KONTANTUTTAK OVER DISK

FORSKRIFTER FOR KONTANTUTTAK OVER DISK MED KONTOKORT

KONTANTUTTAK OVER DISK

(Oktober 2015)

Disse forskriftene, "Kontantuttaksforskriftene", gjelder ved kontantuttak over disk med Kontokort og bruk av Terminal (MCC 6010).

Kontantuttaksforskriftene supplerer de generelle vilkårene som gjelder for den avtalen om Innløsning av Kontokorttransaksjoner ("Hoveddokumentet") som er inngått mellom Salgsforetaket og Bambora. Ved eventuelle konflikter mellom Hoveddokumentet og Kontantuttaksforskriftene skal Kontantuttaks- forskriftene ha fortrinnsrett.

1. Kontroller

Salgsforetaket skal i forbindelse med kontantuttak utføre kontrollene angitt nedenfor.

1.1 Kontokortet

I tilfeller der 1) informasjonen på Kontokortet avleses uten medvirkning fra Salgsforetaket, og 2) Kortinnehaveren kvitterer for Transaksjonen med PIN-kode, er det ikke nødvendig å utføre kontrollene angitt i punkt 1.1 nedenfor. Det samme gjelder dersom informasjonen på Kontokortet avleses uten medvirkning fra Salgsforetaket og typen Kontokort ikke krever noen ytterligere tiltak/kvittering for Transaksjonen enn selve avlesningen av informasjonen.

Salgsforetaket skal gjennom visuell kontroll sikre at:

• Kontokortet er utstyrt med kortinnehaverens signatur,

• Kontokortet ikke bærer spor av endringer,

• Gyldighetsperioden angitt på Kontokortet ikke er utløpt,

• Ved fremvisning av legitimasjon er det pregede navnet på Kontokortet det samme som navnet på legitimasjonen,

• Kontokortet er utstyrt med et varemerke, jf. punkt 1 ("Kontokort") i Hoveddokumentet, som omfattes av Avtalen, og

• Det under Kontokortets nummer finnes fire trykte tall og at disse tallene er identiske med de fire første tallene i Kontokortets nummer.

Dersom ovennevnte krav ikke er oppfylt, skal Kontokortet ikke godtas.

1.2 Legitimasjonskontroll

Ved kontantuttak over disk skal legitimasjonskontroll alltid gjennomføres og legitimasjonsnummer noteres på Salgsforetakets kvittering.

1.3 Signatur

Salgsforetaket skal sammenligne kortinnehaverens underskrift på Salgsforetakets kvittering med signaturen på Kontokortet og legitimasjonen. Dersom ovennevnte ikke stemmer overens, kan ikke Kontokortet godtas.

Salgsforetaket behøver ikke å kontrollere signatur, fordi kortinnehaveren kvitterer for transaksjonen med PIN-kode (se punkt 3 under).

1.4 Autorisering og sperrekontroll

Autorisering skal alltid skje i betalingssituasjonen, uansett kjøpsbeløp. Dersom autorisering og sperrekontroll ikke skjer elektronisk i Terminal, må Salgsforetaket gjennom telefonsamtale til Bambora innhente samtykke til at kjøpstransaksjonen kan gjennomføres. Godkjennelse gis av Bambora med angivelse av et kontrollnummer som skal noteres på Salgsforetakets kvittering. Kontokort uten preget navn og/eller nummer (for eksempel Kontokort med varemerkene Maestro og Electron) krever imidlertid alltid at autorisering skjer elektronisk. Dersom Salgsforetaket ved autoriseringen får beskjed om at Kontokortet er sperret, eller det blir tydelig at Kontokortet brukes av uvedkommende, skal Salgsforetaket om mulig ta hånd om kortet. Salgsforetaket skal deretter klippe i stykker Kontokortet og sende det inn til Bambora.

1.5 Kontantuttaksgrense

Kortutsteder har ulike regler om grenser for sine kortprodukter med hensyn til hvor høye og hvor mange kontantuttak som får gjøres i løpet av en viss periode. Dersom disse grensene er oppnådd, kan det være en årsak til hvorfor en autorisering avslås og transaksjonen ikke kan gjennomføres.

1.6 Chip og Pin-terminaler

Terminaler som brukes til å gjennomføre transaksjoner med Kontokort, skal støtte teknologi for både magnetsporavlesning og EMV-chip. MasterCard/VISA kan komme til å ilegge Bambora et gebyr dersom Salgsforetaket bryter mot ovennevnte. I dette tilfellet er Salgsforetaket i henhold til punkt 6.3 og 6.4 i Hoveddokumentet forpliktet til å kompensere Bambora for slike gebyrer.

