Payment Informationen
PSP – Aquirer – Sicherheit – was ist das alles?
Darf ich mit meiner Webseite Kontodaten oder Kreditkarteninformationen der Spender/Käufer sammeln?
- JA, allerdings ist dies getrennt zu betrachten, sobald in irgendeiner Form Kreditkarten-Daten auf unseren Servern (Ihrer Spendenseite) verarbeitet werden, ist eine umfassende PCI Compliance von Nöten.
- Normale Konto-Daten können gesammelt werden und unterliegen nicht einer so strengen Richtlinie, dies ist auch der Grund warum wir als Datadialog Ihnen die SEPA Zahlungsvariante als Option anbieten für wiederkehrende Zahlungen, wo KEINE zusätzlichen Kosten entstehen, da wir im Hintergrund direkt eine SEPA Transaktion durchführen. Aus Sicherheitsgründen haben wir allerdings auch diese Felder so auf den jeweiligen Formularen, welche Ihr Spender einsehen kann, hinterlegt, sodass es keine Möglichkeit gibt diese IBAN und BIC Daten vollständig auszulesen.
Wenn ich Kontodaten oder Kreditkarteninformationen sammle, muss ich dann PCI-DSS compliant sein?
- Kontodaten und Kreditkarteninformationen sind zweierlei Dinge
- Werden Kreditkarten-Informationen verspeichert, so müssen PCI-Compliant Richtlinien und Vorgaben erfüllt sein. mehr zu PCI compliance….
- Verspeichern Sie Kontodaten, so sollte sichergestellt werden, das diese nicht vollständig ausgelesen werden können, bzw. nur Teilbereiche wie z.B. der IBAN erkennbar sind – das gewährleisten wir mit unserem System.
Was bedeutet es PCI-DSS compliant zu sein? Welcher Aufwand steckt dahinter und warum dann doch nicht selbst ?
- Der Aufwand, diese Richtlinien und Vorgaben zu erfüllen, steht zumeist nicht dafür, da die Kosten den Nutzen übersteigen. Deshalb gibt es sogenannte Payment Provider PSP’s und die zugehörigen Aquirer für die jeweiligen Zahlungsmittel. definition PCI-DSS. Diese erfüllen diese Standards und stellen sicher, dass die sensiblen Daten sicher verarbeitet werden. Vor allem aber nehmen Sie dem Website-Betreiber die Bürde ab, diese hohen Sicherheitsstandards erfüllen zu müssen. Die Provider bzw. Acquirer stehen außerdem dafür gerade falls hier Probleme entstehen sollten.
- Dies ist auch einer der Hintergründe warum wir empfehlen, dass das Zahlungsmittelformular für die Eingabe der Kreditkarteninformationen unweigerlich erkennbar beim Payment Provider liegt; auch wenn das Design Ihrer Seite angepasst wurde. Durch den Link ist meist trotzdem leicht erkennbar, dass es sich um eine externe Zahlungsseite handelt. Außerdem entstehen in dieser Variante keine Zusatzkosten vom Provider.
Was wenn die Konto-Informationen ausschließlich über das Formular des Payment-Providers gesammelt werden?
- Diese Option nimmt Ihnen die Verantwortung diese hohen PCI Standards zu erfüllen, da Sie keine dieser sensiblem Daten direkt auf Ihrer Website verspeichern, sondern den Spender auf die Zahlungsplattform weiterleiten. Dies betrifft allerdings ausschließlich den Abschluss der Zahlung, nicht jedoch den gesamten Spendenvorgang, wo der Spender seine Auswahl, was er gerne unterstützen möchte, trifft. Erst wenn es um die Eingabe der Kreditkarteninformationen geht, kommt dieser auf das Eingabeformular des Paymentproviders.
- Die einzige Ausnahme hier ist SEPA, wo wir die Daten direkt in das dahinterliegende System FS-STUDIO verspeichern, auf welches von extern nicht zugreifbar ist. Kontodaten im FS-ONLINE Teil, also auf der Webseite, sind nicht vollständig auslesbar.
Darf ich das Formular des Payment-Providers in meine eigene Webseite so einbinden das der Spender gar nicht bemerkt das er nicht mehr auf meiner Seite ist?
