Scheda informativa del servizio POS Virtuale - BCC
Transcript
Scheda informativa del servizio POS Virtuale - BCC
Servizio POS Virtuale Scheda Informativa Virtual Pay è il servizio POS Virtuale semplice e sicuro che permette ai siti web di commercio elettronico (e-commerce) il pagamento tramite carta di credito o altri metodi (es: MyBank). Lo scopo del servizio è quello di offrire ai siti di e-commerce un “POS Virtuale” che, analogamente con i POS fisici a disposizione dei punti vendita tradizionali, li renda in grado di accettare pagamenti a distanza (es: tramite carta di credito) attraverso un sistema semplice, affidabile e sicuro. Questo breve documento ha lo scopo di presentare le caratteristiche generali del servizio Virtual Pay e fornire agli esercenti tutte le informazioni necessarie per comprenderne il funzionamento ed evidenziarne le principali funzionalità. 2 1. FACILITÀ D’USO Per l'Esercente (Merchant) Il Merchant può attivare il servizio di pagamento semplicemente mediante l’invio di alcuni dati ad un URL prefissata. Per l'Acquirente (Buyer) Il Buyer può utilizzare un qualunque browser Internet senza bisogno di installare software aggiuntivo sul proprio PC. 2. SEPARAZIONE DEI RUOLI Le procedure di accettazione dell’ordine e di pagamento sono nettamente separate; la prima coinvolge acquirente ed esercente, la seconda acquirente e banca. Ciascuno degli attori coinvolti vede solo i dati che lo riguardano, in particolare il Merchant non vede mai i dati relativi alle carte di credito che vengono gestite esclusivamente dal servizio di pagamento Virtual Pay. 3. SICUREZZA Il successo del commercio elettronico è strettamente collegato alla percezione di sicurezza del consumatore finale. Per rispondere adeguatamente a queste preoccupazioni un sistema di pagamento per considerarsi sicuro deve garantire: Riservatezza I dati sensibili, devono essere cifrati per impedire agli estranei di impossessarsene. Integrità I dati scambiati tra le parti non devono essere modificati o alterati. Autenticazione Le parti devono riconoscersi; l'Esercente deve sapere che chi acquista è davvero il legittimo titolare della carta di credito e viceversa. La riservatezza dei dati è garantita dall'utilizzo di una connessione criptata; la presenza del certificato di crittografia è verificabile dall’utente visualizzando il simbolo del lucchetto sulla parte destra del monitor; cliccando su tale simbolo si risale a chi ha rilasciato il certificato. Una cifra di controllo calcolata sulla base di una chiave privata garantisce inoltre l'integrità dei dati e l'autenticazione dell'esercente. 3 AUTENTICAZIONE 3D SECURE L’autenticazione è un processo che è possibile attivare soltanto mediante uno specifico protocollo. Infatti questo processo non va confuso con l’utilizzo dei codici di controllo CVV2 CVC2 che sono i codici che si trovano sul retro delle carte Visa e MasterCard. L’utilizzo di questi codici consentono di verificare soltanto che l’acquirente è in possesso della carta e non di autenticare il titolare. Per questo motivo Visa e MasterCard hanno dato vita al 3D Secure, il protocollo che consente di gestire l’autenticazione. I marchi Verified by Visa, Secure Code e Safekey identificano il prodotto rispettivamente per Visa, MasterCard e American Express. LATO TITOLARE DELLA CARTA Il 3D Secure è un sistema di protezione per i tuoi acquisti online studiato dai Circuiti Internazionali Visa (Verified by Visa), MasterCard (SecureCode MasterCard) e American Express (SafeKey), che permette di prevenire eventuali utilizzi illeciti della carta e di evitare addebiti indesiderati. Il protocollo prevede di inserire un codice di sicurezza personale al momento del pagamento. LATO ESERCENTE Sulla base delle regole stabilite dai circuiti internazionali Visa MasterCard e American Express l’esercente che aderisce al protocollo 3D Secure è sollevato dai rischi per uso fraudolento delle carte di credito. Se il titolare dovesse disconoscere un pagamento effettuato su Internet, all’Esercente è garantito il pagamento* trasferendo la responsabilità della transazione alla società emittente la carta di credito. Si parla in questo caso di liability shift per identificare il processo che trasferisce le responsabilità. * Salvo casi particolari definiti dalla Compagnia