – – PayPal, Paybox GlobalCollect Skrill, Webmoney Clickandbuy mpass • andere Verfahren – – e-Purse (z.B. GeldKarte) – z. B. PaysafeCard • Handelskarten MasterCard Debit, Maestro, VISA Debit, V PAY, Electron Gesichert: 3D-Secure, SSL mit KPN keine girocard Karten Prepaid Karten – – – auch gesichert: SSL mit Kartenprüfnummer (KPN) Debit Karten – Lastschrift • Prepaid Produkte Alle Kartenbrands Gesichert: 3D-Secure (MasterCard SecureCode, Verified by VISA, JCB J/Secure) • • Kreditkarten Verfahren Dritter sicherer Kartenleser erforderlich © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach – Money Transfer P2P (Person-2-Person) Mobile Money Transfer (MMT) e-Vouchers 12 Schulungsunterlage e-Commerce Multi-Payments im e-Commerce – Beispiele Quellen: Webseiten von ACQs und PSPs PSP Services und ACQ Services werden zugeschnitten auf auf lokale + grenzüberschreitende e-/m-Payment Anforderungen IT Plattformen führender Payment Service Provider (PSP) verarbeiten >80 e-/m-Payment Verfahren und verbinden Onlineshops mit >200 Acquirern der EEA Region (auf Wunsch). Source: ogone 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 13 Schulungsunterlage e-Commerce Bezahlseite im Online Handel – Typisches Beispiel Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 14 Schulungsunterlage e-Commerce Bezahlseite im Online Handel – Beispiel Lufthansa Als Sicherheitsmerkmal wird die Kartenprüfnummer (KPN) abgefragt. Die Seite nutzt SSL-Verschlüsselung. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 15 Schulungsunterlage e-Commerce Online Banküberweisung – Beispiel giropay Source: giropay 80% Marktabdeckung giropay Online Banküberweisung im Internet – Ziel: keine Zahlungsinformation über den Händler 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 16 Schulungsunterlage e-Commerce Digitale Wallet Services (1) – Beispiel PayPal [email protected] e-Wallet ID 34,40 8 Tagesticket Wiener Linien PayPal ermöglicht es Privatpersonen und Unternehmen, Online-Zahlungen sowie Zahlungen über mobile Geräte sicher, schnell und einfach auszuführen und zu empfangen. Die Eingabe von Konto- oder Kreditkartendaten ist dabei nicht notwendig, denn diese Daten sind bereits sicher bei PayPal hinterlegt. Die globale Zahlungs-Lösung zählt bereits 123 Millionen aktive Kundenkonten und steht Nutzern in 190 Märkten und 25 Währungen zur Verfügung. PayPal wurde 1998 gegründet und ist seit 2002 ein Tochterunternehmen von eBay mit Hauptsitz in San Jose, Kalifornien. Seit 2007 besitzt PayPal in Europa eine Banklizenz und unterliegt damit dem Europäischen Recht. In Europa; Regulierung durch die luxemburgische Bankaufsicht CSSF. Source: PayPal PayPal (E-Geldinstitut mit eigener Banklizenz) nutzt weltweit die Bankeninfrastruktur. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 17 Schulungsunterlage e-Commerce Digitale Wallet Services (2) – Beispiel Skrill Source: Skrill Skrill (E-Geldinstitut, vormals Moneybookers) nutzt weltweit die Bankeninfrastruktur. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 18 Schulungsunterlage e-Commerce Digitale Wallets – Wallet Wars im Internet? Digitale Wallet Dienste drängen vom Onlineshop zum POS – die Kartenorganisationen halten dagegen 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 19 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 20 Schulungsunterlage e-Commerce Beteiligte Parteien – oft 3-/4-Parteien Modell + PSPs Händler als Anbieter mit Onlineshop oder Mobile App Payment Service Provider (PSP) als spezialisierter Verarbeiter (Processor) – z. B. Technische Anbindung von Online Shops bzw. Mobile Apps an mehrere Acquirer Acquirer als Akzeptanzpartner des Handels Technische Processoren als Dienstleister