Att tänka på för att undvika bedrägerier och reklamationer

Att tänka på för att undvika
bedrägerier och reklamationer
Säkerhetslösningar för kortköp via Internet och Post- och telefonorder
I och med att Chip & PIN (EMV) terminalerna
kommit ut på marknaden ser vi en positiv trend med
minskat antal bedrägliga köp.
Säkerhetslösningar ser olika ut beroende på om
kunden är närvarande eller inte vid köptillfället.
Eftersom mottagaren av betalningen inte har kortkunden framför sig vid Internet eller Post- och
telefonordern minskar möjligheten att verifiera att
kunden är den han/hon utger sig för att vara. Därför
krävs andra typer av säkerhetslösningar för att
begränsa risken för bedrägliga köp.
1Internetförsäljning
• Se till att ha 3D Secure aktiverat hos er servicebyrå/
betalväxel. Bedrägerierna på nätet har minskat efter införandet av 3D Secure (Verified by Visa och MasterCard SecureCode).
• Om svaret blir nej vid identifieringen av kortinne-
havaren vid 3D Secure kontroll – bör man överväga att inte genomföra transaktionen. Rådgör med din servicebyrå om parametersättningen
• Grundkrav är att alltid begära information om kortets säkerhetskod (de 3 sista siffrorna på baksidan av kortet) i samband med auktorisation. Om nej, genomför inte köp.
2Post- och telefonorderförsäljning
Det finns olika parametrar i riskbedömningen:
• Kontrollera att leverans sker till köparens bostads-
adress
• Kontrollera att kortet är utgivet i samma land som leverans sker till
• Verifiera kortets säkerhetskod (De 3 sista siffrorna på baksidan av kortet) i samband med auktorisation. Om nej, genomför inte köp.
• Genomför aldrig köp om inte korrekt auktorisation har genomförts. Upprepade nekade auktorisations-
försök på ett kortnummer som föregår en positiv auktorisation kan medföra att en beviljad
auktorisation inte är giltig.
• Om möjligt, skicka kunden en länk så att ordern genomförs som ett Internetköp med 3D Secure. På så sätt slipper man hantering av kortinformation och medföljande PCI krav.
3Se upp för bedragare
• Gör aldrig återbetalningar till kundens konto eller på annat sätt än till kundens kort som användes vid köpet
• Använd det bedrägeribevakningssystem som servicebyrån/betalväxeln erbjuder er eller köp tjänsten av en tredje part.
• Stäm av inlösta buntar för att se om ni hittar
onormalt köpbeteende t ex många köp på samma kort, onormalt höga belopp, leveransadress i annat land eller återkommande leveransadress men mot olika kort.
• Upprätta en policy och åtgärdsplan för maxbelopp för köp och antal köp med samma kort eller antal leveranser till en och samma adress.
• Om något verkar misstänkt, ring upp kunden och ställ frågor om t.ex. vilken bank som har givit ut kortet eller skicka brev till kortinnehavarens adress. Tvekar kunden runt personliga frågor såsom stavning på sitt namn, adress?
• Kontrollera adressen i telefonkatalogen om du är tveksam.
• Upprätta register över beställarnas tidigare köp, leveransadresser och över leveransadresser som ni tidigare har fått reklamationer på.
• Se upp med leveranser till boxadresser, företags-
adresser, sjukhus och fängelser.
• Fundera över om det är rimligt att en kund från ett annat land köper denna vara i Sverige.
• Använd sunt förnuft. Om något verkar vara för bra för att vara sant, så är det oftast det
Möjliga högriskindikatorer är:
• Kunder som handlar hos er för första gången
• Högre transaktionsbelopp eller fler köp än normalt
• Kunden tvekar över personliga detaljer (se ovan)
• Kunden vill ha snabb leverans
• Kunden beställer slumpartat, bryr sig inte om färg, om en vara är slut eller beställer en vara av varje sort
• Kunden anger olika adresser för leverans och hemadress
• Kunden betalar med flera kort
• Leveransadress utomlands
>>>
Om en eller fler av dessa indikatorer förekommer vid
en beställning kan det innebära en ökad risk.
med auktorisation och vid inskickande av insamlade
transaktioner tillsammans med AVV/CAVV.
4Att tänka på när du skapar en webbsida
• Att lagar och förordningar runt distanshandel och försäljning via Internet följs.
• Utforma webb-shopen så att kundklagomål
undviks.
• Det måste framgå på webbplatsen hur kunderna kan kontakta er.
• Det ska även framgå att ni har 3D Secure,
Verified by Visa och MasterCard SecureCode.
• Kortinnehavaren ska godkänna villkoren i samband med att köpet genomförs. Det räcker inte att kunden klickar i en ruta utan att villkoren visas på skärmen. Villkoren ska visas på skärmen och därefter ska kunden kunna kryssa i och godkänna dessa.
Spara eventuell postordertalong, fax, e-post från
kunden och underlag som styrker leverans. Går det att
säkerställa att varan är levererad? Vilka bevis finns?
