Scheda informativa del servizio POS Virtuale - BCC

Servizio POS Virtuale
Scheda Informativa
Virtual Pay è il servizio POS Virtuale semplice e sicuro
che permette ai siti web di commercio elettronico
(e-commerce) il pagamento tramite carta di credito o altri
metodi (es: MyBank).
Lo scopo del servizio è quello di offrire ai siti di
e-commerce un “POS Virtuale” che, analogamente con
i POS fisici a disposizione dei punti vendita tradizionali,
li renda in grado di accettare pagamenti a distanza (es:
tramite carta di credito) attraverso un sistema semplice,
affidabile e sicuro. Questo breve documento ha lo scopo
di presentare le caratteristiche generali del servizio
Virtual Pay e fornire agli esercenti tutte le informazioni
necessarie per comprenderne il funzionamento ed
evidenziarne le principali funzionalità.
2
1. FACILITÀ D’USO
Per l'Esercente (Merchant)
Il Merchant può attivare il servizio di pagamento semplicemente
mediante l’invio di alcuni dati ad un URL prefissata.
Per l'Acquirente (Buyer)
Il Buyer può utilizzare un qualunque browser Internet senza
bisogno di installare software aggiuntivo sul proprio PC.
2. SEPARAZIONE
DEI RUOLI
Le procedure di accettazione dell’ordine e di pagamento sono
nettamente separate; la prima coinvolge acquirente ed esercente,
la seconda acquirente e banca. Ciascuno degli attori coinvolti
vede solo i dati che lo riguardano, in particolare il Merchant non
vede mai i dati relativi alle carte di credito che vengono gestite
esclusivamente dal servizio di pagamento Virtual Pay.
3. SICUREZZA
Il successo del commercio elettronico è strettamente collegato
alla percezione di sicurezza del consumatore finale.
Per rispondere adeguatamente a queste preoccupazioni un
sistema di pagamento per considerarsi sicuro deve garantire:
Riservatezza
I dati sensibili, devono essere cifrati per impedire agli estranei di
impossessarsene.
Integrità
I dati scambiati tra le parti non devono essere modificati o alterati.
Autenticazione
Le parti devono riconoscersi; l'Esercente deve sapere che chi
acquista è davvero il legittimo titolare della carta di credito e
viceversa.
La riservatezza dei dati è garantita dall'utilizzo di una connessione
criptata; la presenza del certificato di crittografia è verificabile
dall’utente visualizzando il simbolo del lucchetto sulla parte
destra del monitor; cliccando su tale simbolo si risale a chi ha
rilasciato il certificato. Una cifra di controllo calcolata sulla base
di una chiave privata garantisce inoltre l'integrità dei dati e
l'autenticazione dell'esercente.
3
AUTENTICAZIONE
3D SECURE
L’autenticazione è un processo che è possibile attivare soltanto
mediante uno specifico protocollo. Infatti questo processo non
va confuso con l’utilizzo dei codici di controllo CVV2 CVC2 che
sono i codici che si trovano sul retro delle carte Visa e MasterCard.
L’utilizzo di questi codici consentono di verificare soltanto che
l’acquirente è in possesso della carta e non di autenticare il
titolare.
Per questo motivo Visa e MasterCard hanno dato vita al 3D
Secure, il protocollo che consente di gestire l’autenticazione.
I marchi Verified by Visa, Secure Code e Safekey identificano
il prodotto rispettivamente per Visa, MasterCard e American
Express.
LATO TITOLARE DELLA CARTA
Il 3D Secure è un sistema di protezione per i tuoi acquisti
online studiato dai Circuiti Internazionali Visa (Verified by Visa),
MasterCard (SecureCode MasterCard) e American Express
(SafeKey), che permette di prevenire eventuali utilizzi illeciti della
carta e di evitare addebiti indesiderati. Il protocollo prevede
di inserire un codice di sicurezza personale al momento del
pagamento.
LATO ESERCENTE
Sulla base delle regole stabilite dai circuiti internazionali Visa
MasterCard e American Express l’esercente che aderisce al
protocollo 3D Secure è sollevato dai rischi per uso fraudolento
delle carte di credito.
Se il titolare dovesse disconoscere un pagamento effettuato su
Internet, all’Esercente è garantito il pagamento* trasferendo la
responsabilità della transazione alla società emittente la carta
di credito. Si parla in questo caso di liability shift per identificare
il processo che trasferisce le responsabilità.
* Salvo casi particolari definiti dalla Compagnia Carta
Credito con la quale l’esercente è convenzionato
4
PAGAMENTO CON
CARTE DI CREDITO
ATTORI
COINVOLTI
Merchant
Esercente che effettua la vendita di beni o servizi attraverso un
sito Internet.