der Acquirer und der Issuer Internationale Gateways als Routing Netz der Kartenorganisationen TSM Processoren als Dienstleister (Setup von Secure Elementen auf mobilen Endgeräten) Issuer als Anbieter von e-/m-Payment Diensten – z. B. kartenausgebende Banken – z. B. E-Geld Institute – z. B. Internet Player Konsumenten 30.04.2013 als Käufer mit PC, Notebook, Tablet oder Smart Phone © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 21 Schulungsunterlage e-Commerce Die Rolle der Payment Service Provider (PSP) Charakteristika der Payment Service Provider (PSP) – Spezialisierte technische Processing Dienstleister – Bündeln unterschiedliche e-/m-Payment Zahlungsverfahren in einer Schnittstelle – Technisches Processing von Internetzahlungsdiensten aller Art – Technische Anbindung von Online Shops und Mobile Apps an mehrere Acquirer – Bereitstellung von Software Modules für Integration von speziellen Internetzahlungsdiensten – z. B. Merchant Plug-In, API Interfaces, Elektronische Kassen für Online Shops, mobile App, Malls, etc. – Hosting Services (Hosting von Online Shops, Mobile Shops, zusätzliche SaaS Dienste) – Akzeptanz von geschlossenen Internetzahlungsdiensten – Arbeiten als Vermittler für mehrere Acquirer – Bieten Bezahldienste im Internet grenzüberschreitend an (in Europa, auch: weltweit) Einige PSP bieten komplette White-Label Virtual PSP Plattform Services (VPSP) an. Viele Acquirer bieten auch PSP Services an (ggf. White Label mit PSP Partnern) PSPs bieten kein Trusted Service Manager (TSM) Processing an (Stand: E2012). 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 22 Schulungsunterlage e-Commerce Internationale PSP Dienstleister – Beispiele (2012) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 23 Schulungsunterlage e-Commerce PSP Dienstleister in DACH – Beispiele (2012) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 24 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 25 Schulungsunterlage e-Commerce Technische Entwicklung von e-/m-Payments SSL Absicherung für Kreditkartenzahlungen Rechnung und Nachnahme Mitte 90ziger Prepaid Karten und Debitkarten 1997 - 2001 Einführung SET Ungesicherte Kreditkartenzahlung (analog MOTO, ab: 2004 SSL + KPN) CVx2, 3D-Secure 2002 - 2005 „mobile“ Zahlungen im Internet (z.B. SMS, paybox) QR Code Aktuell NFC ?, … Zukunft „two-factor authentication“ (CAP, VAP) ? • Unterschiedliche e-/m-Payment Zahlungsverfahren sind gleichzeitig im Einsatz • Entscheidungen über Nutzung (enrolment) und Akzeptanz der Verfahren liegt bei • Kartenherausgebern bzw. e-Geld Instituten • Karteninhabern • Acquirern • Händlern • Je nach Zahlungsverfahren gibt es unterschiedliche Haftungsregelungen 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 26 Schulungsunterlage e-Commerce Zur Technischen Infrastruktur im e-Commerce Kommunikation – Internet Technologie Ebene – z. B. Internetzugang, Router, Web Server, Firewall, Anti-Virus Programm – Onlineshop Protokolle, Gateway Protokolle – meist in XML- oder anderer Web-Technologie – Onlineshop Interface Ebene – z. B. Merchant Plug-ins, Direktanbindung über API Interface, Mobile Apps Sicherheit – Erfüllung der Anforderungen an Datensicherheit – z. B. PCI Compliance, SSL+KPN, 3D-Secure – Payment Gateway – sicheres Routing zu den Acquirer Systemen, ggf. mit eigener HSM Security Box – Online Fraud Control Server – Erkennung und Bekämpfung von Online Betrug (bei Issuern und Acquirern) – Access Control Server – ermöglicht online 3D-Secure Authentifizierung bei der kartenausgebenden Bank Merchant Services – Merchant Server – für das e-/m-Payment Transaktionsmanagement der einzelnen Online Händler – Merchant Information Server – für das Reporting