Carta Credito con la quale l’esercente è convenzionato 4 PAGAMENTO CON CARTE DI CREDITO ATTORI COINVOLTI Merchant Esercente che effettua la vendita di beni o servizi attraverso un sito Internet. Buyer Acquirente che decide di effettuare l’acquisto di un bene o servizio disponibile su un catalogo pubblicato da un Merchant nel proprio sito web e-commerce. Piattaforma tecnologica La piattaforma tecnologica utilizzata dal servizio Virtual Pay garantisce la business continuity, rispetta i più recenti standard di sicurezza e le normative vigenti ed è certificata PCI-DSS. Centri Autorizzanti Società che autorizzano il pagamento della carta di credito appartenente ad un determinato circuito, tipicamente la società che ha emesso la carta di credito. 5 L’OPERAZIONE DI PAGAMENTO Facendo riferimento alla Figura sottoriportata, vengono di seguito elencati i diversi passi che caratterizzano una operazione di autorizzazione: ORDINA 1 Il cliente visita il sito dell'Esercente e sceglie gli articoli che desidera acquistare. 4 Viene verificata l'identità del server tramite protocollo SSL 2 Il Merchant presenta al Buyer l’elenco degli articoli selezionati, e richiede la conferma per la procedura di pagamento 5 Il cliente invia i dati della propria carta per il pagamento tramite protocollo SSL per tutelare la riservatezza 3 Si inviano i dati relativi all'ordine al servizio Virtual Pay 6 Se la verifica va a buon fine viene richiesta l'autorizzazione al pagamento 7 Virtual Pay prepara un riassunto dei dati relativi alla transazione comprensivo dai centri autorizzati e lo inserisce in una pagina Web che restituisce al browser; sono inoltre inviate due mail riepilogative al Merchant e Buyer. 6 L’OPERAZIONE DI CONTABILIZZAZIONE La fase di pagamento appena descritta ha lo scopo di richiedere ai centri autorizzanti la verifica della validità della carta presentata dall’acquirente e di decrementarne la disponibilità. A questa segue una seconda fase di contabilizzazione che Determina l’addebito sul conto del Buyer e il corrispondente accredito su quello del Merchant. Sono previste due modalità di contabilizzazione tra cui l’esercente dovrà scegliere alla stipula del contratto: 1. CONTABILIZZAZIONE AUTOMATICA Al termine della fase di autorizzazione la transazione sarà automaticamente considerata pronta per l’invio del movimento contabile alle compagnie, e sarà contabilizzata dal sistema al termine della giornata in cui è stata effettuata. Il Merchant ha comunque la facoltà di stornare la transazione entro la mezzanotte del giorno stesso prima che questa venga contabilizzata. La contabilizzazione automatica semplifica la gestione dei pagamenti a quei Merchant che possono effettuare subito l’addebito al cliente (ad esempio vendono servizi). 2. CONTABILIZZAZIONE MANUALE (TOTALE O PARZIALE) Da utilizzare per vendite/spedizione di beni materiali (es: beni che prevedono la verifica di magazzino) Le singole transazioni di pagamento effettuate dal Buyer devono essere confermate manualmente dal Merchant (tramite una opportuna funzionalità presente nell'applicazione Merchant Console web). Questa modalità soddisfa le esigenze dei Merchant che hanno un processo di vendita di durata variabile che termina con la spedizione di uno o più beni. Il Merchant ha a disposizione 10 giorni di calendario (compresa la data dell’operazione) per decidere se confermare o stornare le transazioni. Al termine dei 10 giorni, se il Merchant non avrà intrapreso alcuna di queste attività le transazioni vengono stornate automaticamente in quanto altrimenti rimarrebbe impegnata la disponibilità della carta per l’importo relativo alla transazione. Viene data inoltre al Merchant la possibilità di contabilizzare l’operazione per l’intero importo o solo per parte di esso. Non è possibile effettuare la contabilizzazione per un importo superiore a quanto autorizzato in precedenza. Si evidenzia 7 che l’operazione rimane comunque unica, quindi non sarà poi possibile in un secondo momento contabilizzare la parte rimanente. L’OPERAZIONE DI STORNO E’ possibile stornare una transazione già autorizzata dagli enti autorizzanti. L’operazione di storno può essere effettuata fino a 8 giorni di calendario dalla data delle transazione di pagamento. Qualora l’operazione di storno venga effettuata su di