Als Teil des „Stored Credential Transaction Framework“ hat Visa neue Anforderungen für Händler und Zahlungsdienstleister festgelegt. Die Bestimmungen gelten für alle Händler, die gespeicherte Visa-Kartendaten (sog. „stored credentials“) verwenden, um Transaktionen zu initiieren. Bei diesen Transaktionen kann es sich um durch den Händler initiierte Transaktionen handeln, etwa im Fall von Abonnements oder Ratenzahlungen. Allerdings gibt es auch Fälle, in denen Kartendetails für die zukünftigen Kartendaten bei durch den Karteninhaber initiierten Transaktionen gespeichert werden (One-Click-Checkout).

In Zukunft müssen Händler, die es Karteninhabern ermöglichen, ihre Visa-Kartendetails für die einleitende und spätere Verwendung zu speichern, folgende Anforderungen erfüllen:

  • Einholung der Genehmigung des Karteninhabers für die einleitende Speicherung seiner Informationen. (Geschäftliche Anforderungen)
  • Verwendung einschlägiger Indikatoren zur Kennzeichnung von Transaktionen, für die gespeicherte Zahlungsinformationen (Token) verwendet werden. (Technische Anforderungen)


Ausführliche Informationen zu den geänderten Anforderungen im Einklang mit den neuen Visa-Bestimmungen finden Sie in den folgenden Abschnitten:

  • Einführung
  • Was sind gespeicherte Kartendaten?
  • Beispiele für Transaktionen mit gespeicherten Kartendaten
  • Geschäftliche Anforderungen – Offenlegung und Einverständnis des Karteninhabers
  • Technische Anforderungen
  • Häufig gestellte Fragen


Einführung

Im Zuge der Entwicklung des Zahlungssystems sind die Fälle, in denen eine Transaktion mit gespeicherten Kartendaten unter Zustimmung eines Karteninhabers für die künftige Verwendung initiiert wird, erheblich angestiegen. Die Zunahme des digitalen Handels in Kombination mit dem Aufkommen neuer Geschäftsmodelle hat zu einer steigenden Anzahl von Transaktionen geführt, bei denen ein Händler bzw. sein Zahlungsdienstleister Zahlungsdaten von Karteninhabern (d. h. Visa-Kartendetails) verwendet, die zuvor für künftige Käufe gespeichert wurden.

Die Erkennung von Transaktionen mit gespeicherten Kartendaten ermöglicht eine deutlich höhere Einsicht in das Transaktionsrisiko, was für eine stabile Abwicklung sorgt und so eine differenzierte Behandlung ermöglicht.

Visa hat Werte für Autorisierungsdaten festgelegt, die dazu beitragen sollen, die einleitende Speicherung und Verwendung von gespeicherten Kartendaten zu erkennen und so eine differenzierte Bearbeitung zu ermöglichen. 

Visa verbessert derzeit seine Vorschriften und Verarbeitungsanforderungen, um ein umfassendes Spektrum von Szenarien anzugehen, in denen Zahlungsdaten bei einem Händler gespeichert werden.

Vorteile der Erkennung von Transaktionen mit gespeicherten Kartendaten: Die spezifische Erkennung von Transaktionen mit gespeicherten Kartendaten ermöglicht eine differenzierte Behandlung im Rahmen des Vorgangs der Autorisierungsgenehmigung. Dies sorgt für:

  • bessere Einschätzung des Transaktionsrisikos für Aussteller
  • höhere Anzahl von Autorisierungsgenehmigungen und abgeschlossenen Verkäufen
  • weniger Kundenbeschwerden und verbesserte Benutzerfreundlichkeit für den Karteninhaber

Was sind gespeicherte Kartendaten? +

Bei gespeicherten Kartendaten handelt es sich um Daten (wie unter anderem eine Kontonummer oder ein Zahlungstoken), die bei einem Händler oder seinen Dienstleistern (einschließlich Zahlungsdienstleistern oder Acquirern) gespeichert sind, um künftige Käufe für einen Karteninhaber zu verarbeiten.

Zahlungsdaten, die Händler von Dritten erhalten, die nicht bei einem Händler bzw. seinen Dienstleistern gespeichert werden, gelten nicht als gespeicherte Kartendaten. So werden beispielsweise durch einen Händler bei einem Kauf von Visa Checkout oder MasterPass empfangene Zahlungsdaten, die von diesem Händler nicht gespeichert werden, nicht als gespeicherte Kartendaten betrachtet.

