FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT
FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT
FÖRSÄLJNING I BUTIK (Card Present)
(Juli 2010)
Dessa föreskrifter,“Butiksföreskrifterna”, gäller för försäljning mot betalning med Kontokort med användande av Terminal eller pappersnota. Med signaturkvitto ska i Butikföreskrifterna i tillämpliga fall även avses pappersnota som används tillsammans med avdragsapparat.
Butiksföreskrifterna utgör ett komplement till de allmänna villkor som gäller för det avtal om Inlösen av Kontokortstransaktioner (“Huvuddokumentet“) som slutits mellan Säljföretaget och Diners Club. Vid eventuella konflikter mellan Huvuddokumentet och Butiksföreskrifterna ska Butiksföreskrifterna ha företräde. Ord som inleds med en versal, dvs. stor bokstav, avser ett ord som givits en särskild innebörd/definition i Huvuddokumentet och ska i dessa Butiksföreskrifter ha samma innebörd som de har i Huvuddokumentet.
1. Kontroller
Säljföretaget ska i samband med betalning utföra nedan angivna kontroller.
1.1 Kontokortet
Säljföretaget ska genom visuell kontroll säkerställa att:
• Kontokortet är försett med Kortinnehavarens namnteckning,
• Kontokortet inte bär spår av ändringar,
• det präglade kortnumret är detsamma som på signaturpanelen på Kontokortets baksida, och, om Kontokortet lästs maskinellt, på signaturkvittot,
• den på Kontokortet angivna giltighetstiden inte gått ut,
• när legitimationshandling uppvisas, det präglade namnet på Kontokortet är detsamma som namnet på legitimationshandlingen, och
• Kontokortet är försett med ett varumärke, jämför punkt 1 (“Kontokort“) i Huvuddokumentet, som omfattas av Avtalet.
Vid brister i ovan angivna avseenden får Kontokortet inte accepteras som betalningsmedel.
För det fall 1) informationen på Kontokortet avläses utan medverkan av Säljföretaget, och 2) Kortinnehavaren kvitterar Transaktionen med PIN-kod, behöver ovan angivna kontroller inte utföras. Samma sak gäller om informationen på Kontokortet avläses utan medverkan av Säljföretaget och typen av Kontokort inte kräver någon ytterligare åtgärd/kvittens av Transaktionen än själva avläsandet av informationen.
1.2 Legitimationskontroll
Om köpesumman överstiger SEK tvåhundra (200), och Kontokortet är utgivet av en svensk kortutgivare, ska Kortinnehavaren legitimera sig med en handling som accepteras av svensk post eller bank. Uppgift om legitimationshandlingens typ och nummer ska anges på signaturkvittot. Om legitimationshandling saknas får Kontokortet inte accepteras som betalningsmedel.
Legitimationskontroll ska inte utföras om Kontokortet är utfärdat av en utländsk kortutgivare eller då Kortinnehavaren identifierar sig med PIN-kod.
1.3 Namnteckning
Säljföretaget ska jämföra Kortinnehavarens underskrift av signaturkvittot med namnteckningen på Kontokortet och legitimationshandlingen. Vid bristande överensstämmelse i detta avseende får Kontokortet inte accepteras som betalningsmedel.
Säljföretaget behöver inte kontrollera namnteckning då Kortinnehavaren kvitterar transaktionen med PIN-kod (se punkt 5 nedan).
1.4 Auktorisation och spärrkontroll
Auktorisation ska alltid ske vid betalningstillfället, oavsett köpbelopp. Om auktorisation och spärrkontroll inte sker elektroniskt i Terminal ska Säljföretaget genom telefonsamtal till Diners Club (s.k. talsvar) inhämta medgivande att köptransaktionen får genomföras. Godkännande ges av Diners Club med angivande av ett kontrollnummer vilket ska noteras på signaturkvittot. Kontokort på vilka namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron) kräver dock att auktorisation alltid sker elektroniskt. Om Säljföretaget vid auktorisation får beskedet att Kontokortet är spärrat, eller det står klart att Kontokortet brukas av obehörig, ska Säljföretaget om möjligt omhänderta kortet. Säljföretaget ska därvid klippa itu Kontokortet och skicka in det till Diners Club.
Vid kontroll av status på Kortinnehavarens Kontokort (kontroll av kortstatus) ska alltid en s.k. ”nollvärdesauktorisation” användas enligt Diners Club vid var tid gällande Instruktioner.
