Jag har nu suttit i telefon med vår inlösande bank samt Dibs. Vi överväger att byta till Dibs från vår nuvarande betalväxel eftersom denna fungerat miserabelt.

Vi använder idag en api-lösning. Det innebär att kunden aldrig lämnar vår webbsida. Dibs menade dock att en PCI-certifiering kommer att bli nödvändig för att använda denna lösning i framtiden. Numera kräver bankerna (Mastercard och Visa) att man använder en hostad lösning (där kunden flyttas till betalväxelns webbsida - i det här fallet Dibs).

Vad har ni andra hört om detta? Dibs menade att de flesta inlösarna redan idag kräver antingen en hostad lösning eller en PCI-certifiering. Jag har inte fått någon information om detta vare sig från vår inlösare eller från företaget som tillhandahåller betalväxeln. Det kom därför som en blixt från klar himmel.

Min första tanke var att implementera den hostade lösningen i en iframe. Dibs säljare kunde inte svara på om detta var möjligt, utan bad om att få återkomma.

Hur gör ni andra? Kör ni api-lösningar utan PCI-certifiering och låtsas som om det regnar, eller accepterar ni att era kunder flyttas till betalväxelns server för att genomföra köpet? Jag har MYCKET svårt att acceptera att våra kunder ska skickas vidare till en annan webbsida.

Vi körde DIBS under en kortare stund, men fick problem rent juridiskt med våran affärsidé.
Hur som helst så var det aldrig tal på att PCI-certifiering, hos DIBS, men jag har stött på det mycket.
Det handlar i grund och botten att du får en certifiering att din sida är säker mot intrång och klassiska fel, som dessutom testas automatiskt 4 gånger om dagen via företaget som utfärdar dessa PCI-certifieringar.

Om jag dessutom inte minns helt fel, så kostar certifieringen 150 euro per år och då kan du "knyta" oändligt med webbshoppar osv (dock inom samma företag) till ditt konto.

Eftersom jag har dåliga erfarenheter av den senaste kortbetalningsleveratören som kräver PCI-ceritifiering, så tänker jag inte heller skriva ut adressen till dem här.

Läsvärt:
PCI DSS
PCI Compliance Guide

Lycka till.

PCI kommer mer och mer, kommer troligen att bli standard.
I USA är det ett måste, och eftersom det är de stora drakarna (VISA, MasterCard) som sätter reglerna så tror jag att det kommer att komma till lilla Sverige.

Vad det handlar om är att kortkod och CSV2 kod ska hanteras på olika sätt, dvs CSV2 koden får inte sparas någonstans i något system, görs det ändå så måste man ha säkra rutiner mm för att det ska bli godkänt.

Enklast löser man detta genom att köra en hostad lösning.

Det stämmer kanske inte till 100% men det är vad jag har hört att det handlar om.

Det är standard inom betting-branschen.

Har gjort en hostad lösning åt en kund. Vi använde då DIBS eftersom det är dom som levererar till ett antal kortbetalnings siter idag (Payer, CertiTrade mfl).

Dibs har fördelen att man själv kan anpassa layouten.

Att göra en PCI certifiering kostar i runda slängar 800.000-1.500.000 :-. (Detta är vad jag fick höra när jag ringde runt till dom olika bolagen och hörde mig för.).
Man får ha en rätt bra omsättning för att klara av detta.

Tack för svaren. Både banken och Dibs gav mig ganska ingående förklaringar till vad PCI-certifieringen innebär, så jag har koll på den biten. Vad som förvånar mig är att jag inte har hört något om detta tidigare och att inga e-handlare har reagerat då certifieringen innebär en försämring för butikerna. Att trassla med certifiering verkar inte särskilt kul. Men att skicka vidare kunden till en för denna okänd webbsida hos Dibs, precis i det kritiska betalningsmomentet, känns minst lika illa.

Finns det någon som har en bra lösning på en hostad betalväxel att visa upp här på WN kanske? Dvs en hostad lösning där kunden skickas vidare till betalväxelns webbsida, utan att det framgår allt för tydligt. Det borde som sagt gå att integrera betalväxelns webbsida i sin egen shop med hjälp av iframes eller en passande design. Då skulle nackdelarna med en hostad lösning vara överkomliga.

Edit: hnn - Kan du ge mig en länk till butiken med Dibs betalväxel som hostad lösning?

Det som sker är väl "Sida" => DIBS => "Sida - Kvitto", sedan om man väljer att skicka upp en popup när detta sker eller inte är upp till sidans ägare.

Eller detta förbjuder DIBS avtal?

Det är endast ett måste i USA om man har har mer än 20 000 transaktioner/år


Några punkter på sånt som måste följas för att klara PCI standarden i USA:

1. Förvara inte fullständiga uppgifter från kortets magnetremsa.

2. Förvara ALDRIG kortets CVV kod.

3. Förvara alla kortinnehavares uppgifter i en säker miljö med
kontrollerad tillgång till personal.

4. Rensa alla transaktionshistorik på regelbunden basis från
dina in-house-system så att det aldrig kan läsas ellerhämtas av obehörig personal.

5. Förstör alla kopior av kortinnehavarens uppgifter
efter två år.

o.s.v.