Kartendaten gelten auch dann nicht als gespeicherte Kartendaten, wenn der Händler oder sein Dienstleister die Kartendaten speichert, um eine bestimmte Transaktion oder einen bestimmten Kauf für einen Karteninhaber abzuschließen (einschließlich mehrerer Autorisierungen, die sich auf die betreffende Transaktion beziehen).

Wenn ein Karteninhaber einem Hotel zum Beispiel eine Zahlungsdaten bereitstellt, um künftige Reservierungen und Gebühren im Rahmen einer Mitgliedschaft zu decken, gilt dies als gespeicherte Kartendaten. Stellt der Karteninhaber die Zahlungsdaten einem Hotel allerdings nur für die Deckung einer bestimmten Transaktion zur Verfügung, gilt dies nicht als gespeicherte Kartendaten.

Beispiele für Transaktionen mit gespeicherten Kartendaten +

Durch den Karteninhaber initiierte Transaktion (Cardholder-initiated Transaction, CIT): Eine durch den Karteninhaber initiierte Transaktion ist jede Transaktion, an der der Karteninhaber aktiv beteiligt ist. Dies kann bei einem Bezahlterminal in einem Ladengeschäft, über ein Online-Checkout-System oder mit gespeicherten Kartendaten der Fall sein.

CIT mit gespeicherten Kartendaten: Eine durch den Karteninhaber initiierte kartenlose Transaktion, bei der der Karteninhaber seine Kartendetails nicht eingeben muss, da der Händler die zuvor durch den Karteninhaber gespeicherte Kartendaten verwendet, um die Transaktion durchzuführen. Dies kann beispielsweise eine Transaktion sein, bei der das Händlerprofil des Kunden verwendet wird. Durch den Händler initiierte Transaktion (Merchant-initiated Transaction, MIT): Händler führen MITs in der Regel ohne die aktive Beteiligung des  Karteninhabers durch, um:

  • eine Transaktion als Fortsetzung einer durch den Karteninhaber initiierten Transaktion (Cardholder-Initiated Transaction, CIT) durchzuführen
  • einen vorab vereinbarten Dauerauftrag des Karteninhabers für die Bereitstellung von Waren oder Dienstleistungen durchzuführen

Welche Beispiele gibt es für MITs?

  • Eine Hotelgebühr für Minibarkosten, die gebucht wird, nachdem der Gast ausgecheckt und abgerechnet hat.
  • Eine nachfolgende wiederkehrende Zahlung für ein Zeitschriftenabonnement

Eine über eine App vorgenommene digitale Zahlung für den Kauf von Waren oder die Bestellung von Dienstleistungen im Auftrag des Kunden, etwa die Bestellung einer Fahrdienstleistung über eine App oder der Kauf von Zugtickets, werden nicht als MITs, sondern als CITs (Cardholder-Initiated Transaction, durch den Karteninhaber initiierte Transaktion) betrachtet, da der Karteninhaber aktiv an der Transaktion beteiligt ist.

MITs der branchenspezifischen Geschäftspraxis: MITs dieser Kategorie werden durchgeführt, um einer Geschäftspraxis im Nachgang zu einer ursprünglichen Interaktion zwischen Karteninhaber und Händler gerecht zu werden, die nicht im Rahmen einer einzelnen Transaktion abgeschlossen werden konnte. Nicht jede durch den Händler initiierte Transaktion der branchenspezifischen Geschäftspraxis wird mit gespeicherten Kartendaten durchgeführt. Wenn der Händler bzw. sein Dienstleister die Kartendaten für eine bestimmte Transaktion oder einen bestimmten Kauf speichert, handelt es sich nicht um eine Transaktion mit gespeicherten Kartendaten. Bei den folgenden Transaktionsarten handelt es sich um branchenspezifische Transaktionen.

Inkrementell: Inkrementelle Autorisierungen können eingesetzt werden, um den Gesamtbetrag zu erhöhen, wenn der autorisierte Betrag nicht ausreicht. Ein Antrag auf inkrementelle Autorisierung kann auch auf einer geänderten Schätzung der Ausgaben des Karteninhabers beruhen. Inkrementelle Autorisierungen ersetzen nicht die ursprüngliche Autorisierung – sie gelten zusätzlich zu den zuvor autorisierten Beträgen. Die Summe aller miteinander verbundenen geschätzten und inkrementellen Autorisierungen entsprechen dem für eine bestimmte Transaktion autorisierten Gesamtbetrag. Einer inkrementellen Autorisierung muss eine geschätzte/einleitende Autorisierung vorausgehen.

