KONTANTUTTAG ÖVER DISK
FÖRESKRIFTER FÖR KONTANTUTTAG ÖVER DISK MED KONTOKORT
KONTANTUTTAG ÖVER DISK
(Oktober 2015)
Dessa föreskrifter, ”Kontantuttagsföreskrifterna”, gäller vid kontantuttag över disk med Kontokort och användande av Terminal (MCC 6010).
Kontantuttagsföreskrifterna utgör ett komplement till de allmänna villkor som gäller för det avtal om Inlösen av Kontokortstransaktioner (”Huvuddokumentet”) som slutits mellan Säljföretaget och Bambora. Vid eventuella konflikter mellan Huvuddokumentet och Kontantuttagsföreskrifterna ska Kontantuttagsföreskrifterna ha företräde.
1. Kontroller
Säljföretaget ska i samband med kontantuttag utföra nedan angivna kontroller.
1.1 Kontokortet
För de fall där 1) informationen på Kontokortet avläses utan medverkan av Säljföretaget, och 2) Kortinnehavaren kvitterar Transaktionen med PIN-kod, behöver inte i stycke 1.1 nedan angivna kontroller utföras. Samma sak gäller om informationen på Kontokortet avläses utan medverkan av Säljföretaget och typen av Kontokort inte kräver någon ytterligare åtgärd/kvittens av Transaktionen än själva avläsandet av informationen.
Säljföretaget ska genom visuell kontroll säkerställa att:
• Kontokortet är försett med kortinnehavarens namnteckning,
• Kontokortet inte bär spår av ändringar,
• Den på Kontokortet angivna giltighetstiden inte gått ut,
• När legitimationshandling uppvisas, det präglade namnet på Kontokortet är detsamma som namnet på legitimationshandlingen,
• Kontokortet är försett med ett varumärke, jämför punkt 1 (”Kontokort”) i Huvuddokumentet, som omfattas av Avtalet, och
• Det under Kontokortets nummer finns fyra tryckta siffror och att dessa siffror är identiska med de fyra första siffrorna i Kontokortets nummer.
Vid brister i ovan angivna avseenden får Kontokortet inte accepteras.
1.2 Legitimationskontroll
Vid kontantuttag över disk ska legitimationskontroll alltid genomföras och legitimationsnummer antecknas på Säljföretagets kvitto.
1.3 Namnteckning
Säljföretaget ska jämföra kortinnehavarens underskrift av Säljföretagets kvitto med namnteckningen på Kontokortet och legitimationshandlingen. Vid bristande överensstämmelse i detta avseende får Kontokortet inte accepteras.
Säljföretaget behöver inte kontrollera namnteckning då kortinnehavaren kvitterar transaktionen med PIN-kod (se punkt 3 nedan).
1.4 Auktorisation och spärrkontroll
Auktorisation ska alltid ske vid betalningstillfället, oavsett köpbelopp. Om auktorisation och spärrkontroll inte sker elektroniskt i Terminal ska Säljföretaget genom telefonsamtal till Bambora inhämta medgivande att köptransaktionen får genomföras. Godkännande ges av Bambora med angivande av ett kontrollnummer vilket ska noteras på Säljföretagets kvitto. Kontokort på vilka namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron) kräver dock att auktorisation alltid sker elektroniskt. Om Säljföretaget vid auktorisation får beskedet att Kontokortet är spärrat, eller det står klart att Kontokortet brukas av obehörig, ska Säljföretaget om möjligt omhänderta kortet. Säljföretaget ska därvid klippa itu Kontokortet och skicka in det till Bambora.
1.5 Kontantuttagsgräns
Kortutgivare har olika regler gällande gränser för sina kortprodukter avseende hur höga och hur många kontantuttag som får göras inom viss period. Om dessa gränser är uppnådda kan det vara en orsak till varför en auktorisation blir nekad och transaktionen inte kan genomföras.
1.6 Chip och Pin-terminaler
Terminaler som används för att genomföra transaktioner med Kontokort, ska stödja såväl magnetspårläst som EMV-chip teknologi. MasterCard/VISA kan komma att påföra Bambora en avgift för det fall att Säljföretaget bryter mot ovanstående. Säljföretaget är i detta fall enligt punkterna 6.3 och 6.4 i Huvuddokumentet skyldigt att ersätta Bambora för sådana avgifter.