und eigene Abrechnungsdienste des Online Händlers – Merchant Fraud Control Service Tool für den Merchant zur Erkennung und Bekämpfung von Online Betrug Andere Anforderungen 30.04.2013 – Erfüllung der Anforderungen der Kartenorganisationen und der anderer Zahlungsdienste – Erfüllung gesetzlicher Anforderungen – z. B. Payment Service Payment Direktive, Anti-Geldwäsche © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 27 Schulungsunterlage e-Commerce Technologie bei Payment Service Providern (PSP) Front-End – Der Internet Payment Gateway verbindet Online Shops und Händler Systeme mit dem PSP Sicheres Online Processing und Management aller Payment TX mit den Online Shops der einzelnen Händler (z. B. Merchant Plug-in, Mobile App, web-basierte virtuelle Mail Order/Telefon Order Anwendungen , Direktanbindungen über API oder Batch Interface) Back-End – Das Processing Gateway routet e-/m-Payment Transaktionen zu den Acquirern Routing und Switching aller e-/m-Payment TX zu den Acquirern – z. B. Autorisierungsanfrage und –antwort, TX Einreichung MIS Tool als Merchant Information & Management System – für mehrsprachiges TX Monitoring und TX Management Der Online Händler ist für das Management und die Kontrolle seiner Online Payment TX selbst verantwortlich (nicht der PSP) Der PSP stellt dem Online Shop Software Tools gemäß den Wünschen und Marktanforderungen zur Verfügung (z. B. Charge-Back Tool) Online Händler Acquirer, z. B. In Europa Front-End Back-End TCP/IP Merchant Fraud Acquirers IP, GPRS, UMTS, GSM MIS Acquirer Fraud Sichere Skalierbare IT Plattform Online Merchant Domains 30.04.2013 E-/M-Payment Service Provider (PSP) © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach Acquirer Domains 28 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 29 Schulungsunterlage e-Commerce e-Commerce Sicherheit – Grundstruktur Online Shops / Merchants Mall / Community Zertifizierungsinstanz Payment Service Provider, Acquirer, Finanzdienstleister Internet 128 Bit+ SSL Kanal 128 Bit+ Online Käufer Anwendungsunabhängige Transportkanal-Verschlüsselung – – Sicherer Zahlungsverkehr – getrennt vom Shop des Merchants – Geheimhaltung und Integrität der Daten Nutzung der de-facto Standards für sichere Kommunikation im Internet Teilnehmer Authentifizierung unabhängig vom Online Shop des Händlers PCI DSS Standard – mehr Datenschutz für Karteninhaberdaten und Kontodaten 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 30 Schulungsunterlage e-Commerce Sicherheitstechnologien im e-Commerce Aktuelle Sicherheitsanforderungen an Zahlungsdienste im Internet Ziel: Betrugsversuche verhindern bzw. zumindest nachhaltig erschweren Aktuelle Sicherheitstechniken im Internet (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner) Kartenprüfnummern (KPN) – z. B. CVV2, CVC2, CID, CID2 Verschlüsselung und Zertifizierung nach PCI DSS 3D-Secure (MasterCard SecureCode, Verified -by-VISA, AmExp SafeKey, J/Secure) einmal gültige TAN bei Online Überweisungen – papierbasiert, mittels TAN-Generator bzw. mTAN PAN Truncation – Verkürzte Darstellung von Kartendaten auf Transaktionsbelegen (nur letzte vier Ziffern der Kartennummer, z.B. 42XX XXXX XXXX 1234) Option: Audit zum Gütesiegel „Zertifizierter Onlineshop“ – z. B. EHI, TÜV, ISO Zertifikat 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 31 Schulungsunterlage e-Commerce Das 3D-Secure Verfahren Entwickelt von VISA und MasterCard – Bekannt als • MasterCard SecureCode • VbV (Verified by VISA) – – Automatische Registrierung: Frage nach der Mobilfunknummer des Karteninhabers Issuer können eine beliebige Methode zur Authentifizierung des Karteninhabers anwenden • z. B. Passwort, einmalige TAN per SMS, Fingerabdruck, …) – Absicherung z. B. mittels einmalig gültigen 3D-Secure Codes zugesandt auf das Mobiltelefon – Wegen 3D-Secure Betrug: Viele Issuer haben statische 3D-Secure Passworte abgeschaltet. Adaptiert von anderen Kartenorganisationen – z. B. SafeKey von American Express, J/Secure von JCB Mit „Liability Shift“ (Haftungsumkehr) vom Händler zum Kartenausgeber wird die Einführung von 3D-Secure Verfahren forciert. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 32 Schulungsunterlage e-Commerce 3D-Secure Sicherheit – Übersicht Haftungsumkehr (Liability Shift) Käufer Händler MPI VISA MC Kartennetzwerk Acquirer Directory Server …. (1 Directory Server je Kartenorganisation) KartenIssuer Access Control Server (Einmaliger 3D-Code) MPI in Händler‘s Online Shop 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 33 Schulungsunterlage e-Commerce Ablauf 3D-Secure Zahlung – Beispiel VISA Issuer Domain Acquirer Domain Interoperability Domain Cardholder Merchant 1 3 5 Plug-in 5 3 4 2 6 Access Control 2 3D-Secure Authentication Adapter 3D-Secure Payment Adapter 5 Issuer VISA Directory Authentication History VisaNet Internet Payment System 6 Acquirer Source: VISA international 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 34 Schulungsunterlage e-Commerce e-Commerce Sicherheit – Der PCI DSS Standard • Der PCI Security Standards Council ist ein offenes globales Forum für die ständige Pflege, Weiterentwicklung, Dokumentation und Implementierung von Sicherheitsstandards für den Datenschutz von Karteninhaberdaten und Kontodaten im elektronischen Zahlungsverkehr. • Die Organisation wurde von American Express, Discover Financial Services, JCB, MasterCard Worldwide und VISA International gegründet (www.pcisecuritystandards.org). • Mission des PCI Security Standards Councils ist die nachhaltige Verbesserung der Datensicherheit im elektronischen Zahlungsverkehr durch Anwendung von PCI Security Standards. • PCI Data Security Standard (PCI DSS) PCI DSS ist ein umfassender Sicherheitsstandard, der Mindestanforderungen an Datensicherheit, das Management der Sicherheitsregeln und Sicherheitsprozesse, an Netzwerkarchitekturen, an das Software Design und an andere sicherheitsrelevante Maßnahmen stellt, z. B. (im Originalton) – Build and Maintain a Secure Network; – Protect Cardholder Data; – Maintain a Vulnerability Management Program; – Implement Strong Access Control Measures; – Regularly Monitor and Test Networks; – Maintain an Information Security Policy. • Durch Anwendung der PCI Standards sollten alle Merchants, Payment Service Provider, Acquirer und Issuer zu höherer Datensicherheit im e-Commerce beitragen. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 35 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 36 Schulungsunterlage e-Commerce Online Betrugsarten im Überblick Online Betrug ist als Verbrechen strafbar Verurteilungen bis hin zu Haftstrafen. Online Betrug basiert auf der illegalen Beschaffung von Kartendaten/Kundendaten: Kartenfälschung (Counterfeit Fraud) Card Not Present Fraud Diebstahl von Karten (Lost and Stolen), Mail Non Receipt Fraud Identitätsdiebstahl (Identity Fraud) – – – Cold Calls, Diebstahl von Ausweisen, Elektronischer Identitätsbetrug (Application Fraud) Diebstahl von Zahlungsbelegen aus Müllcontainern (z. B. in Tankstellen) Betrug bei Warenrückgabe (Return Fraud, Refund Fraud) Manipulierte Geldautomaten (z. B. Beschaffung von Kartendaten für Online Betrug) Computerbetrug – – – – – 30.04.2013 Phishing; Pharming Hacking; 3D-Secure Fraud Manipulierte POS Terminals, Manipulierte Webseiten Dateneinbruch (Data Breach) Manipulierte QR Codes (Atagging) © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 