Es können eine oder mehrere inkrementelle Autorisierungen beantragt werden, solange die Transaktion noch nicht abgeschlossen (zur Abrechnung eingereicht) ist. Inkrementelle Autorisierungen dürfen nicht verwendet werden, sobald die ursprüngliche Transaktion zur Abrechnung eingereicht worden ist. In diesem Fall muss eine neue Autorisierung unter Angabe des entsprechenden Reason Code beantragt werden (z. B. verzögerte Gebühren, erneute Autorisierung).

Erneute Einreichung: Ein Händler nimmt eine erneute Einreichung in Fällen vor, wenn er eine Autorisierung beantragt hatte, diese jedoch aufgrund nicht ausreichender Mittel abgelehnt wurde, wobei die Produkte oder Dienstleistungen dem Karteninhaber bereits erbracht worden sind. Händler können den Antrag in diesen Fällen erneut einreichen, um die unbeglichenen Verbindlichkeiten von Karteninhabern einzuziehen.

Erneute Autorisierung: Ein Händler initiiert eine erneute Autorisierung, wenn die Abwicklung bzw. Lieferung der ursprünglichen Bestellung oder Dienstleistung den von Visa festgelegten Gültigkeitszeitraum für eine Autorisierung übersteigt. Es gibt zwei gängige Szenarien für eine erneute Autorisierung:

  • gesplittete oder verzögerte Lieferungen bei E-Commerce-Händlern. Eine gesplittete Lieferung tritt ein, wenn zum Zeitpunkt des Kaufs nicht alle bestellten Waren verfügbar sind. Wenn die Auslieferung der Waren nach dem von Visa festgelegten Gültigkeitszeitraum erfolgt, führen E-Commerce-Händler eine gesonderte Autorisierung durch, um sicherzustellen, dass die Mittel des Kunden zur Verfügung stehen.
  • Hotels für Langzeitgäste, Fahrzeugvermietung und Kreuzfahrtgesellschaften. Eine erneute Autorisierung wird für Aufenthalte, Reisen und/oder Vermietungen eingesetzt, die den von Visa festgelegten Gültigkeitszeitraum übersteigen.

Verzögerte Gebühren: Verzögerte Gebühren werden ausgeführt, um eine zusätzliche Kontobelastung abzuwickeln, nachdem die ursprünglichen Dienstleistungen erbracht worden sind und der entsprechende Zahlungsvorgang verarbeitet worden ist.

No-Show: Karteninhaber können ihre Visakarten verwenden, um eine Reservierung mit bestimmten Händlersegmenten zu garantieren.
Eine garantierte Reservierung stellt sicher, dass die Reservierung eingehalten wird, und ermöglicht es einem Händler, eine No-Show-Transaktion auszuführen, um dem Karteninhaber eine Geldbuße im Rahmen der Rücktrittsbedingungen des Händlers zu belasten. 

MITs in Form von Daueraufträgen: MITs dieser Kategorie werden durchgeführt, um einen vorab vereinbarten Dauerauftrag des Karteninhabers für die Bereitstellung von Waren oder Dienstleistungen durchzuführen. Bei den folgenden Transaktionsarten handelt es sich um Dauerauftragstransaktionen:

Ratenzahlungen: eine Transaktion in einer Serie von Transaktionen, die gespeicherte Kartendaten verwenden und die Zustimmung des Karteninhabers darstellen, dass der Händler über einen bestimmten Zeitraum eine oder mehrere künftige Transaktionen für einen bestimmten Kauf von Waren bzw. Dienstleistungen initiieren kann.

Wiederkehrende Zahlungen: eine Transaktion in einer Serie von Transaktionen, die gespeicherte Kartendaten verwenden. Die Transaktionen werden zu regelmäßig festgelegten Zeitpunkten (wobei zwischen einzelnen Transaktionen nicht mehr als ein Jahr liegen darf) ausgeführt, mit der Zustimmung des Karteninhabers, dass der Händler künftige Transaktionen für den Kauf von Waren bzw. Dienstleistungen regelmäßig zu festgelegten Zeitpunkten initiieren kann.

Außerplanmäßige Transaktionen mit gespeicherten Kartendaten (Unscheduled Credential on File, UCOF): eine Transaktion, die gespeicherte Kartendaten für einen festen oder variablen Betrag verwendet und die nicht an einem geplanten oder regelmäßig stattfindenden Transaktionsdatum erfolgt, wobei der Karteninhaber dem Händler die Zustimmung erteilt hat, eine oder mehrere künftige Transaktionen zu initiieren. Ein Beispiel für eine solche Transaktion ist eine Transaktion für die automatische Wiederaufladung.

