Credential-on-File Payments, kurz CoF – so werden Bezahlmethoden im E-Commerce genannt, bei denen die Kreditkartendaten der Kunden für spätere Transaktionen gespeichert werden.
Die großen Kreditkartenmarken Mastercard und Visa haben jetzt neue Richtlinien für CoF-Payments herausgegeben. Die wichtigsten Fragen zum Bezahlen mit gespeicherten Kartendaten und zu den neuen Vorgaben beantwortet Nexi Experte Dragan Nojic.
Was sind CoF-Zahlungen genau?
Eine CoF-Bezahlmethode, die die meisten kennen, ist das One-Click-Shopping: Der Kunde hinterlegt beim Erstkauf seine Kreditkartendaten im Onlineshop und kann dann bei zukünftigen Käufen mit nur einem Mausklick den Check-out-Prozess abschließen und die Ware bezahlen. Weil hier der Kunde die Zahlung auslöst, spricht man auch von consumer initiated transactions (CIT).
Darüber hinaus gibt es auch Online-Transaktionen, die allein durch den Händler ausgelöst werden, sogenannte merchant initiated transactions (MIT). Dazu gehört die Abwicklung von Abonnements (recurrings) oder Ratenzahlungen (installments): Einmal die Kartendaten hinterlegt, zieht der Händler den fälligen Betrag in regelmäßigen Abständen automatisch über die Kreditkarte des Kunden ein – dieser muss sich um nichts mehr kümmern. Ein Beispiel hierfür sind die Abos für Streaming-Dienste.
Auch Zahlungen, die in unregelmäßigen Intervallen durch den Händler ausgelöst werden, können auf diese Weise ganz einfach abgewickelt werden. Diese Bezahlungen nennt man Unscheduled Credential-on-File Payments (UCoF), was so viel bedeutet wie unregelmäßige Zahlungen mit gespeicherten Kartendaten. Darunter fällt beispielsweise das automatische Aufladen einer Mobiltelefonkarte mit einem bestimmten Betrag beim Unterschreiten eines festgelegten Guthabens. Ein weiteres Beispiel für eine UCof-Zahlung ist die Abrechnung für die Nutzung von Mietfahrrädern. Gemeinsam ist diesen Zahlungsbeispielen, dass sie für vereinbarte Leistungen allein durch den Händler und ohne Mitwirken des Kunden ausgelöst werden.
Warum sind neue Auflagen für CoF-Zahlungen notwendig?
Bislang gab es von Visa und Mastercard nur Richtlinien für die Abwicklung von Abonnements und Ratenzahlungen. Durch die Zunahme des digitalen Handels und die Entwicklung neuer Geschäftsmodelle werden zunehmend aber auch UCoF-Payments relevant. Zudem stellen die gesetzlichen Vorgaben der PSD2-Richtlinie neue Anforderungen an die Kundenauthentifizierung bei der Auslösung elektronischer Zahlungen. Deshalb haben die großen Kreditkartenorganisationen im Rahmen der neuen Vorgaben auch Parameter für UCoF-Payments festgelegt. Ab jetzt müssen UCoF-Zahlungen eindeutig als solche gekennzeichnet werden. So weiß der Kartenherausgeber, dass die Zahlung allein durch den Händler und ohne die aktive Teilnahme des Karteninhabers ausgelöst wurde.
Wann tritt die neue Regelung in Kraft?
Die neuen und für Händler verpflichtenden Vorgaben gelten für Visa ab dem 30. April 2018 und für Mastercard ab dem 12. Juni 2018.
Was müssen Onlinehändler konkret tun?
Alle Onlinehändler, die Folgebuchungen in Form von CoF-Zahlungen auslösen und dazu die Kartendaten ihrer Kunden speichern, müssen die ausdrückliche Zustimmung des Karteninhabers einholen. Diese Zustimmung muss die folgenden Elemente enthalten:
- Die Bestätigung der gespeicherten Kartennummer (PCI-Konform, z.B. durch Angabe der letzten vier Stellen der Kartennummer)
- Der Zweck, zu dem die Kartendaten genutzt werden sowie die Angabe über die Laufzeit der Vereinbarung
- Die Bestätigung des Händlers, dass dem Karteninhaber alle Änderungen auf einem vereinbarten Kommunikationsweg mitgeteilt werden
Selbstverständlich darf die Speicherung der Kartendaten nur in sicherer, PCI-zertifizierter Umgebung erfolgen und die Zahlungen ausschließlich zu den in der Zustimmungserklärung genannten Zwecken ausgelöst werden. Wichtig zu wissen: Alle Händler, die schon heute CoF-Zahlungen bei bereits bestehenden Kunden auslösen, müssen keine nachträgliche Bestätigung des Karteninhabers einholen. Hier betrifft die Regelung nur die Handhabung von Neukunden.
Des Weiteren müssen Händler dafür sorgen, dass CoF-Payments auch auf technischer Seite reibungslos abgewickelt werden können. Bei den meisten Webshops ist der Payment Service Provider (PSP) als Host der Bezahlseite dafür verantwortlich – er sollte frühzeitig darüber informiert werden, wenn CoF-Payments im Shop angeboten werden sollen. Wir von Nexi kümmern uns darum, dass als CoF gekennzeichnete Zahlungen reibungslos und sicher abgewickelt werden – Kunden, die unsere neue Multichannel-Plattform Payengine nutzen, werden deshalb in absehbarer Zeit von uns über technische Anpassungen informiert.
Onlinehändler, die eine eigene Lösung nutzen, sollten sich mit den verantwortlichen Ansprechpartnern in Verbindung setzen, um die notwendigen Einstellungen vorzunehmen. Für weitere Fragen zu diesem Thema oder auch bei anderen Anliegen stehen wir Ihnen gerne auch telefonisch zur Verfügung. Nehmen Sie zu uns Kontakt auf. Wir freuen uns auf Sie!