2. Kvitton
2.1 Innehåll Säljföretagets kvitto
Säljföretagets exemplar av signaturkvittot ska innehålla följande uppgifter:
• Säljföretagets namn, ort och organisationsnummer,
• Säljföretagets kundnummer hos Bambora,
• datum och klockslag för Transaktionen,
• Kontokortets nummer (förutsatt att Terminalen så stödjer ska detta ske i trunkerad form),
• Transaktionstyp (kontantuttag) i klartext,
• Kontrollnummer (styrkandet av auktorisation),
• Transaktionens belopp,
• Texten: "Godkännes för debitering av mitt konto enligt ovan" (detta gäller inte vid användande av PIN-kod),
• Utrymme för namnteckning (detta gäller inte vid användande av PIN-kod),
• legitimationsnummer och legitimationstyp (detta gäller inte vid användande av PIN- kod),
• referens/återsökningsnummer (unik identitet på Transaktionen), och
• de fyra siffror som avses i punkt 1.1, underpunkt 6, ovan (vilka ska vara handskrivna).
2.2 Kortinnehavarens kopia
Kortinnehavaren ska erhålla en kopia av signaturkvittot som ska innehålla samma uppgifter som Säljföretagets exemplar av signaturkvittot. Följande avvikelser gäller dock för kortinnehavarens kopia:
• Kontokortets nummer ska anges i trunkerad form dvs (endast de (4) sista siffrorna skrivs ut, inledande positioner trunkeras med ’*’,
• Texten "kortbetalning" behöver inte anges (detta krävs endast om kopian av signaturkvittot utgörs av ett kompletterat kassakvitto),
• Texten “personlig kod” behöver inte anges (detta krävs endast vid användande av PIN-kod),
• Texten ”Godkännes för debitering av mitt konto enligt ovan” behöver inte anges.
2.3 Lagring
Säljföretaget ska under minst arton (18) månader arkivera Säljföretagets kvitto. På Bamboras begäran ska Säljföretaget inom fem (5) dagar kunna tillhandahålla ett signaturkvitto avseende en enstaka Transaktion. Detta gäller även om Säljföretagets inlösenavtal med Bambora i övrigt har upphört.
3. Användning av PIN
Beloppet ska vara känt för kortinnehavaren när PIN-koden anges. Inmatningen av PIN- koden utgör kortinnehavarens godkännande av att köptransaktionen får belasta dennes konto. I vissa miljöer kan Bambora efter särskild överenskommelse godkänna att annan rutin gäller.
Kortinnehavaren ska ges tre (3) försök att ange rätt PIN-kod. Kortinnehavaren ska ha möjlighet att avbryta en Transaktion i stället för att göra ytterligare försök med PIN-kod. I manuellt betjänad miljö ska kortinnehavaren ha rätt att avstå från att använda PIN-kod för att i stället underteckna ett signaturkvitto (under förutsättning att godkännande av köptransaktionen genom PIN-kod inte är obligatoriskt för Kontokortet i fråga).
I nedan angivna situationer måste undertecknande av ett signaturkvitto ske varför uppmaning till kortinnehavare att ange PIN-kod inte får ske:
• Auktorisation kan inte ske elektroniskt,
• Användning av PIN-kod, enligt Bamboras Instruktioner, inte är tillåten för aktuellt Kontokort, eller
• Kortnumret har registrerats manuellt, dvs. Kontokortet har inte kunnat läsas maskinellt.
4. Transaktionsinsamling
4.1 Allmänt om insamling
Insamling av köptransaktioner med Kontokort på vilket namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron) får endast ske med hjälp av Terminal.
4.2 Terminal
I Terminal ska Kontokortet läsas maskinellt. Om så inte är möjligt på grund av fel på Kontokortet kan Bambora medge särskilt tillstånd att registrera Kontokortets nummer och
giltighetstid manuellt. Säljföretaget ska i denna situation, t.ex. genom avdrag av Kontokortet eller fotokopia av detta, kunna styrka att Kontokortet var närvarande vid transaktionstillfället. Fotokopian e.d. ska förvaras tillsammans med korresponderande signaturkvitto. Manuell registrering är dock aldrig tillåten för Kontokort på vilket namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron).
5. Redovisning
5.1 Insändande av köptransaktioner
Elektroniskt insamlade köptransaktioner ska senast inom två (2) dagar från dagen för transaktionen överföras till Bambora. Pappersnotor ska vara Bambora, eller den Bambora anvisar, tillhanda senast inom fem (5) dagar från dagen för transaktionen. Som ”dagen för transaktionen” avses dagen för auktorisationen.