una transazione di pagamento ancora non contabilizzata (modalità “Contabilizzazione Manuale”) o su di una transazione di pagamento effettuata nello stesso giorno, l’operazione si annulla e non viene comunicata ai circuiti. Al contrario, se una transazione è già stata contabilizzata e l’operazione di storno viene effettuata nei giorni successivi, questo comporta un doppio movimento sia per l’esercente sia per il buyer, addebito (per l’esercente) e accredito (per il buyer). Una transazione stornata non potrà più essere ripristinata. MAIL DI CONFERMA PREVENTIVE VERIFICHE DAGLI ENTI DI CONVENZIONAMENTO Al termine di ogni operazione di pagamento, e indipendentemente dal suo esito, il servizio di pagamento invia al Merchant e al Buyer una mail di conferma dell’avvenuta transazione con i dati riassuntivi della stessa e l’esito. In fase di richiesta di convenzionamento per la negoziazione di carte di credito, la compagnia carte credito verifica i seguenti requisiti al fine di attivare il convenzionamento stesso: Sito Web E-Commerce del Merchant Accedibile via internet con navigazione disponibile, gestione del carrello compresa; Coerenza della merce in vendita rispetto alla categoria merceologica indicata nella contrattualistica. 8 PAGAMENTO CON MYBANK ATTORI COINVOLTI Merchant Esercente che effettua la vendita di beni o servizi attraverso un sito Internet, una APP o altri canali/strumenti integrati con il circuito MyBank Buyer Acquirente che decide di effettuare l’acquisto di un bene o servizio disponibile su un catalogo pubblicato da un Merchant nel proprio sito web e-commerce. Buyer Bank E’ la Banca che offre la stazione di internet banking al debitore (buyer) per il pagamento MyBank. Seller Bank E’ la Banca che offre al merchant la piattaforma per l’incasso dei pagamenti online tramite il circuito MyBank. Piattaforma tecnologica La piattaforma tecnologica che eroga il servizio è composta da un “Routing Service” che espone e riceve i dati relativi alla transazione e-commerce relativa all’ordine in oggetto, e da un Validation Server che interagisce con l’internet banking del cliente per generare il bonifico SCT (Sepa Credit Transfer) per il saldo dell’ordine. 9 L’OPERAZIONE DI PAGAMENTO Facendo riferimento alla Figura sottoriportata, vengono di seguito elencati i diversi passi che caratterizzano una operazione di autorizzazione: 1 2 3 Sul sito del merchant, il compratore seleziona il prodotto che desidera acquistare e sceglie di pagare tramite MyBank inserendo il nome della propria banca Il venditore accetta i dati e invia la richiesta di autorizzazione alla propria banca (Seller Bank) La Seller Bank invia la richiesta di autorizzazione alla Banca del Compratore (Buyer Bank) 4 5 6 Il cliente è ridirezionato alla pagina di login del proprio internet banking, e procede al pagamento del bonifico SCT confermando i dati già precompilati. La Banca del Compratore (Buyer Bank) verifica automaticamente ed in tempo reale la disponibilità di fondi necessari al pagamento sul conto corrente del Buyer. In caso positivo, la Banca predispone l’invio del bonifico irrevocabile SCT. La Buyer Bank invia una risposta di autorizzazione alla Seller Bank per confermare l’avvenuto pagamento e il merchant visualizza l'esito positivo dell'operazione. 7 Il merchant può predisporre la consegna della merce o l’erogazione del servizio oggetto della transazione. 8 Il giorno lavorativo successivo, il Seller riceverà sul proprio conto corrente, la somma incassata con il servizio MyBank. 10 L’OPERAZIONE DI CONTABILIZZAZIONE La fase di pagamento appena descritta ha lo scopo garantire l’ordine di un bonifico SCT MyBank, destinabile all’intera area Euro - SEPA, garantendo la sua esitazione entro i tempi standard di lavorazione di un bonifico SCT, ovvero l’accredito al beneficiario entro il giorno lavorativo successivo alla data di esecuzione. A garanzia della ricezione da parte dell’esercente della somma a lui destinata, tali disposizioni di pagamento sono state rese irrevocabili. Alla ricezione della conferma del pagamento quindi (step 8 dell’iter descritto nel paragrafo precedente), il beneficiario ha la garanzia che, il giorno lavorativo successivo, riceverà sul proprio conto corrente collegato, un bonifico SCT pari all’importo dell’ordine oggetto della transazione. L’OPERAZIONE DI STORNO L'esercente, in caso di mancato invio della merce o evasione dell’ordine già pagato dal cliente, ha la possibilità di richiedere alla sua banca lo storno del pagamento ricevuto. MAIL DI CONFERMA Al termine di ogni operazione di pagamento, e indipendentemente dal suo esito, il servizio di pagamento invia al Merchant e al Buyer una mail di conferma dell’avvenuta transazione con i dati riassuntivi della stessa e l’esito. 