5Samla in följande information i samband med att köpet genomförs
Säkerställ att ni tillsammans med er servicebyrå
samlar in och skickar dessa uppgifter till den
kortutgivande banken för godkännande:
• Kortnummer
• Kortets giltighetstid
• Varumärke (Visa, MC)
• Kortinnehavarens namn och adress, telefonnummer och e-post
• Adressverifikationens värde (AVV) eller kortinne-
havarens identifikationsvärde (CAVV). Säkerhets-
kodens CVV2/CVC2) svarskod.
• Leveransadress
• Totalt köpbelopp
• Valuta som köpet genomförs i
• Köpdag
• Transaktionens referensnummer
• Köparens namn (om annan än kortinnehavaren)
• Vilka varor eller tjänster som omfattas av
korttransaktionen
• Pris för respektive vara eller tjänst
• Moms
• Eventuella avgifter
• Kortinnehavarens IP-adress
• Ert namn och er adress
• Auktorisationsdag och auktorisationskod
• ECI värde (Electronic Commerce Indicator)
– detta värde ska både skickas med i samband
6Kundkvittot ska innehålla följande information:
• Er webbadress och fysiska adress
• Ert namn och organisationsnummer
• Ert telefonnummer
• Kortets giltighetstid
• Kortinnehavarens namn
• Totalt köpbelopp
• I vilken valuta köpet genomfördes
• Köpdag
• Transaktionens referensnummer
• Köparens namn
• Auktorisationskod
• Adressverifikationens värde (AVV) eller kortinne-
havarens identifikationsvärde (CAVV). Säkerhets-
kodens CVV2/CVC2) svarskod.
• Att detta är ett kortköp
• Pris för respektive vara eller tjänst
• Om några avgifter tas ut
• Moms
7Hur kan ni undvika kortreklamationer?
• Skicka e-post till kunden för att bekräfta köp före leverans.
• Var tydlig med eventuella avgifter t.ex. tull.
• Leverera beställda varor eller tjänster i tid.
• Kontakta kunden vid eventuella förseningar.
• Uppge kontaktinformation så att kunden enkelt kan komma i kontakt med er.
• Genomför returer snabbt.
• Svara snabbt och med korrekt information på en notaförfrågan.
• Kommunicera er reklamation/returpolicy på hemsidan.
• Hantera reklamationer och kundklagomål snabbt.
• Skicka in era transaktioner i tid efter köptillfället.
8Om ni får en reklamation via kort
Skicka in uppgifterna som specificerats ovan under
punkt 4 och 5 så fort som möjligt till Kortservice,
senast inom 5 dagar. Om ni inte lämnar in korrekt
information eller efter att tidsgränsen passerat har
8.1 Fakta reklamationer (chargebacker)
• Nästan alla korttransaktioner accepteras utan problem: mindre än en reklamation skickas per 1000 transaktioner (2011).
• En kortutgivare har rätt att reklamera en kort transaktion för ett visst antal specifika situationer. Dessa är strikt regelstyrda av Visa och MasterCard.
• Vanligaste orsaken för reklamationer 2010 var:
-Ej godkänd auktorisation
-Avslutad abonnemangstjänst (återkommande transaktioner/recurring transactions)
-Dubbeldebiteringar
-Köp på spärrade kort
-Vara eller tjänst ej utförd
-Bedrägliga köp
9Säker kortmiljö
Det är mycket viktigt att ni och er servicebyrå förstår
och följer PCI DSS (Payment Card Industry Data
Security Standard) kraven för att ha en miljö där
kunder kan handla säkert. Nästan alla intrångsärenden hade en gemensam nämnare och det är
systemintrång t.ex. via installerad programvara
eller genom bedrägliga transaktioner.
Vi uppmanar er att löpande se över nedanstående
checklista för att förhindra de vanligaste intrångsvägarna för bedragare att komma åt kortdata.
• Installera brandväggar
• Installera antivirusprogram
• Begränsa de anställdas Internet och systemåtkomst
• Ta bort ”remote access” (fjärråtkomst) för betalsystemet
• Begränsa nätverksstorleken för t.ex. kundreskontran
• Välj ett komplicerat lösenord till era system
• Ha logghistoriken påslagen
• Använd stark kryptering vid trådlöst nätverk och tillåt ej tillgång till betalsystemet via trådlöst nätverk
9.1 Vad kan konsekvensen bli om ni blir utsatta för stöld av kortdata?
1. Skadat varumärke och att kunderna får minskat förtroende för er.
2. Det är viktigt att kortdata lagras enligt gällande PCI DSS krav då kortdatat, vid ett intrång kan komma att användas till att skapa förfalskade kort eller användas vid Internet handel.
3. Ökad risk för kortinnehavares reklamationer
som kan komma att debiteras er.
4. Böter och avgifter från Visa och/eller MC eller Nordea.
5. Negativ publicitet i media.
Nordea Bank AB (publ) Marketing maj 2012 (479600892)
kortinnehavaren rätt till reklamationstransaktionen
och ni blir återbetalningsskyldiga. Ni behöver styrka
att köpet genomfördes av rätt person samt att varan är
levererad.