2. Kvitteringer

2.1 Innhold på Salgsforetakets kvittering

Salgsforetakets eksemplar av signaturkvitteringen skal inneholde følgende opplysninger:

• Salgsforetakets navn, sted og organisasjonsnummer,

• Salgsforetakets kundenummer hos Bambora,

• Dato og klokkeslett for Transaksjonen,

• Kontokortets nummer (forutsatt at Terminalen støtter dette, skal dette skje i trunkert form),

• Transaksjonstype (kontantuttak) i klartekst,

• Kontrollnummer (bekreftet ved autorisering),

• Transaksjonens beløp,

• Teksten: "Godkjennes for debitering av min konto i henhold til ovennevnte" (dette gjelder ikke ved bruk av PIN-kode),

• Plass til signatur (dette gjelder ikke ved bruk av PIN-kode),

• Legitimasjonsnummer og legitimasjonstype (dette gjelder ikke ved bruk av PIN-kode),

• Referanse/gjenfinningsnummer (unik identitet for Transaksjonen), og

• de fire tallene som beskrives i punkt 1.1, underpunkt 6 ovenfor (som skal være håndskrevet).

2.2 Kortinnehaverens kopi

Kortinnehaveren skal motta en kopi av signaturkvitteringen som skal inneholde samme opplysninger som Salgsforetakets eksemplar av signaturkvitteringen. Følgende unntak gjelder imidlertid for kortinnehaverens kopi:

• Kontokortets nummer skal angis i trunkert form, (dvs. at bare de (4) siste tallene skrives ut, innledende posisjoner trunkeres med "*"),

• Teksten "kortbetaling" behøver ikke angis (dette kreves bare dersom kopien av signaturkvitteringen består av en komplett kassekvittering),

• Teksten "personlig kode" behøver ikke å angis (dette kreves bare ved bruk av PIN- kode),

• Teksten "Godkjennes for debitering av min konto i henhold til ovennevnte" behøver ikke angis.

2.3 Lagring

Salgsforetaket skal i minst atten (18) måneder arkivere Salgsforetakets kvittering. På forespørsel fra Bambora skal Salgsforetaket innen fem (5) bankdager kunne legge frem en kvittering som gjelder en enkelt Transaksjon. Dette gjelder selv om Salgsforetakets innløsningsavtale med Bambora ellers har opphørt.

3. Bruk av PIN

Beløpet skal være kjent for kortinnehaveren når PIN-koden angis. Inntastingen av PIN-koden utgjør kortinnehaverens godkjenning av at kjøpstransaksjonen kan belastes hans/hennes konto. I visse miljøer kan Bambora etter særskilt avtale godkjenne at andre rutiner gjelder.

Kortinnehaveren skal gis tre (3) forsøk på å angi riktig PIN-kode. Kortinnehaveren skal ha mulighet til å avbryte en Transaksjon i stedet for å gjøre flere forsøk med PIN-kode. I manuelt betjent miljø skal kortinnehaveren ha rett til å avstå fra å bruke PIN-kode og i stedet undertegne en signaturkvittering (forutsatt at godkjenning av kjøpstransaksjonen med PIN- kode ikke er obligatorisk for det aktuelle Kontokortet).

I situasjonene angitt nedenfor skal signaturkvitteringer underskrives, og derfor skal ikke kortinnehaveren oppfordres til å angi PIN-kode:

• Autorisering kan ikke skje elektronisk,

• Bruk av PIN-kode er ifølge Bamboras instruksjoner ikke tillatt for det aktuelle Kontokortet, eller

• Kortnummeret er registrert manuelt, dvs. at det ikke har vært mulig å lese Kontokortet maskinelt.

4. Transaksjonsinnsamling

4.1 Generelt om innsamling

Innsamling av kjøpstransaksjoner med Kontokort der navn og/eller nummer ikke er preget (for eksempel Kontokort med varemerkene Maestro og Electron), kan bare skje ved hjelp av Terminal.

4.2 Terminal

I Terminal skal Kontokortet leses maskinelt. Dersom dette ikke er mulig på grunn av feil på Kontokortet, kan Bambora gi særskilt tillatelse til å registrere Kontokortets nummer og

gyldighetstid manuelt. Salgsforetaket skal i en slik situasjon, for eksempel gjennom avtrykk av Kontokortet eller fotokopiering av dette, kunne bekrefte at Kontokortet var til stede i transaksjonssituasjonen. Fotokopien e.l. skal oppbevares sammen med den tilhørende signaturkvitteringen. Manuell registrering er imidlertid aldri tillatt for Kontokort der navn og/eller nummer ikke er preget (for eksempel Kontokort med varemerkene Maestro og Electron).

5. Rapportering

5.1 Innsending av kjøpstransaksjoner

Elektronisk innsamlede kjøpstransaksjoner skal overføres til Bambora senest innen to (2) dager fra

transaksjonsdatoen. Papirsedler skal være mottatt av Bambora, eller den Bambora utpeker, senest innen fem (5) dager fra transaksjonsdatoen. Med "transaksjonsdatoen" menes datoen for autoriseringen.