11 INTERFACCIA CON IL SISTEMA DI PAGAMENTO MODALITÀ DI INTERFACCIAMENTO L’interfacciamento tra il sito web E-Commerce del Merchant ed il servizio Virtual Pay avviene mediante una chiamata HTTP POST secondo le specifiche fornite da Phoenix Informatica Bancaria contenente i dati di competenza del Merchant utili alla procedura di pagamento (id del merchant, id ordine, importo, articoli ed altre opzioni). Il servizio consente inoltre di ottenere un ritorno verso il sito E-Commerce del Merchant (mediante invocazione di URL personalizzabili pubblicate sul sito del Merchant) in modo da consentire la sincronizzazione degli archivi in seguito all’avvenuto pagamento da parte del Buyer. La documentazione tecnica relativa ai parametri di interfacciamento e le modalità per eseguire i test delle implementazioni verrà fornita sia all’esercente sia alla Software House che cura il sito del Merchant successivamente alla stipula del contratto tra il Merchant e la Banca che fornisce il servizio. CONTROLLO DI INTEGRITÀ DEI DATI SCAMBIATI L'integrità e la provenienza dei dati scambiati tra il Merchant e il servizio di pagamento Virtual Pay sono garantiti da una firma apposta tramite l'utilizzo di una chiave privata. Questo approccio (di tipo “preventivo”) consente al sevizio di pagamento Virtual Pay di riconoscere i tentativi di frode scaricando il Merchant di tale responsabilità. È comunque consigliabile che anche il Merchant verifichi la congruenza tra i dati in suo possesso e quelli restituiti dal Servizio di pagamento (compresa la firma che li accompagna) così come è buona norma “congelare il carrello” (cioè rendere non più modificabile l’elenco degli articoli che costituiscono un certo ordine) prima di cedere il controllo al servizio di pagamento Virtual Pay. MULTILINGUA Il servizio di pagamento prevede la possibilità di utilizzare testi in diverse lingue: italiano, inglese, francese, tedesco e spagnolo. La scelta della lingua effettuata sul sito web e-commerce del merchant viene trasmessa nel momento del pagamento al servizio Virtual Pay. Da questa scelta dipende anche la lingua con cui vengono effettuate le successive comunicazioni via posta elettronica. 12 CONTROLLO E PERSONALIZZAZIONI DEL SISTEMA DI PAGAMENTO APPLICAZIONE MERCHANT CONSOLE WEB L’applicazione Merchant Console Web è l’area di lavoro personale riservata al Merchant che ha sottoscritto il contratto POS Virtuale (servizio Virtual Pay). L’applicazione fornisce al Merchant funzionalità di controllo, di personalizzazione ed autorizzative (nel caso operi in modalità “contabilità manuale”). PERSONALIZZAZIONE DELLE MAIL Il servizio Virtual Pay invia una mail di conferma al Buyer contente i dati della transazione ed un indicazione dell’esito della stessa. Il Merchant può personalizzare tale mail, caricando mediante Merchant Console un file di testo che funge da modello per le mail inviate (uno per ogni lingua proposta). I tipi di mail spediti dal servizio Virtual Pay sono: 1. Mail al Merchant per pagamento con carta di credito 2. Mail al Buyer per pagamento con carta di credito 3. Mail al Merchant per storno di un pagamento 4. Mail al Buyer per storno di un pagamento PERSONALIZZAZIONE DELLE PAGINE WEB Il servizio Virtual Pay permette al Merchant di inserire il proprio logo sotto forma di immagine in formato GIF e di personalizzare sia la pagina di inserimento dei dati carta che quella di esito. La personalizzazione avviene tramite l’uso di un foglio di stile che consente la definizione di sfondo, colore e font di ogni oggetto della pagina. La modifica dei files necessari alla personalizzazione deve essere effettuata utlilizzando l’applicazione Merchant Console Web. 13 Virtual Pay è un marchio registrato da Phoenix Informatica Bancaria S.p.A. Via Segantini n. 16/18 - 38122 Trento - P.I. 01761610227 - Tutti i diritti riservati