Geschäftliche Anforderungen – Offenlegung und Einverständnis des Karteninhabers +

Vor der Speicherung von Kartendaten für die künftige Verwendung muss der Händler eine Einverständniserklärung mit dem Karteninhaber abschließen, welche die folgenden Aspekte umfasst:

  • eine verkürzte Version der gespeicherte Kartendaten (z. B. die letzten vier Ziffern der Kartennummer [PAN])
  • wie der Karteninhaber über etwaige Änderungen der Einverständniserklärung in Kenntnis gesetzt wird
  • das Ablaufdatum der Einverständniserklärung, sofern existent
  • wie die gespeicherten Kartendaten verwendet werden
  • Stornierungs- und Erstattungsrichtlinien
  • Standort des Händlers
  • Transaktionsbetrag bzw. dessen Berechnung
  • Bearbeitungsgebühren oder Zuschläge (sofern zulässig und existent)
  • die Frequenz (wiederkehrende Zahlung) oder das Ereignis (außerplanmäßig), das die Transaktion auslöst
  • für Ratenzahlungen den Gesamtbetrag und die Bedingungen für künftige Zahlungen, einschließlich
  • Daten, Beträge und Währung 


Betrieb und Speicherung:

  • Mitteilung an den Karteninhaber bei Änderungen der Einverständniserklärung
  • Aufbewahrung der Erklärung über den Zeitraum des Einverständnisses und auf Verlangen Bereitstellung an den Acquirer
  • Übermittlung einer Aufzeichnung der Einverständniserklärung an den Karteninhaber, sofern dies
  • im Einklang mit den geltenden Gesetzen oder Bestimmungen erforderlich ist


Transaktionsverarbeitung:

  • Wenn die Zahlungsautorisierung zum Zeitpunkt der Speicherung der Kartendaten nicht zutreffend ist, ist eine Transaktion mit Kontoüberprüfung durchzuführen
  • Wenn der einleitende Antrag auf Autorisierung oder Kontoüberprüfung nicht genehmigt wird, dürfen die Kartendaten nicht gespeichert werden.


Stornierung:

  • Verwendung eines einfachen Stornierungsverfahrens und, wenn die Bestellung des Karteninhabers ursprünglich online entgegengenommen wurde, mindestens ein Online-Stornierungsverfahren
  • Im Fall der Stornierung gemäß den Bedingungen des Stornierungsverfahrens muss die Stornierung oder Rückerstattung innerhalb von drei Geschäftstagen schriftlich bestätigt und eine Bestätigung ausgestellt werden
  • Eine Transaktion darf in den folgenden Fällen nicht abgeschlossen werden:

    • über den ausdrücklich durch den Karteninhaber genehmigten Zeitraum hinaus oder
    • wenn der Karteninhaber den Händler um eine Änderung der Zahlungsmethode ersucht oder
    • wenn der Karteninhaber gemäß den vereinbarten Stornierungsbedingungen storniert oder
    • nach dem Eingang einer Ablehnung 

Informationen des Karteninhabers:

Bereitstellung einer Ankündigung für wiederkehrende Zahlungen (sieben Geschäftstage) und für außerplanmäßige COF-Transaktionen (zwei Geschäftstage) vor dem Eintreten eines der folgenden Ereignisse:

  • Ende des Probezeitraums
  • Es sind mehr als sechs Monate seit der vorherigen Transaktion in der Transaktionsserie vergangen.
  • jegliche Änderung an der Einverständniserklärung, einschließlich des Datums, des Betrags oder dessen Berechnungsmethode
Technische Anforderungen +

Anforderungen an den Aussteller: Der Aussteller der Karte darf eine Transaktion nicht allein aufgrund eines fehlenden CVV2 ablehnen, wenn der Antrag auf Autorisierung für die auf die Speicherung der Kartendaten folgende Transaktion gilt. Diese Vorschrift galt zuvor nur für Transaktionen mit wiederkehrender Zahlung und gilt nun für:

  • wiederkehrende Zahlungen
  • Ratenzahlungen
  • außerplanmäßige Transaktionen mit gespeicherten Kartendaten (UCOF)
  • durch den Karteninhaber initiierte Transaktionen, die gespeicherte Kartendaten verwenden

Anforderungen an den Händler: Wirecard-APIs haben Transaktionen mit wiederkehrender Zahlung und Transaktionen mit Ratenzahlung in der Vergangenheit ausdrücklich unterstützt; diese wurden bereits aktualisiert, um sicherzustellen, dass Aussteller über die spezifische Verwendung gespeicherter Kartendaten in Kenntnis gesetzt werden. Wir sehen künftig geringfügige Änderungen vor, welche wir Ihnen rechtzeitig mitteilen werden.