2. Kvitton
2.1 Signaturkvittots innehåll
Säljföretagets exemplar av signaturkvittot ska innehålla följande uppgifter:
• Säljföretagets namn, ort och organisationsnummer,
• Säljföretagets kundnummer hos Diners Club,
• datum och klockslag för Transaktionen,
• Kontokortets nummer (förutsatt att Terminalen så stödjer kan detta ske i trunkerad form),
• transaktionstyp (betalning eller retur/kreditering) i klartext,
• kontrollnummer (styrkandet av auktorisation),
• valuta och belopp,
• uppgift om mervärdesskatt,
• texten: “Godkännes för debitering av mitt konto enligt ovan“ (detta gäller inte vid användande av PIN-kod),
• utrymme för namnteckning (detta gäller inte vid användande av PIN-kod),
• legitimationsnummer och legitimationstyp (detta gäller inte vid användande av PIN-kod), och
• referens/återsökningsnummer (unik identitet på Transaktionen).
För bankkort utfärdade av Swedbank ska signaturkvittot dessutom innehålla uppgift om betalningssätt, dvs. uppgift om betalningen ska belasta bankkonto eller kredit.
2.2 Kortinnehavarens kopia
Kortinnehavaren ska erhålla en kopia av signaturkvittot som ska innehålla samma uppgifter som Säljföretagets exemplar av signaturkvittot. Följande avvikelser gäller dock för Kortinnehavarens kopia:
• Kontokortets nummer ska anges i trunkerad form,
• texten “kortbetalning“ behöver inte anges (detta krävs endast om kopian av signaturkvittot utgörs av ett kompletterat kassakvitto),
• texten “personlig kod“ behöver inte anges (detta krävs endast vid användande av PIN- kod),
• Texten “Godkännes för debitering av mitt konto enligt ovan“ behöver inte anges.
• Säljföretagets kundnummer hos Diners Club får inte anges
2.3 Lagring
Säljföretaget ska under minst arton (18) månader arkivera signaturkvitton och PIN-kodsjournal i enlighet med de senast gällande reglerna för PCI DSS (se punkt 6.1 nedan). På Diners Clubs begäran ska Säljföretaget inom fem (5) dagar kunna tillhandahålla ett kvitto avseende en enstaka Transaktion. Detta gäller även om Säljföretagets inlösenavtal med Diners Club i övrigt har upphört.
3. Användning av PIN
Beloppet ska vara känt för Kortinnehavaren när PIN-koden anges. Inmatningen av PIN-koden utgör Kortinnehavarens godkännande av att köptransaktionen får belasta dennes konto. I vissa miljöer kan Diners Club efter särskild överenskommelse godkänna att annan rutin gäller.
Kortinnehavaren ska ges tre (3) försök att ange rätt PIN-kod. Kortinnehavaren ska ha möjlighet att avbryta en Transaktion i stället för att göra ytterligare försök med PIN-kod. I manuellt betjänad miljö ska Kortinnehavaren ha rätt att avstå från att använda PIN-kod för att i stället underteckna ett signaturkvitto (under förutsättning att godkännande av köptransaktionen genom PIN-kod inte är obligatoriskt för Kontokortet i fråga).
I nedan angivna situationer måste undertecknande av ett signaturkvitto ske varför uppmaning till Kortinnehavare att ange PIN-kod inte får ske:
• auktorisation kan inte ske elektroniskt,
• användning av PIN-kod, enligt Diners Clubs Instruktioner, inte är tillåten för aktuellt Kontokort,
• kortnumret har registrerats manuellt, dvs. Kontokortet har inte kunnat läsas maskinellt, eller
• vid returer/krediteringar.
4. Transaktionsinsamling
4.1 Allmänt om insamling
Insamling av köptransaktioner med Kontokort på vilket namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron) får endast ske i Terminal.
4.2 Terminal
I Terminal ska Kontokortet läsas maskinellt. Om så inte är möjligt på grund av fel på Kontokortet kan Diners Club medge särskilt tillstånd att registrera Kontokortets nummer och giltighetstid manuellt. Säljföretaget ska i denna situation, t.ex. genom avdrag av Kontokortet eller fotokopia av detta, kunna styrka att Kontokortet var närvarande vid betalningstillfället. Fotokopian e.d. ska förvaras tillsammans med korresponderande signaturkvitto. Manuell registrering är dock aldrig tillåten för Kontokort på vilket namn och/eller nummer inte är präglat (exempelvis Kontokort med varumärkena Maestro och Electron).
5. Redovisning
5.1 Insändande av köptransaktioner
Elektroniskt insamlade köptransaktioner ska senast inom två (2) dagar från dagen för betalningen överföras till Diners Club. Pappersnotor ska vara Diners Club, eller den Diners Club anvisar, tillhanda senast inom fem (5) dagar från dagen för betalningen. Som “dagen för betalningen“ avses dagen för auktorisationen.