- JA, Damit sind allerdings ein paar zusätzliche Aufwände verbunden.
- Direct link muss umgesetzt werden – monatliche Zusatzkosten von 30 EUR.
- Das Formular sowie der URL können dann genau so wie Ihre Domäne lauten und es ist nicht erkennbar, dass man auf einem externenSystem arbeitet.
- Dazu empfehlen wir allerdings, dass darauf dann explizit im Impressum hingewiesen wird, da es sonst zu Verwirrungen Ihrer Spender kommen kann.
Was sind die Konsequenzen wenn ich es dennoch so aussehen lasse, als würde man die eigene Seite beim Bezahlen nicht verlassen?
- Verwirrung der Spender, da diese annehmen könnten, dass im Falle von Datendiebstahl (Kreditkarten-Infos usw.) dieser von Ihrer Organisation verschuldet ist.
Kann ich das Aussehen des Formulars des Payment Providers nach meinen Wünschen anpassen?
- In der Standardvariante die wir anbieten, welche KEINE Zusatzkosten verursacht, ist das bereits möglich. Diese erlaubt Anpassungen bis zu einem gewissen Grad mit einer html-Seite rund um das Zahlungsmittel-Eingabeformular des Providers (E-commerce Variante) URL Viveum Url).
- Dies ist also ohne Weiteres möglich bis auf die vorgegebenen Felder, welche der Zahlungsanbieter vorschreibt welche nicht angepasst werden können in der kostenlosen Variaten.
- Direct Link bietet vollständig freies Design, die URL vom Shop bleibt erhalten, allerdings entstehen hier Zusatzkosten.
Kann ich den Zahlungsvorgang für angemeldete Spender vereinfachen? (Adressdaten, Zahlungsart, Konto oder Kreditkarteninformationen)
- Adressdaten:
- Diese Möglichkeit besteht mit FSONLINE, da man sich bei unsererm System auch auf der Website registireren kann. Damit werden die persönlichen Daten in unserem System verspeichert. Wenn ein Spender nun wiederkehrt, können wir – sofern dieser jene Email-Adresse verwendet mit der er sich zuvor registriert hat – erkennen, dass er schon einmal angemeldet war und ihn dazu auffordern, sich anzumelden. Sobald eine Anmeldung erfolgt ist, wird auch das Spendenformular vollständig ausgefüllt angezeigt (bis auf Kontoinformationen, welche nicht ausgefüllt werden). Somit muss kein Spender Formulardaten mehr ausfüllen, sondern kann den Vorzug wie bei einem Webshop nutzen, dass die hinterlegten Daten bereits genutzt werden können.
- Zahlungsarten:
- Auch hier haben wir eine Möglichkeit, dass die Zahlungsart bereits auf Ihrer Website gewählt wird und damit nicht mehr am Paymentprovider PSP ausgewählt werden muss. Somit hat auch hier der Spender einen Vorteil, da Sie Ihn bereits komfortabel die Zahlungsmethode auswählen lassen können.
- Sensible Informationen:
- Hier hört es sich mit dem Auslesen von Daten auf! Aus Sicherheitsgründen und aus rechtlichen Gründen verspeichern wir KEINE Kreditkarteninformationen; diese werden ausschließlich am Paymentprovider-Formular ausgefüllt, aber nicht auf Ihrer Website direkt gespeichert. Dadurch müssen Sie sich als Webseiten-Anbieter nicht darum kümmern, dem PCI-DSS Standard zu entsprechen, was kostentechnisch einen enormen Aufwand bedeuten würde, sofern dies überhaupt möglich ist.
Kann ich auch mit Kreditkarte oder Paypal wiederkehrende Spenden anbieten?
- Grundsätzlich geht das; diese erfordert allerdings eine gesonderte Implementation und wird derzeit von uns nicht unterstützt. Sollte dies eine Forderung sein, müsste man sich mit uns nur kurz über die Kosten unterhalten. Wir empfehlen diese Variante allerdings nicht, da bei wiederkehrenden Zahlungen über Kreditkarte Extrakosten entstehen, welche bei der SEPA-Variante welche wir bieten nicht existieren.
Wer ist der Payment Provider Ogone/Ingenico/Viveum?