5.2 PIN-kodsjournal
Säljföretaget ska föra en särskild journal över samtliga Transaktioner där PIN-kod har använts, dvs. såväl genomförda som avbrutna Transaktioner. Denna journal ska utvisa:
• På vilket sätt Transaktionen har genomförts,
• Säljföretagets namn (firma), ort och organisationsnummer,
• Datum och klockslag,
• Kontokortets nummer och giltighetstid,
• Transaktionssätt (se punkt 2.1 ovan),
• Transaktionstyp (uttag eller retur/kreditering) i klartext,
• Kassaidentitet,
• Kontrollnummer såsom bevis på auktorisation,
• Xxxxxx att debitera,
• Referens/återsökningsnummer,
• Hanteringskod (se Instruktionerna),
• Identifieringsmetod (se Instruktionerna),
• Statuskod (se Instruktionerna),
• Transaktionssigill (se Instruktionerna), och
• Svarskod.
6. Returer
Returer är inte tillåtet vid kontantuttag över disk.
7. Säkerhet
7.1 Hantering av Kontokortsinformation
I syfte dels att behålla en hög säkerhetsnivå i de globala kortbetalningssystemen, dels att stärka förtroendet för Kontokort som betalningsmedel är det av yttersta vikt att alla som hanterar Kontokortsinformation gör det på ett säkert sätt. Med ”Kontokortsinformation” avses sådan information som finns präglad eller tryckt på Kontokortets fram- och baksida, inklusive information som finns lagrad i Kontokortets magnetspår och chip. Av denna anledning har kortindustrin enats om en gemensam standard för hantering av
Kontokortsinformation. Standarden kallas Payment Card Industry (PCI) Data Security Standard (DSS) och är framtagen av de internationella kortnätverken Visa och MasterCard.
Säljföretaget åtar sig att följa standarden PCI DSS i det utförande den vid var tid finns publi- cerad på xxx.xxxxxxxxxxxxxxxxxxxx.xxx.
7.2 Godkännande av system
Terminal som levererar Transaktioner till Bambora ska vara godkänd av Bambora, eller annan tredje part som Bambora anvisar. Bambora kan ställa krav på särskild granskning av ur säkerhetssynpunkt känsliga komponenter.
7.3 Särskilt om Payment Service Providers
Använder Säljföretaget en tredje part (s.k. Payment Service Provider) som del av sin betalningslösning för hantering av Transaktioner, måste Säljföretaget säkerställa att denne uppfyller alla krav enligt PCI DSS.
7.4 Ändring av utrustning m.m.
Säljföretaget ska informera Bambora inför varje installation, omflyttning eller avveckling av utrustning som är tekniskt ansluten till Bambora eller annan insamlare av Transaktioner som verkar på uppdrag av Säljföretaget inom ramen för detta avtal.
Ändringar i Terminal, som påverkar de förutsättningar som gällde vid tillfället för godkännandet, får inte vidtas utan Bamboras medgivande.
Säljföretaget ska, innan transaktioner får överföras till Bambora, genomföra ett av Bambora anvisat test av sin uppkoppling mot Bamboras mottagningssystem.
7.5 Dataintrång och IT-forensisk undersökning
För det fall Bambora misstänker att Säljföretagets kassasystem, datasystem e.d. utsatts för intrång, manipulation e.d. som, enligt Bamboras bedömning, i något avseende berör Parternas samarbete enligt detta Avtal har Bambora rätt att genomföra en s.k. IT-forensisk undersökning av utrustningen i fråga. Undersökningen får genomföras av Bambora eller av ett av Bambora anlitat IT-forensiskt företag.
Tidpunkt, och därmed sammanhängande frågor/rutiner hänförliga till Undersökningens genomförande, ska, om Bambora inte bedömer detta som olämpligt, i möjligaste mån överenskommas mellan Parterna. Bambora får dock även, om detta enligt Xxxxxxxx mening är mest ändamålsenligt, besöka Säljföretaget och genomföra Undersökningen utan att Säljföretaget underrättats härom i förhand.
Det åligger Säljföretaget att i skälig omfattning medverka vid Undersökningen och underlätta genomförandet så att syftet med Undersökningen, dvs. att konstatera huruvida intrång/manipulation har skett, kan uppnås.
För det fall det genom Undersökningen konstateras att Säljföretagets kassasystem, datasystem e.d. blivit utsatta för intrång, manipulation e.d. är Säljföretaget skyldigt att på Xxxxxxxx begäran ersätta Bambora kostnaderna för Undersökningen.
8. Liability Shift
Bambora tillämpar ett s.k. Liability Shift. Detta innebär att Säljföretaget, i förhållandet till Bambora enligt Avtalet, står risken för samtliga förluster hänförliga till magnetspårslästa Transaktioner företagna med obehörigt framställda kort där det korrekta Kontokortet, dvs. det av behörig/licensierad kortutgivare utfärdade Kontokortet med samma kortnummer som det obehörigt framställda, är försett med ett s.k. EMV-chip.