5.2 PIN-kodsjournal
Säljföretaget ska föra en särskild journal över samtliga Transaktioner där PIN-kod har använts, dvs. såväl genomförda som avbrutna Transaktioner. Denna journal ska utvisa:
• på vilket sätt Transaktionen har genomförts,
• Säljföretagets namn (firma), ort och organisationsnummer,
• datum och klockslag,
• Kontokortets nummer (förutsatt att Terminalen så stödjer ska detta ske i trunkerad form),
• betalningssätt (se punkt 2.1 andra stycket ovan),
• transaktionstyp (betalning eller retur/kreditering) i klartext,
• kassaidentitet,
• kontrollnummer såsom bevis på auktorisation,
• valuta och belopp,
• referens/återsökningsnummer, och
• svarskod.
5.3 Kontantutbetalning i samband med betalning (s.k. Cash-back)
Utbetalning av kontanter i samband med betalning med Kontokort, får endast ske med ett belopp som uppgår till högst SEK tvåtusen (2 000). Auktorisation och legitimationskontroll (alternativt verifikation med PIN-kod) ska alltid företas innan utbetalning sker. Kontantutbetalning får ske endast när Kontokort har kontrollerats elektroniskt och endast i svenska kronor (SEK).
6. Säkerhet
6.1 Hantering av Kontokortsinformation
I syfte dels att behålla en hög säkerhetsnivå i de globala kortbetalningssystemen, dels att stärka förtroendet för Kontokort som betalningsmedel är det av yttersta vikt att alla som hanterar Kontokortsinformation gör det på ett säkert sätt. Med ”Kontokortsinformation” avses sådan information som finns präglad eller tryckt på Kontokortets fram- och baksida, inklusive information som finns lagrad i Kontokortets magnetspår och chip. Av denna anledning har kortindustrin enats om en gemensam standard för hantering av Kontokortsinformation. Standarden kallas Payment Card Industry (PCI) Data Security Standard (DSS) och är framtagen av de internationella kortnätverken Visa och MasterCard.
Säljföretaget åtar sig att följa standarden PCI DSS i det utförande den vid var tid finns publi- cerad på xxx.xxxxxxxxxxxxxxxxxxxx.xxx.
Detta innebär bl.a. att Säljföretaget:
• inte under några som helst omständigheter får lagra eller skriva ut i) CVV/CVC (dvs. kortverifieringsvärdet i Kontokortets magnetremsa), ii) CVV2/CVC2 (dvs. den säkerhetskod som normalt finns i slutet av signaturpanelen på Kontokortets baksida) eller iii) iCVV/iCVC (dvs. verifieringsvärdet i ett Kontokort som är försett med chip). Säljföretaget åtar sig även att inte lagra eller skriva ut PVV (dvs. verifieringsvärdet för PIN koder),
• endast får lagra sådan Kontokortsinformation som är absolut nödvändig för Säljföre- tagets verksamhet (dvs. namn, Kontokortets nummer och Kontokortets giltighetstid),
• ska förvara/lagra media som innehåller Kontokortsinformation (t.ex. loggar, transaktions- rapporter, elektroniska kvitton eller avtal) på en säker plats och på ett sådant sätt att endast personer som med nödvändighet behöver tillgång till materialet i fråga bereds sådan tillgång,
• ska hantera all Kontokortsinformation konfidentiellt och att inte till tredje part yppa något om de personuppgifter (t.ex. namn och personnummer) som Säljföretaget kan komma att få del av,
• ska förvara information om Kontokortets nummer på ett sådant sätt att ingen obehörig användning kan förekomma,
• ska tillse att elektroniska kvitton och andra medium är skyddade mot obehörig åtkomst,
• omedelbart ska anmäla till Diners Club om Säljföretaget upptäcker, eller misstänker, att Kontokortsinformation har använts obehörigt eller att sådan information på annat sätt har missbrukats. Vid misstanke om brott ska Säljföretaget på Diners Clubs begäran även polisanmäla händelsen,
• ska tillse att Kontokortets nummer inte exponeras för andra personer än sådan personal hos Säljföretaget som med nödvändighet behöver tillgång till detta,
• ska tillse att det finns dokumenterat hur Kontokortsinformation skyddas i Säljföretagets tekniska utrustning,
• ska tillse att det finns rutiner för säker hantering och distribution av Kontokortsinformation och att dessa rutiner regelbundet följs upp och granskas. Rutinerna, eller information om dessa, ska förstöras på ett säkert sätt, t.ex. genom dokumentförstörare, när rutinerna/informationen inte längre behövs enligt tillämplig lagstiftning och/eller Instruktionerna,
• ska tillse att det finns en förteckning över all teknisk utrustning och att denna utrustning förvaras på ett säkert sätt,
• ska tillse att Kontokortsinformation och/eller Kortinnehavare, så snart teknisk utrustning och/eller annat medium som innehåller sådan information inte längre ska användas av Säljföretaget, görs obrukbar.