5.2 PIN-kodejournal

Salgsforetaket skal føre en særskilt journal over samtlige Transaksjoner der PIN-kode er brukt, dvs. både gjennomførte og avbrutte Transaksjoner. Denne journalen skal vise:

• På hvilken måte Transaksjonen er gjennomført,

• Salgsforetakets navn (firma), sted og organisasjonsnummer,

• Dato og klokkeslett,

• Kontokortets nummer og gyldighetstid,

• Transaksjonsmåte (se punkt 2.1 ovenfor),

• Transaksjonstype (uttak eller retur/kreditering) i klartekst,

• Kasseidentitet,

• Kontrollnummer som bevis på autorisering,

• Beløp som skal debiteres,

• Referanse/gjenfinningsnummer,

• Behandlingskode (se Instruksjonene),

• Identifiseringsmetode (se Instruksjonene),

• Statuskode (se Instruksjonene),

• Transaksjonssegl (se Instruksjonene), og

• Svarkode.

6. Returer

Returer er ikke tillatt ved kontantuttak over disk.

7. Sikkerhet

7.1 Håndtering av Kontokortinformasjon

For dels å beholde et høyt sikkerhetsnivå i de globale kortbetalingssystemene og dels å styrke tilliten til Kontokort som betalingsmiddel er det ytterst viktig at alle som håndterer Kontokortinformasjon, gjør det på en sikker måte. Med "Kontokortinformasjon" menes slik informasjon som er preget eller trykt på Kontokortets frem- og bakside, inkludert informasjon som ligger lagret på Kontokortets magnetspor og chip. Av denne grunn har kortbransjen blitt

enige om en felles standard for håndtering av Kontokortinformasjon. Standarden kalles Payment Card Industry (PCI) Data Security Standard (DSS) og er utarbeidet av de internasjonale kortnettverkene Visa og MasterCard.

Salgsforetaket forplikter seg til å følge standarden PCI DSS i den versjonen som til enhver tid finnes publisert på xxx.xxxxxxxxxxxxxxxxxxxx.xxx.

7.2 Godkjenning av system

Terminaler som leverer Transaksjoner til Bambora, skal være godkjent av Bambora eller annen tredjepart som Bambora utpeker. Bambora kan stille krav til særlig kontroll av komponenter som ut fra et sikkerhetssynspunkt er sensitive.

7.3 Særskilt om Payment Service Providers

Bruker Salgsforetaket en tredjepart (såkalt Payment Service Provider) som del av sin betalingsløsning for håndtering av Transaksjoner, må Salgsforetaket sikre at denne oppfyller alle krav i henhold til PCI DSS.

7.4 Endringer av utstyr m.m.

Salgsforetaket skal informere Bambora før hver installasjon, omflytting eller avvikling av utstyr som er teknisk tilkoblet til Bambora eller annen innsamler av Transaksjoner som fungerer på oppdrag fra Salgsforetaket innenfor rammene av denne avtalen.

Endringer i Terminaler som påvirker de forutsetningene som gjaldt på tidspunktet for godkjenning, kan ikke gjennomføres uten godkjenning fra Bambora.

Salgsforetaket skal, før Transaksjoner kan overføres til Bambora, gjennomføre en test anvist av Bambora av sin oppkobling mot Bamboras mottakssystem.

7.5 Datainnbrudd og IT-rettslige undersøkelser

Dersom Bambora mistenker at Salgsforetakets kassesystem, datasystem e.l. har vært utsatt for innbrudd, manipulasjon e.l. som etter Bamboras vurdering på noen måte angår Partenes samarbeid i henhold til denne Avtalen, har Bambora rett til å gjennomføre en IT-rettslig undersøkelse av det aktuelle utstyret. Undersøkelsen skal gjennomføres av Bambora eller av et IT-rettslig foretak utpekt av Bambora.

Tidspunkt, og spørsmål/rutiner som henger sammen med dette og som kan henføres til gjennomføringen av Undersøkelsen, skal, dersom Bambora ikke vurderer dette som u- passende, så langt det er mulig avtales mellom Partene. Bambora kan imidlertid også, dersom dette etter Bamboras mening er det mest formålstjenlige, besøke Salgsforetaket og gjennomføre Undersøkelsen uten at Salgsforetaket har blitt underrettet om dette på forhånd.

Salgsforetaket plikter i rimelig omfang å medvirke ved Undersøkelsen og tilrettelegge for gjennomføringen slik at formålet med Undersøkelsen, dvs. å konstatere om det har forekommet innbrudd/manipulasjon, kan oppnås.

Dersom Undersøkelsen fører til at det konstateres at Salgsforetakets kassesystem, datasystem

e.l. har blitt utsatt for innbrudd, manipulasjon e.l., plikter Salgsforetaket på forespørsel fra Bambora å dekke Bamboras kostnader til Undersøkelsen.

8. Liability Shift

Bambora bruker såkalt Liability Shift. Dette innebærer at Salgsforetaket i forholdet til Bambora ifølge Xxxxxxx bærer risikoen for samtlige tap som kan henføres til magnetsporleste Transaksjoner foretatt med uberettiget fremstilte kort, der det korrekte Kontokortet, dvs. Kontokortet utstedt av berettiget/lisensiert kortutsteder med samme kortnummer som det uberettiget fremstilte, er utstyrt med en såkalt EMV-chip.