Die Kredit- bzw. Debitkarte wird typischerweise von einer Bank oder einer Bankengruppe herausgegeben (Issuer). Der Endkunde, auf dessen Namen die Karte lautet, bezahlt dafür eine Kartengebühr. Mit dieser Karte ist er in der Lage, beim Händler Waren und Dienstleistungen bargeldlos einzukaufen. Die Transaktion wird am Verkaufspunkt elektronisch abgewickelt: Der Händler übermittelt dem Kartenverarbeiter (Acquirer) die Transaktions-Daten. Letzterer sorgt dafür, dass dem Händler der Kaufpreis gutgeschrieben wird und dass der Karten-Issuer den Kaufbetrag dem Konto des Endkunden belastet. Mit der Belastung dieses Kontos ist die Transaktion abgeschlossen.
Der Händler erhält den Verkaufspreis abzüglich der vom Acquirer vereinnahmten Gebühren und Kosten, die für ihn selber, den Issuer und die Kartenorganisation bestimmt sind. Die Höhe dieser Abgaben ist von diversen Faktoren abhängig: Debit- oder Kreditkarte, Branche und gesamtes Transaktionsvolumen des Händlers.
Die notwendige Infrastruktur am Point of Sales trägt vollumfänglich der Händler
Issuer, Acquirer, Händler und Endkunde zusammen bilden das 4-Parteien-System im Kartenmarkt. Die Kartenorganisationen (Visa, MasterCard, Amexco, Diners etc.), unter deren Lizenzen die Karten durch die Issuer herausgegeben werden, müssten dazu führen, dass richtigerweise von einem 5-Parteien-System die Rede wäre.
Für einen einwandfrei funktionierenden elektronischen Zahlungsverkehr bilden die Sicherheitsaspekte erste Priorität. Diese betrifft einerseits die mit jeder Transaktion übermittelten persönlichen Daten des Endkunden und des Händlers, andererseits die Angaben zur spezifischen Transaktion. Der VEZ unterstützt die Einführung von Systemen, die sicherheitsmässig «state of the art» sind.
Der VEZ befürwortet deshalb die laufende Umrüstung der Terminals auf den neuen, PCI PTS-konformen Sicherheitsstandard (PCI PTS= Payment Card Industry PIN Transaction Security). Offen bleibt dabei die Frage der Geschwindigkeit, unter der die Umrüstung stattzufinden hat und das damit verbundene bzw. notwendige Übergangsregime für die Ablösung alter Terminals. Der VEZ verlangt von Seiten der Kartenorganisationen und der Acquirer Augenmass, Kulanz sowie optimale Investitionszyklen, die dem Handel eine vernünftige Abschreibung seiner Investitionen erlauben. Denn die Investitionen am Point of Sales trägt er alleine.
PCI/ep2
Die ep2-Lösung ist die EFT/POS-Lösung in der Schweiz und fasst teilweise auch im Ausland Fuss. In der Schweiz laufen nahezu alle Transaktionen unter dem mit den Aqcquirern vereinbarten ep2-Protokoll. Die wenigen Ausnahmen beschränken sich auf spezielle branchengebundene Lösungen (Kreditkarten).
Die Spezifikationen werden laufend aufgrund neuer Anforderungen ergänzt, zur Sicherheitserhöhung präzisiert oder auch teilweise korrigiert. Während der vier ordentlichen Sitzungen der ep2-Arbeitsgruppe wurden nicht weniger als 39 Change Requests behandelt, mit den Spezialisten der partizipierenden Unternehmen zur Entscheidungsreife gebracht und in die aktuelle Version V5.3.0 eingebunden.
Die Kernthemen der neuen Version sind Cashback, contactless und e-Commerce, die teilweise in themengebundenen zusätzlichen Sonder-Sitzungen behandelt wurden:
Cashback ermöglicht einen Bargeldbezug innerhalb derselben Transaktion mit einem Warenbezug. Die erhöhten Anforderungen der Acquirer-Sicherheitsabteilungen an die Autorisierung eines Warenbezugs und eines gleichzeitigen Barbezugs sind eine grosse Herausforderung bei der Definition des Informationsinhalts sowie des Prozessablaufs.
Contactless wurde nach einer Vorversion im Vorjahr nun definitiv in die ep2-Spezifikation integriert. Die PCI-bedingte Ablösung der heutigen Terminal-Generation sowie die aufkommenden Terminalmodelle mit der contactless-Funktionalität haben die Integration dieser Funktionalität in die Spezifikationen priorisiert, damit eine einheitliche Vorgabe für die Terminal-Hersteller zur Verfügung gestellt werden kann.
Für e-Commerce wurden von den Kartenorganisationen im zentralen Bereich neue Vorgaben gemacht. Die Anpassung der Regulations bezüglich Transactiondate bzw. Settlementdate hat eine grundsätzliche Überarbeitung des Meldungsinhaltes notwendig gemacht. Die Themata «Late presentment» und Teillieferungen wurden bei dieser Gelegenheit ebenfalls behandelt und geregelt.
Im Rahmen der Prüfung einer weiteren Gateway-Lösung (zentrale ep2-Funktionalität mit PinPads ohne ep2-Intelligenz an der Front) wurde das ep2-Security-Konzept bestätigt. Dieses verlangt eine direkte Verbindung zwischen Terminal und Acquirer ohne Umschlüsselung sensitiver Daten auf einer Zwischenstation, so dass auf dieser Basis das gewünschte Dual-Zone-Security-Prinzip der Gateway-Lösung abgelehnt werden musste.
ep2-organisatorische Aspekte