Buyer
Acquirente che decide di effettuare l’acquisto di un bene o
servizio disponibile su un catalogo pubblicato da un Merchant
nel proprio sito web e-commerce.
Piattaforma tecnologica
La piattaforma tecnologica utilizzata dal servizio Virtual Pay
garantisce la business continuity, rispetta i più recenti standard di
sicurezza e le normative vigenti ed è certificata PCI-DSS.
Centri Autorizzanti
Società che autorizzano il pagamento della carta di credito
appartenente ad un determinato circuito, tipicamente la società
che ha emesso la carta di credito.
5
L’OPERAZIONE DI PAGAMENTO
Facendo riferimento alla Figura sottoriportata, vengono di seguito elencati i
diversi passi che caratterizzano una operazione di autorizzazione:
ORDINA
1
Il cliente visita il sito dell'Esercente
e sceglie gli articoli che desidera
acquistare.
4
Viene verificata l'identità del server
tramite protocollo SSL
2
Il Merchant presenta al Buyer
l’elenco degli articoli selezionati,
e richiede la conferma per la
procedura di pagamento
5
Il cliente invia i dati della propria
carta per il pagamento tramite
protocollo SSL per tutelare la
riservatezza
3
Si inviano i dati relativi all'ordine al
servizio
Virtual Pay
6
Se la verifica va a buon fine
viene richiesta l'autorizzazione al
pagamento
7
Virtual Pay prepara un riassunto
dei dati relativi alla transazione
comprensivo dai centri autorizzati e
lo inserisce in una pagina Web che
restituisce al browser; sono inoltre
inviate due mail riepilogative al
Merchant e Buyer.
6
L’OPERAZIONE DI
CONTABILIZZAZIONE
La fase di pagamento appena descritta ha lo scopo di richiedere
ai centri autorizzanti la verifica della validità della carta presentata
dall’acquirente e di decrementarne la disponibilità.
A questa segue una seconda fase di contabilizzazione che
Determina l’addebito sul conto del Buyer e il corrispondente
accredito su quello del Merchant.
Sono previste due modalità di contabilizzazione tra cui l’esercente
dovrà scegliere alla stipula del contratto:
1. CONTABILIZZAZIONE AUTOMATICA
Al termine della fase di autorizzazione la transazione sarà
automaticamente considerata pronta per l’invio del movimento
contabile alle compagnie, e sarà contabilizzata dal sistema
al termine della giornata in cui è stata effettuata. Il Merchant
ha comunque la facoltà di stornare la transazione entro
la mezzanotte del giorno stesso prima che questa venga
contabilizzata. La contabilizzazione automatica semplifica
la gestione dei pagamenti a quei Merchant che possono
effettuare subito l’addebito al cliente (ad esempio vendono
servizi).
2. CONTABILIZZAZIONE MANUALE
(TOTALE O PARZIALE)
Da utilizzare per vendite/spedizione di beni materiali (es: beni
che prevedono la verifica di magazzino)
Le singole transazioni di pagamento effettuate dal Buyer
devono essere confermate manualmente dal Merchant (tramite
una opportuna funzionalità presente nell'applicazione Merchant
Console web).
Questa modalità soddisfa le esigenze dei Merchant che hanno
un processo di vendita di durata variabile che termina con la
spedizione di uno o più beni.
Il Merchant ha a disposizione 10 giorni di calendario (compresa
la data dell’operazione) per decidere se confermare o stornare
le transazioni. Al termine dei 10 giorni, se il Merchant non avrà
intrapreso alcuna di queste attività le transazioni vengono
stornate automaticamente in quanto altrimenti rimarrebbe
impegnata la disponibilità della carta per l’importo relativo alla
transazione.
Viene data inoltre al Merchant la possibilità di contabilizzare
l’operazione per l’intero importo o solo per parte di esso.
Non è possibile effettuare la contabilizzazione per un importo
superiore a quanto autorizzato in precedenza. Si evidenzia
7
che l’operazione rimane comunque unica, quindi non sarà
poi possibile in un secondo momento contabilizzare la parte
rimanente.
L’OPERAZIONE
DI STORNO
E’ possibile stornare una transazione già autorizzata dagli enti
autorizzanti. L’operazione di storno può essere effettuata fino a
8 giorni di calendario dalla data delle transazione di pagamento.