6.2 Godkännande av system
Terminal som levererar Transaktioner till Diners Club ska vara godkänd av Diners Club, eller annan tredje part som Diners Club anvisar. Diners Club kan ställa krav på särskild granskning av ur säkerhetssynpunkt känsliga komponenter.
6.3 Särskilt om s.k. Noder och Payment Service Providers
Använder Säljföretaget en tredje part (s.k. nod eller Payment Service Provider) som del av sin betalningslösning för hantering av Transaktioner, måste Säljföretaget säkerställa att denne uppfyller alla krav enligt PCI DSS.
6.4 Ändring av utrustning m.m.
Säljföretaget ska informera Diners Club inför varje installation, omflyttning eller avveckling av utrustning som är tekniskt ansluten till Diners Club eller annan insamlare av Transaktioner.
Ändringar i Terminal, som påverkar de förutsättningar som gällde vid tillfället för godkännandet, får inte vidtas utan Diners Clubs medgivande.
Säljföretaget ska, innan transaktioner får överföras till Diners Club, genomföra ett av Diners Club anvisat test av sin uppkoppling mot Diners Clubs mottagningssystem.
6.5 Särskilt om kassasystem med integrerad kortläsare/Säkerhetsanvisningar Säljföretag som använder kassasystem med integrerad kortläsare ska även tillse att av Euroline/Diners Club vid var tid särskilt meddelade Säkerhetsanvisningar följs.
6.6 Dataintrång och IT-forensisk undersökning
För det fall Diners Club misstänker att Säljföretagets kassasystem, datasystem e.d. utsatts för intrång, manipulation e.d. som, enligt Diners Clubs bedömning, i något avseende berör Parternas samarbete enligt detta Avtal har Diners Club rätt att genomföra en s.k. IT-forensisk undersökning (”Undersökningen”) av utrustningen i fråga. Undersökningen får genomföras av Diners Club eller av ett av Diners Club anlitat IT-forensiskt företag.
Tidpunkt, och därmed sammanhängande frågor/rutiner hänförliga till Undersökningens genomförande, ska, om Diners Club inte bedömer detta som olämpligt, i möjligaste mån överenskommas mellan Parterna. Diners Club får dock även, om detta enligt Diners Clubs mening är mest ändamålsenligt, besöka Säljföretaget och genomföra Undersökningen utan att Säljföretaget underrättats härom i förhand.
Det åligger Säljföretaget att i skälig omfattning medverka vid Undersökningen och underlätta genomförandet så att syftet med Undersökningen, dvs. att konstatera huruvida intrång/mani- pulation har skett, kan uppnås.
För det fall det genom Undersökningen konstateras att Säljföretagets kassasystem, datasystem
e.d. blivit utsatta för intrång, manipulation e.d. är Säljföretaget skyldigt att på Diners Clubs begäran ersätta Diners Club kostnaderna för Undersökningen.
7. Särskilt om subventionerad Terminal
För det fall Säljföretaget valt att utnyttja ett erbjudande från Diners Club att hos Point Transaction Systems AB, eller sådan annan leverantör av Terminaler som Diners Club från tid till tid samarbetar med, hyra en Terminal till subventionerat pris (”Erbjudandet”), är de två följande styckena tillämpliga.
Diners Club och Säljföretaget är överens om att för det fall Säljföretaget säger upp Avtalet till upphörande tidigare än tre (3) år beräknat från dagen då Säljföretaget valde att utnyttja Er- bjudandet, Säljföretaget på Diners Clubs begäran ska vara skyldigt att utge tvåtusenfemhundra (2.500) kronor till Diners Club. Samma sak gäller om leverantören av Terminalen inom samma tid på Säljföretagets begäran omprogrammerar Terminalen till annan inlösare än Diners Club. Med ”dagen då Säljföretaget valde att utnyttja Erbjudandet” avses den dag då Säljföretaget tecknade avtal om hyra av en subventionerad Terminal med leverantören av Terminalen.
Det som stadgas i förra stycket gäller oavsett vid vilken tidpunkt skyldigheten att utge beloppet infaller.