- Ogone – jetzt Ingenico – ist einer der weltweit größten Zahlungsanbieter mit über 200 verschiedenen Zahlungsmitteln. Wir haben uns für die Erstimplemenation für diesen Anbieter entschieden. Da Ogone/Ingenico in Österreich einen Subunternehmer hat, welcher für sie die Zahlungsanbindungen handelt, nutzen wir direkt diese Partnerschaft, welche es auch ermöglicht hat, dass wir für unsere Non Profits einen Vertrag aushandeln konnten, welcher spezielle Konditionen bietet. Ogone/Viveum Österreich ist der Name dieses Partners.
Was macht ein Payment Provider?
- Ein Payment Provider ist der Mittelsmann zwischen einer Webseite und etwaigen Zahlungsmethoden wie Kreditkarten, Direktzahlsystemen, Paypal usw. Ein Payment Provider hat sich darauf spezialisiert, diese unterschiedlichen Zahlungsmethoden anzubinden und das Netzwerk und etwaige Sicherheitsstandards dem Webseite-Betreiber abzunehmen. Der Payment Provider steht sozusagen zwischen der Webseite und dem letztlich genutzten Zahlungsmittel. Ein weiterer Vorteil dabei ist, dass auf der Website keine sensiblen Daten verspeichert werden müssen. Wie weit die Integration im Sinne der vorausgefüllten Kreditkarten-Daten geht, hängt dann in jedem Einzelfall von der Implementierung bzw. den Funktionen, die man bei dem Payment Provider „einkauft“, ab. Im günstigsten Fall gibt es keine Weitergabe von User IDs, wo z.B. auch Kreditkarten-Informationen dann auf dem Zahlungsformular aufscheinen würden. Somit muss der Spender zumindest Zahlungsmittel-Daten immer manuell eingeben.
Warum verwendet ihr Ogone und nicht z.B. mPay24 oder Wirecard?
- Wir verwenden derzeit Ogone/Viveum, da wir diesen Anbieter als ersten implementiert haben und es keine einschränkungen bisher gegeben hat um unsere non Profits zufrieden zu stellen. Ausserdem haben wir ein tolles Angebot für Non-Profits bekommen. Des Weiteren bietet dieser Anbieter international gesehen die größtmögliche Auswahl an Zahlungsarten und Flexibilität vorallem auch bei der Übernahme von Aquirer Verträgen. Auf unserer Roadmap steht in Zukunft auch die Anbindung von Wirecard.
Ich möchte meinen Payment Provider aber nicht wechseln – geht das?
- Grundsätzlich ist das möglich, allerdings erfordert dies eine gesonderte Implementierung, sofern es sich nicht in unserem Zeitplan bewegt und würde mit einem Zeitplan und Projektkosten verbunden sein, diesen frühzeitiger zu integrieren. Da unsere Konditionen mit Ogone/Viveum aber sehr gut sind sind, haben auch Bestandskunden schon zu diesem Payment Provider gewechselt.
Welche Kosten entstehen beim Wechsel zu Ogone?
- Keine.
- Sie haben einen bestehenden Vertrag? Dieser ist bis zu seinem Laufzeit-Ende mit Ihrem Payment Provider auszuhandeln oder fertig zu bezahlen.
- Kosten entstehen erst, wenn sie das Produktivsystem von Ogone/Viveum nutzen. Solange wir uns in der Demo/Testphase befinden, können wir ein Testsystem kostenlos zur Verfügung stellen, welches bis zum Bezahlen alles durchsimulieren kann. Erst beim “Live-Schalten” des Systems entstehen einmalige Kosten, die abhängig von den angeforderten Zahlungsmethoden sind, die restlichen Kosten sind wie bei allen Providern Disagio kosten der Transaktionen der Zahlungsmethoden.
Welche Zahlungsarten (Visa, PayPal…) bietet Ogone?
- mögliche Zahlungsmethoden:
- mögliche Aquirer (Übernahme von bestehenden Akzeptanzverträgen möglich nach Abklärung):
Welche Kosten (Disagios) entstehen bei einer Online-Zahlung mit Ogone?
