Für einen einwandfrei funktionierenden elektronischen Zahlungsverkehr bilden die Sicherheitsaspekte erste Priorität. Diese betrifft einerseits die mit jeder Transaktion übermittelten persönlichen Daten des Endkunden und des Händlers, andererseits die Angaben zur spezifischen Transaktion. Der VEZ unterstützt die Einführung von Systemen, die sicherheitsmässig «state of the art» sind.

Der VEZ befürwortet deshalb die laufende Umrüstung der Terminals auf den neuen, PCI PTS-konformen Sicherheitsstandard (PCI PTS= Payment Card Industry PIN Transaction Security). Offen bleibt dabei die Frage der Geschwindigkeit, unter der die Umrüstung stattzufinden hat und das damit verbundene bzw. notwendige Übergangsregime für die Ablösung alter Terminals. Der VEZ verlangt von Seiten der Kartenorganisationen und der Acquirer Augenmass, Kulanz sowie optimale Investitionszyklen, die dem Handel eine vernünftige Abschreibung seiner Investitionen erlauben. Denn die Investitionen am Point of Sales trägt er alleine.

PCI/ep2

Die ep2-Lösung ist die EFT/POS-Lösung in der Schweiz und fasst teilweise auch im Ausland Fuss. In der Schweiz laufen nahezu alle Transaktionen unter dem mit den Aqcquirern vereinbarten ep2-Protokoll. Die wenigen Ausnahmen beschränken sich auf spezielle branchengebundene Lösungen (Kreditkarten).

Die Spezifikationen werden laufend aufgrund neuer Anforderungen ergänzt, zur Sicherheitserhöhung präzisiert oder auch teilweise korrigiert. Während der vier ordentlichen Sitzungen der ep2-Arbeitsgruppe wurden nicht weniger als 39 Change Requests behandelt, mit den Spezialisten der partizipierenden Unternehmen zur Entscheidungsreife gebracht und in die aktuelle Version V5.3.0 eingebunden.

Die Kernthemen der neuen Version sind Cashback, contactless und e-Commerce, die teilweise in themengebundenen zusätzlichen Sonder-Sitzungen behandelt wurden:

Cashback ermöglicht einen Bargeldbezug innerhalb derselben Transaktion mit einem Warenbezug. Die erhöhten Anforderungen der Acquirer-Sicherheitsabteilungen an die Autorisierung eines Warenbezugs und eines gleichzeitigen Barbezugs sind eine grosse Herausforderung bei der Definition des Informationsinhalts sowie des Prozessablaufs.

Contactless wurde nach einer Vorversion im Vorjahr nun definitiv in die ep2-Spezifikation integriert. Die PCI-bedingte Ablösung der heutigen Terminal-Generation sowie die aufkommenden Terminalmodelle mit der contactless-Funktionalität haben die Integration dieser Funktionalität in die Spezifikationen priorisiert, damit eine einheitliche Vorgabe für die Terminal-Hersteller zur Verfügung gestellt werden kann.

Für e-Commerce wurden von den Kartenorganisationen im zentralen Bereich neue Vorgaben gemacht. Die Anpassung der Regulations bezüglich Transactiondate bzw. Settlementdate hat eine grundsätzliche Überarbeitung des Meldungsinhaltes notwendig gemacht. Die Themata «Late presentment» und Teillieferungen wurden bei dieser Gelegenheit ebenfalls behandelt und geregelt.

Im Rahmen der Prüfung einer weiteren Gateway-Lösung (zentrale ep2-Funktionalität mit PinPads ohne ep2-Intelligenz an der Front) wurde das ep2-Security-Konzept be­stätigt. Dieses verlangt eine direkte Verbindung zwischen Terminal und Acquirer ohne Umschlüsselung sensitiver Daten auf einer Zwischenstation, so dass auf dieser Basis das gewünschte Dual-Zone-Security-Prinzip der Gateway-Lösung abgelehnt werden musste.

ep2-organisatorische Aspekte

• Die ep2-Gruppe wächst. Als neuer Acquirer wurde Accarda als vollwertiges Mitglied aufgenommen.
• Der Vorsitz in der TeCo-ep2 geht nach mehreren Jahren von Aduno an SIX Multipay über.
• Um die Kompatibilität von ep2 zu PCI bewahren zu können, hat der Vorstand TeCo-ep2 entschieden, periodisch eine Prüfung der Spezifikationen durch renommierte externe Zertifizierer durchführen zu lassen.
  
• Die Prüfung wird auf Basis der Spezifikation V5.3.0 in der ersten Hälfte 2012 durchgeführt.
• Die ep2-Arbeitsgruppe hat sich mehrfach bemüht, die Zertifizierungsprozesse der Terminals zu vereinfachen und hat entsprechende Vorschläge den Kartenorganisationen unterbreitet. Diese haben jedoch dem Ziel, Terminals schneller und somit günstiger auf den Markt zu bringen zu können, mit einer nicht nachvollziehbaren sowie unvollständigen Begründung eine Absage erteilt.