Qualora l’operazione di storno venga effettuata su di una
transazione di pagamento ancora non contabilizzata (modalità
“Contabilizzazione Manuale”) o su di una transazione di
pagamento effettuata nello stesso giorno, l’operazione si annulla
e non viene comunicata ai circuiti. Al contrario, se una transazione
è già stata contabilizzata e l’operazione di storno viene effettuata
nei giorni successivi, questo comporta un doppio movimento
sia per l’esercente sia per il buyer, addebito (per l’esercente) e
accredito (per il buyer).
Una transazione stornata non potrà più essere ripristinata.
MAIL DI
CONFERMA
PREVENTIVE
VERIFICHE DAGLI
ENTI DI
CONVENZIONAMENTO
Al termine di ogni operazione di pagamento, e indipendentemente
dal suo esito, il servizio di pagamento invia al Merchant e al
Buyer una mail di conferma dell’avvenuta transazione con i dati
riassuntivi della stessa e l’esito.
In fase di richiesta di convenzionamento per la negoziazione di
carte di credito, la compagnia carte credito verifica i seguenti
requisiti al fine di attivare il convenzionamento stesso:
Sito Web E-Commerce del Merchant Accedibile via internet
con navigazione disponibile, gestione del carrello compresa;
Coerenza della merce in vendita rispetto alla categoria
merceologica indicata nella contrattualistica.
8
PAGAMENTO CON
MYBANK
ATTORI
COINVOLTI
Merchant
Esercente che effettua la vendita di beni o servizi attraverso
un sito Internet, una APP o altri canali/strumenti integrati con il
circuito MyBank
Buyer
Acquirente che decide di effettuare l’acquisto di un bene o
servizio disponibile su un catalogo pubblicato da un Merchant
nel proprio sito web e-commerce.
Buyer Bank
E’ la Banca che offre la stazione di internet banking al debitore
(buyer) per il pagamento MyBank.
Seller Bank
E’ la Banca che offre al merchant la piattaforma per l’incasso dei
pagamenti online tramite il circuito MyBank.
Piattaforma tecnologica
La piattaforma tecnologica che eroga il servizio è composta
da un “Routing Service” che espone e riceve i dati relativi alla
transazione e-commerce relativa all’ordine in oggetto, e da un
Validation Server che interagisce con l’internet banking del
cliente per generare il bonifico SCT (Sepa Credit Transfer) per il
saldo dell’ordine.
9
L’OPERAZIONE DI PAGAMENTO
Facendo riferimento alla Figura sottoriportata, vengono di seguito elencati i
diversi passi che caratterizzano una operazione di autorizzazione:
1
2
3
Sul sito del merchant, il compratore
seleziona il prodotto che desidera
acquistare e sceglie di pagare tramite
MyBank inserendo il nome della propria
banca
Il venditore accetta i dati e invia la
richiesta di autorizzazione alla propria
banca (Seller Bank)
La Seller Bank invia la richiesta
di autorizzazione alla Banca del
Compratore (Buyer Bank)
4
5
6
Il cliente è ridirezionato alla pagina di
login del proprio internet banking, e
procede al pagamento del bonifico SCT
confermando i dati già precompilati.
La Banca del Compratore (Buyer Bank)
verifica automaticamente ed in tempo
reale la disponibilità di fondi necessari al
pagamento sul conto corrente del Buyer.
In caso positivo, la Banca predispone
l’invio del bonifico irrevocabile SCT.
La Buyer Bank invia una risposta di
autorizzazione alla Seller Bank per
confermare l’avvenuto pagamento e
il merchant visualizza l'esito positivo
dell'operazione.
7
Il merchant può predisporre la consegna
della merce o l’erogazione del servizio
oggetto della transazione.
8
Il giorno lavorativo successivo, il Seller
riceverà sul proprio conto corrente, la
somma incassata con il servizio MyBank.
10
L’OPERAZIONE DI
CONTABILIZZAZIONE
La fase di pagamento appena descritta ha lo scopo garantire
l’ordine di un bonifico SCT MyBank, destinabile all’intera area Euro
- SEPA, garantendo la sua esitazione entro i tempi standard di
lavorazione di un bonifico SCT, ovvero l’accredito al beneficiario
entro il giorno lavorativo successivo alla data di esecuzione.
A garanzia della ricezione da parte dell’esercente della somma
a lui destinata, tali disposizioni di pagamento sono state rese
irrevocabili. Alla ricezione della conferma del pagamento quindi
(step 8 dell’iter descritto nel paragrafo precedente), il beneficiario
ha la garanzia che, il giorno lavorativo successivo, riceverà sul
proprio conto corrente collegato, un bonifico SCT pari all’importo
dell’ordine oggetto della transazione.
L’OPERAZIONE DI STORNO
L'esercente, in caso di mancato invio della merce o evasione
dell’ordine già pagato dal cliente, ha la possibilità di richiedere
alla sua banca lo storno del pagamento ricevuto.