37 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 38 Schulungsunterlage e-Commerce Maßnahmen gegen Online Betrug (1) Präventionsmaßnahmen Einsatz von Tools zur Erkennung und Reduzierung von Missbrauch beim Entstehen von Online e-/m-Payment TXs Monitoring der IP-Adresse und von Gerätekennungen (MAC-ID, „Device Fingerprint“) Zurückweisen von eindeutig betrügerischen TX, ggf. manuelle Prüfung durch den Risk Manager Analyse von Schadensfällen (offline) daraus dann Ableitung von neuen Regeln zur frühzeitigen Entdeckung von Tätervorgehensweisen Implementierung dieser Online-Überwachungsregeln in den Front-Office Systemen mit Alarmierung Manuelle Nachbearbeitung von Alarmen und verdächtigen TXs (Zurückweisen oder OK?) Selektiver Anschluss von neuen Vertragspartnern bzw. von (anonymen) Online Käufern Definition von „unerwünschten Hot-Spots“ oder auch sogenannten „Ausschlussbranchen“ Zusammenarbeit auf nationaler und internationaler Ebene mit Kartenorganisationen Zusammenarbeit mit Behörden, die Sicherheitsaufgaben nachgehen (z. B. Bundeskriminalamt) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 39 Schulungsunterlage e-Commerce Maßnahmen gegen Online Betrug (2) Einsatz von Sicherheitstechnologien – gemäß aktuellem Sicherheitsniveau Aktuelle IT Sicherheitstechniken (z. B. SSL, digitale Zertifikate, Firewall, Virenscanner) Verschlüsselung der Daten (z. B. PCI DSS Standard) Verschlüsselung nach aktuellen Data Encryption Standards (z. B. 3DES) PAN Truncation – verkürzte Darstellung der Kartennummer (z. B. nur 4-letzte Ziffern auf Belegen) Kartenprüfnummern bei Online Kartenzahlungen (z. B. CVC2, CVV2, CID, CID2) 3D-Secure – Verified-by-VISA bzw. MasterCard SecureCode (SPA-/UCAF) EMV Chip Einführung – von SDA zum DDA/CDA Chip Abschalten des Magnetstreifen Repressionsmaßnahmen Konsequente Erstattung und Verfolgung von Strafanzeigen Zusammenarbeit mit Behörden und Organisationen mit Sicherheitsaufgaben – Im Inland und Ausland Beitreibung von offenen Salden durch eigene Kräfte oder Inkassodienste Kündigung von negativ auffälligen Vertragsunternehmen und Karteninhabern 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 40 Schulungsunterlage e-Commerce Maßnahmen gegen Online Betrug (3) Einsatz von eigenen Sicherheitssystemen Bestellen eines internen unabhängigen Risk Managers Implementierung von immer höheren Sicherheitsstandards Pflege einer eigenen Chargeback Datenbank und eigener Sperrlisten sowie Merchant Limits Aufbau einer eigenen Fraud Statistik Datenbank zur Erkennung von Betrugsmustern Nutzung von Online Tools zur Betrugserkennung (Fraud Detection) Nutzung von regelbasierten Online Tools zur Betrugsbekämpfung (Fraud Prevention) Ständige Erweiterung der Online Überwachungsregeln in den Autorisierungssystemen Mit Umsetzung der PCI Standards abgelöst – – Account Information Security (AIS) von VISA Site Data Protection (SDP) von MasterCard Sicherheitssysteme werden z. B. von Issuern, Acquirern und Payment Service Providern eingesetzt. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 41 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 42 Schulungsunterlage e-Commerce e-/m-Payment Geschäftsmodelle – Die Grundtypen Die bekannten Geschäftsmodelle des bargeldlosen Zahlungsverkehrs wurden für die vielfältigen e-/m-Payment Zahlungssysteme im Internet erweitert: – – – – – Issuer Modell Acquirer Modell Payment Service Provider (PSP) Processor Modell TSM Processor Modell Remote e-/m-Zahlungsdienste für Konsumenten Remote e-/m-Zahlungsdienste Akzeptanz u. a. als spezialisierter PSP Processor ISS/ACQ Processing von e-/m-Payment Diensten Setup von Secure Elements auf Mobiltelefonen Das Treuhandmodell (Escrow Trust Lösung, z. B. iclear) – – Treuhänder stellt sicher, dass der Käufer die Ware erhält und der Händler das Geld. Alternative für den Online-Kauf von höherwertigen Waren. Der Online-Händler Der Online Einkäufer („Erlöse .vs. Einkauf + eigene Kosten + Akzeptanzkosten“) („Eigenerlöse aus Onlineauktionen oder P2P/M2M-Verkäufen“) Die Geschäftsmodelle des Kartengeschäfts wurden für e-/m-Payment Dienste adaptiert. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 43 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 44 Schulungsunterlage e-Commerce Rechtliche Rahmenbedingungen e-Commerce und remote e-/m-Payments unterliegen der EU Regulierung – – – – – Richtlinie 2007/64/EG Richtlinie 2009/110/EG Richtlinie 2005/60/EG Richtlinie 1995/46/EG Richtlinie 2000/31/EG Zahlungsdienste-Richtlinie (PSD) E-Geld Richtlinie (EMD) Anti-Geldwäsche Richtlinie (AML) Datenschutz Richtlinie e-Commerce Richtlinie – – – Verordnung 2009/924/EG Verordnung 2011/83/EG Verordnung 2012/260/EG für grenzüberschreitenden Zahlungsverkehr Customer Rights Direktive (CRD), u. a.: Surcharging SEPA End-Date Regulierung e-Commerce und e-/m-Payments unterliegen auch nationaler Gesetzgebung – – Zahlungsdiensteumsetzungsgesetz (ZaDiUG vom 25.06.2009, BGBL 2009 Teil I Nr. 35) Zivilrecht bzgl. Zahlungsverkehr in §§ 675c ff. BGB • – – – 30.04.2013 z. B. das Fernabsatzgesetz FernAbsG (D) ist heute Teil des BGB Einführungsgesetz zum BGB (EG BGB) in Artikel 248 §§ 1 ff. (Informationspflichten) Zahlungsdiensteaufsichtsgesetz (ZAG) – Aufsichtsgesetz für Zahlungsinstitute Geldwäschegesetz (GWG) © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 45 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 46 Schulungsunterlage e-Commerce e-Commerce – Online Käufer in % der Internet Nutzer Source: HDE 2008 63,3% der Internet Nutzer sind gleichzeitig Online-Käufer (Deutschland). 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 47 Schulungsunterlage e-Commerce e-Commerce – Anforderungen der Online Käufer Fast 45% haben bereits aufgrund undurchsichtiger Zahlungsmethoden die Bestellung abgebrochen. 56% der Online Käuferhaben bereits negative Erfahrungen gemacht. Sicherheit, Datenschutz und Vertrauen sind den Online Käufern besonders wichtig. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 48 Schulungsunterlage e-Commerce e-Commerce – Unverändert starkes Online Wachstum Source: Bundesverband des deutschen Versandhandels (bvh) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 49 Schulungsunterlage e-Commerce e-Commerce – Umsätze nach Warengruppen Source: Bundesverband des deutschen Versandhandels (bvh) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 50 Schulungsunterlage e-Commerce e-Commerce – Umsatz mit Digitale Gütern *2012 Source: Bundesverband des deutschen Versandhandels (bvh) 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 51 Schulungsunterlage e-Commerce Online Umsätze nach e-/m-Payments in D (in%) Jahr 2011 Source: ECC Händlerumfrage IZH6, Februar 2012 Deutsche Online Käufer vertrauen auch online auf bewährte Zahlungsverfahren und PayPal. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 52 Schulungsunterlage e-Commerce e-/m-Payments – Strategien der Händler Source: eCommerce-Leitfaden 2012 Der Online Handel orientiert sich bzgl. Online Zahlungsverfahren an der Nachfrage seiner Online Käufer. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 53 Schulungsunterlage e-Commerce Anforderungen des Handels an e-/m-Payments Die Priorität der Anforderungen des Online Handels an Online Zahlungen sind keine Überraschung. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 54 Schulungsunterlage e-Commerce Inhalt Remote e-/m-Payments im e-Commerce ► ► ► ► ► ► ► ► ► ► ► e-Commerce Übersicht Zahlungsverfahren im Internet Beteiligte Parteien Technische Infrastruktur Sicherheitsanforderungen Online Betrug Maßnahmen gegen Online Betrug e-/m-Payment Geschäftsmodelle Rechtliche Rahmenbedingungen Marktinformationen Ausblick 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 2-7 8-19 20-24 25-28 29-35 36-37 38-41 42-43 44-45 46-54 55-59 55 Schulungsunterlage e-Commerce Ausblick e-Commerce Verlagerung von Geschäftsprozessen ins Internet Steigende e-Commerce Transaktionszahlen, insbesondere im mobilen Internet Stark Wachsend Mobiler Einkauf über Tablets und mobile Smart Phones Online Verkäufe im E-Commerce erreichen in einzelnen Ländern bereits bis zu 15% des gesamten stationären Verkaufsvolumens vom Point of Sale. Das Wachstum der Betrugsfälle (Online Fraud) im e-Commerce bleibt anhaltend hoch – – – Wachsende Schadenssummen reduzieren die Gewinne der Unternehmen Hohe Internationalisierung der Bandenkriminalität (Cross-Border, Virtuelle Kartenfälschung) Organisierte Betrüger greifen gezielt Schwachstellen in der Processing Infrastruktur an Ständige Maßnahmen gegen Online Betrug zur Erhöhung des Sicherheitsniveaus – – – – – Kartenprüfnummern, 3D-Secure Passwort, auch regional begrenzte Kartenprofile Monitoring von IP Adressen und Gerätekennungen (z. B. MAC-ID) Höhere Datensicherheit dank PCI DSS Implementierung Einsatz regelbasierter Online Fraud Prevention Systeme Mehr Sicherheit durch den Einsatz von „two-factor“ Authentifizierungsmechanismen – Einmalig gültige 3D-Secure Codes, SMS Bestätigung und einmalige mobile TANs 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 56 Schulungsunterlage e-Commerce Trends im e-Commerce (1) Seit 2010 Trend: Optimaler e-/m-Payment Mix für maximalen Umsatz – Nur mit dem passenden e-/m-Payment Mix kann der Händler in seinen Online Shops den optimalen Umsatz erzielen. Trend: QR Code Shopping, Mobile App Shopping – – Einleitung des Online Einkaufs durch Scannen von QR Codes Zugang zum Onlineshop über eine Mobile App auf dem mobilen Endgerät Trend: Multi–Channel Shopping – Online Käufer kaufen zunehmend auch per Tablet und per Mobiltelefon online ein. Trend: Der digitale e-/m-Payment Mix wächst – Kartenzahlungen, Wallets, Prepaid Produkte und Online Banküberweisungen wachsen zu Lasten von Lastschrift, Rechnung, MOTO und Nachnahme Trend: Höheres Sicherheitsniveau durch mehr End-to-End Security Trend: Betrug mit Kartenfälschungen geht dank EMV Implementierung zurück. 30.04.2013 © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 57 Schulungsunterlage e-Commerce Trends im e-Commerce (2) Mittelfristig Trend: Wallet Wars – Wer gewinnt den mobilen Kunden? – – – – Immer mehr digitale Wallet Anbieter starten mit multi-funktionalen Wallet Diensten 1. Wallets ermöglichen e-/m-Payments im Internet und per QR Code an der Kasse 2. NFC-fähige digitale Wallets werden in einem mobilen Secure Element gespeichert 3. der Konsument zahlt per Wallet im Internet und an kontaktlosen Readern der POS Welt Trend: EMV Payments über das Internet – Digitale Wallets, gespeichert auf EMV-fähigen SIM-Karten im Mobiltelefon, ermöglichen sichere „EMV Card-Present“ Zahlungen im Internet Trend: Omni-Channel Marketing im e-Commerce – Digitales 1:1 Kundenmarketing integriert über alle Verkaufskanäle der POS/e-/m-Welt Mittelfristig Trend: Mobiles NFC Shopping – 30.04.2013 Kontaktlose Smart Tags, und NFC-fähige Smart Poster ermöglichen mobile NFC Dialoge zwischen Kunden und Online Shops oder Check-in/Check-out Prozessen (z. B. Nahverkehr) überall dort, wo individuelle Kommunikation zum Einkauf gewünscht/erforderlich ist. © PayComm e.V. - Kronberger Straße 16 – 63128 Dietzenbach 58