- Je nach Zahlungsmittel muss dieses einmalig aktiviert werden. Dabei entstehen in Österreich jeweils einmalige geringe Kosten, sowie eine Gebühr für 600 Transaktionen inklusive. Und eine sehr günstige Gebühr je Transatktion nach diesen 600 inkludierten Frei-Transaktionen. Konkrete anfallende Kosten für den Anbieter geben wir Ihnen direkt bekannt, wenn es um die effektive Einbindung geht.
- Diese Kosten finden Sie dann im Konkreten Angebot für Ihren Shop
- Fix 4 Zahlungsmittel (Empfehlung: VISA, MASTER, SOFORTÜBERWEISUNG, PAYPAL ) !!! SEPA !!! ist von uns DIREKT gemacht und nicht über OGONE KEINE KOSTEN
- Fix / Monat für 600 Transaktionen
- Minimum Dissagio / Transaktion danach
- Weitere Kosten sind mit dem jeweiligen Akzeptanzpartner Ihrer Kreditkarten zu klären bzw. sind Ihnen bereits aufgrund Ihres Vertrages mit Ihrem Aquirer bekannt.
Erhebt Datadialog zusätzliche Disagios bei Online-Zahlungen?
- Nein – Datadialog möchte Non-Profits explizit nicht mehr als für unsere Serviceleistung und unsere Arbeit in Rechnung stellen. Unser Anliegen ist es, dass Spenden, welche Sie von Spendern bekommen, 1:1 an Ihre Organisation gehen (Ausnahme: Payment Provider-Kosten die an uns vorbei gehen; wir liefern Ihnen allerdings zusätzlich und kostenlos den Abklärungsaufwand mit Ihrem neuen Paymentprovider mit).
- Weiterer Vorteil von Datadialog:
- SEPA: Diese von uns auch empfohlene Zahlungsmethode bietet Ihnen die Möglichkeit, vollständig ohne Disagios einmalige sowie wiederkehrende Spenden direkt über Banktransfers, welche wir direkt für Sie abwickeln, durchzuführen.
Was sind Aquirer?
- Grundsätzlich ist ein Aquirer der Akzeptanzpartner, der die Bankgarantie für Zahlungen mittels Ecommerce-Zahlungsmittel übernimmt (z.B. Europay, paylife, Six B&S usw.). Dieser könnte – sofern er direkt eine Schnittstelle zur Verfügung stellt – auf Ihrer Website angebunden sein, wird aber zumeist auch von uns über einen alternativen Paymentprovider angebunden, da hier der Vorteil von vielen verschiedenen Zahlungsmitteln und länderübergreifenden Optionen besteht.
- Details dazu entnehmen Sie bitte der Definiton: Aquirer….
Warum benötige ich zusätzliche Verträge mit Aquirern?
- Da nicht jeder Payment Provider auch Akzeptanzpartner für Kreditkarten ist, dies umgekehrt aber durchaus der Fall sein könnte, ist der Aquirer abhängig von Ihrem Zahlungsmittel notwendig. Banklizenz.
Kann ich meine bestehenden Aquirer-Verträge mitnehmen?
- JA, mit unserem Zahlungsprovider können die meisten Aquirer übernommen werden; dies ist allerdings immer kurz rückzuklären.
- Siehe: Welche Aquirer werden Unterstützt ?
Wie genau läuft so ein Payment Provider-Wechsel ab?
- Wir holen für Ihre gewünschten Zahlungsmethoden ein Angebot für unseren angebundenen Payment Provider Ogone/Viveum ein.
- Wir fragen für Sie nach, ob Ihr Aquirer übernehmbar ist (dazu brauchen wir nur den Namen bzw. Vertrag Ihres bestehenden Kreditkarten-Aquirer).
- Wir erstellen kostenlos einen vollständigen Test- und Demoaccount für ihr neues Spendenportal bei uns bzw. den neuen Spendenshop.
- Sobald wir online gehen wollen, wird der Testaccount in einen produktiven Account überführt und alles läuft über den neuen Paymentprovider und unser Spendenportal.
Gibt es noch weiterführende Details und mehr zum Thema E-commerce, Statistiken und Hintergrundinformationen?
- Details zu dem Thema E-commerce Payment finden sie unter folgendens Links : http://www.estrategy-magazin.de/ausgabe-04-2011/online-zahlungsanbieter-der-ultimative-marktueberblick.html