MAIL DI
CONFERMA
Al termine di ogni operazione di pagamento, e indipendentemente
dal suo esito, il servizio di pagamento invia al Merchant e al
Buyer una mail di conferma dell’avvenuta transazione con i dati
riassuntivi della stessa e l’esito.
11
INTERFACCIA CON IL SISTEMA DI
PAGAMENTO
MODALITÀ DI
INTERFACCIAMENTO
L’interfacciamento tra il sito web E-Commerce del Merchant ed il
servizio Virtual Pay avviene mediante una chiamata HTTP POST
secondo le specifiche fornite da Phoenix Informatica Bancaria
contenente i dati di competenza del Merchant utili alla procedura
di pagamento (id del merchant, id ordine, importo, articoli ed altre
opzioni).
Il servizio consente inoltre di ottenere un ritorno verso il sito
E-Commerce del Merchant (mediante invocazione di URL
personalizzabili pubblicate sul sito del Merchant) in modo da
consentire la sincronizzazione degli archivi in seguito all’avvenuto
pagamento da parte del Buyer.
La
documentazione
tecnica relativa ai parametri di
interfacciamento e le modalità per eseguire i test delle
implementazioni verrà fornita sia all’esercente sia alla Software
House che cura il sito del Merchant successivamente alla stipula
del contratto tra il Merchant e la Banca che fornisce il servizio.
CONTROLLO DI
INTEGRITÀ DEI
DATI SCAMBIATI
L'integrità e la provenienza dei dati scambiati tra il Merchant e
il servizio di pagamento Virtual Pay sono garantiti da una firma
apposta tramite l'utilizzo di una chiave privata.
Questo approccio (di tipo “preventivo”) consente al sevizio
di pagamento Virtual Pay di riconoscere i tentativi di frode
scaricando il Merchant di tale responsabilità.
È comunque consigliabile che anche il Merchant verifichi la
congruenza tra i dati in suo possesso e quelli restituiti dal
Servizio di pagamento (compresa la firma che li accompagna)
così come è buona norma “congelare il carrello” (cioè rendere
non più modificabile l’elenco degli articoli che costituiscono un
certo ordine) prima di cedere il controllo al servizio di pagamento
Virtual Pay.
MULTILINGUA
Il servizio di pagamento prevede la possibilità di utilizzare testi
in diverse lingue: italiano, inglese, francese, tedesco e spagnolo.
La scelta della lingua effettuata sul sito web e-commerce del
merchant viene trasmessa nel momento del pagamento al
servizio Virtual Pay.
Da questa scelta dipende anche la lingua con cui vengono
effettuate le successive comunicazioni via posta elettronica.
12
CONTROLLO E PERSONALIZZAZIONI
DEL SISTEMA DI PAGAMENTO
APPLICAZIONE
MERCHANT
CONSOLE WEB
L’applicazione Merchant Console Web è l’area di lavoro personale
riservata al Merchant che ha sottoscritto il contratto POS Virtuale
(servizio Virtual Pay). L’applicazione fornisce al Merchant
funzionalità di controllo, di personalizzazione ed autorizzative
(nel caso operi in modalità “contabilità manuale”).
PERSONALIZZAZIONE
DELLE MAIL
Il servizio Virtual Pay invia una mail di conferma al Buyer contente
i dati della transazione ed un indicazione dell’esito della stessa.
Il Merchant può personalizzare tale mail, caricando mediante
Merchant Console un file di testo che funge da modello per le
mail inviate (uno per ogni lingua proposta). I tipi di mail spediti dal
servizio Virtual Pay sono:
1. Mail al Merchant per pagamento con carta di credito
2. Mail al Buyer per pagamento con carta di credito
3. Mail al Merchant per storno di un pagamento
4. Mail al Buyer per storno di un pagamento
PERSONALIZZAZIONE
DELLE PAGINE WEB
Il servizio Virtual Pay permette al Merchant di inserire il proprio
logo sotto forma di immagine in formato GIF e di personalizzare
sia la pagina di inserimento dei dati carta che quella di esito. La
personalizzazione avviene tramite l’uso di un foglio di stile che
consente la definizione di sfondo, colore e font di ogni oggetto
della pagina.
La modifica dei files necessari alla personalizzazione deve essere
effettuata utlilizzando l’applicazione Merchant Console Web.
13
Virtual Pay è un marchio registrato da Phoenix Informatica Bancaria S.p.A.
Via Segantini n. 16/18 - 38122 Trento - P.I. 01761610227 - Tutti i diritti riservati