Für die anderen vorstehend dargelegten Transaktionsszenarien sind uns derzeit keine Händler bekannt, die diese verwenden. Wir bereiten derzeit Erweiterungen der APIs vor, um zukünftig eine ausdrückliche Unterstützung sicherzustellen und gleichzeitig die Auswirkungen auf bestehende Implementierungen zu minimieren. Wenn Sie der Ansicht sind, eines der vorstehend beschriebenen Transaktionsszenarien der Kategorie mit gespeicherten Kartendaten einschließlich der branchenspezifischen Geschäftspraxis zu verwenden, bitten wir Sie, sich bei uns zu registrieren, damit wir Sie darüber informieren können, wenn spezifische Schnittstellenänderungen verfügbar werden. 

Bitte registrieren Sie sich für technische Updates von Transaktionsszenarien:

Häufig gestellte Fragen

Wann gelten die Kartendaten als gespeichert? +

Sobald der Händler alle Offenlegungspflichten eingehalten und in der Autorisierungsnachricht den zutreffenden Indikator verwendet hat, um:

  • anzugeben, dass die Kartendaten gespeichert werden, und
  • die Genehmigung zur Autorisierung für die einleitende Transaktion zu beantragen und zu erhalten
Wann gelten die Kartendaten NICHT als gespeichert? +

Kartendaten gelten nicht als gespeicherte Kartendaten, wenn der Händler oder sein Dienstleister die Kartendaten speichert, um eine bestimmte Transaktion oder einen bestimmten Kauf abzuschließen (einschließlich mehrerer Autorisierungen, die sich auf die betreffende Transaktion beziehen). Wenn ein Karteninhaber einem Hotel zum Beispiel Zahlungsdaten im Rahmen einer Mitgliedschaft zur Verfügung stellt, um künftige Reservierungen und Gebühren zu decken, gelten diese als gespeicherte Kartendaten. Stellt der Karteninhaber die Zahlungsdaten einem Hotel allerdings nur für die Deckung einer bestimmten Transaktion zur Verfügung, gelten diese nicht als gespeicherte Kartendaten.

Außerdem gelten Zahlungsdaten, die Händler von Dritten einschließlich digitaler Wallets erhalten, die nicht bei dem Händler bzw. seinen Dienstleistern gespeichert werden, nicht als gespeicherte Kartendaten im Sinne dieser Regeln.

Was passiert, wenn die einleitende Transaktion abgelehnt wird? +

Wird die einleitende Transaktion (in der die Speicherung der Kartendaten mitgeteilt wird) aus beliebigen Gründen abgelehnt, sollte der Händler die Kartendaten für die Zwecke der Einverständniserklärung des Karteninhabers und künftiger Transaktionen nicht als gespeichert betrachten.

Sind die Einverständniserklärungen des Karteninhabers für alle Szenarien mit gespeichertem Kartendaten erforderlich? +

Einverständniserklärungen des Karteninhabers sind nicht erforderlich, wenn Kartendaten für die Abwicklung einer bestimmten Transaktion gespeichert werden. Alle unter der Kategorie „Branchenspezifische Praxis“ aufgeführten Fälle (No-Show, verzögerte Gebühren, inkrementelle Autorisierung, erneute Einreichung, erneute Autorisierung) sind von der Anforderung ausgenommen. 

Welche Vorgänge des Transaktionslebenszyklus sind von den neuen Regelungen betroffen? +

Die Regelungen in Bezug auf gespeicherte Kartendaten betreffen die Phase der Autorisierung von Transaktionen. Bestehende Abrechnungs- und Abwicklungsvorgänge und bestehende Qualifikationsanforderungen für den Austausch sind nicht betroffen.

Gibt es Auswirkungen im Hinblick auf Beschwerdebehandlung oder Rückbuchungen? +

Die Vorschriften für Rückbuchungen bleiben von den Vorschriften für gespeicherte Kartendaten unberührt.

Wie erhalte ich Antworten auf meine persönlichen Fragen? +

Bei weiteren Fragen können Sie uns gerne unter der Telefonnummer +49 (0) 30 3001 123456 oder der E-Mail-Adresse visa_authorization@wirecard.com kontaktieren. Das Serviceteam ist für Sie montags bis freitags von 9 bis 17 Uhr erreichbar.