Japp, jag har kört med Iframes, funkar bra.

Men jag har även gjort en annan variant där jag anpassade den hostade betalsidan så att den ser ut att tillhöra orginalsidan utseendemässigt, på URL ser man dock att man befinner sig nån annanstans.

Har gjort ovanstående med Samport.

Var det inte en artikel i internetworld kring detta? Jag såg den och tänkte i mitt stilla sinne att det är ingen idé att reagera utan bara att gilla läget trots försämringen. Vi har inte heller fått någon info av vår betalväxel, men det lär nog komma framöver eftersom vi inte kör deras hostade lösning.

Här finns mer information:http://www.pan-nordic.org/engines/page___292.aspx

Detta kommer att gälla alla från 1 januari 2009.

Det här suger.
ligger på samport och tvingas över från 0,5 per transaktion till 2kr.
Har tittat hos payex men priserna där skiljer sig inte
Rena jualfton för betalväxeln,ingen nedjustering av priserna trots att deras volymer nu ökar markant.

En pci-verifiering lönar sig inte,vad gör ni?
Och har ni hittat någon betalväxel med bra priser upp till 1000 transaktioner i månaden.


mvh

Ja detta suger något ofattbart!

Vi blir också tvugna att skicka vidare vår trafik och bygga om hela jävla orderflödet för att det skall bli smidigt igen.

Har ni fått ok från er betalningsleverantör att köra med iframes?

Vi fick blankt nej för både iframe och "vanliga" frames när en av våra kunder ville ha det, då bl.a. 3dSecure kräver att rätt adress visas i adressfältet när kortbetalnignen ska sker.
Ett popupfönster var dock helt ok.
Använder man ävn Flexwin hos Dibs går det att anpassa designen på popupfönstret helt i stil med e-butiken, vilket gör att det knappt märks att man lämnar siten.


Jag fick ett pris på mellan 50-80tkr för den lägsta nivån av PCI-certifieringen, vilket borde vara överkomligt för många (+egna kostnader för server, utbildning etc.).


Ett alternativ är att flera e-handlare går ihop delar på kostnaderna för certifiering. Antingen skapar ni ett nytt företag eller anlitar ett befintligt (webbhotell, e-handelsleverantör) som certifieras för PCI-DSS. Sedan köper ni (e-handlare) serverplats och API-tjänsten av denna certifierade leverantör.

Hittade denna: http://sakerhet.idg.se/2.1070/1.157147

Japp, det var ca 1.5 år sen hos Samport, det var inga problem med iframes.

Vad är det som kostar 50-80tkr?Är det den årliga kostnaden för nätverkscanningen?
Isf ser jag det knappast överkomligt om man ligger i lägsta nivån(nivå4 under 20000 transaktioner årligen)
<_<

Jag väcker liv i min gamla tråd igen.

Efter att ha gått ifrån vår API-lösning och bytt till hostad lösning hos Dibs så har vi tappat drygt 50 % av våra kortköp. Vad detta beror på vet jag ännu inte, men jag tänkte att det kunde vara värt att nämna, eftersom vi har diskuterat eventuella nackdelar med hostad lösning tidigare i tråden. Jag är riktigt grinig över att nu behöva börja gräva i vad bortfallet kan bero på. En snabb överblick visar att vi har MÅNGA misslyckade kortbetalningar. Vi har även många kunder som vänder mitt i betalningen. De väljer först att betala med Kreditkort. De skickas därför vidare till Dibs sida. Där backar de tillbaks till vår kassa och väljer en annan betalningsmetod istället.

Det positiva är att bortfallet av kortköp inte har gått ut över försäljningen i övrigt. Det negativa är att en majoritet av kunderna numera väljer att betala mot postförskott. Dibs fungerar fortfarande mycket bättre än vår gamla betalväxel, men min upplevelse av 3-d secure och en hostad lösning är så här långt mycket negativ.

Intressant. Idag avslutade jag jobbet med att snickra ihop den hostade lösningen hos Samport. Samport erbjuder nämligen en hostad lösning, men med egen layout. Det innebär att användaren rent utseendemässigt inte kommer att märka någon skillnad, vilket var väldigt viktigt för mig.

Ta SJ som exempel, de har valt att använda Paynova. Där möts man nu av en helt annan layout än man är van vid sedan tidigare. Dessutom står det "Paynova" på kontoutdraget. Såna små detaljer tycker åtminstone jag är viktiga att man försöker undvika. Tror att det kan påverka försäljningen negativt.

Även Dibs har en lösning som kallas flexwin där man kan anpassa utseendet själv. Det är den vi använder, så det kan inte vara designen på betalsidan som får kunderna att backa.

Jag vet som sagt inte vad nedgången i kortköp beror på. Men jag tänkte gräva i det. Jag misstänker att kunderna helt enkelt inte litar på Dibs, utan avbryter köpet när de ser att de har hamnat på en för dem helt främmande domän.

Mycket itnressanta saker det här. Jag personligen skulle lite mycket mer på Dibs än "Kalle runt hörnet" när jag skall lämna ut kortinformation (menar inte att Gustav är "Kalle runt hörnet", men ni förstår säkert skillnaden mellan en av Nordens största betalväxlar och ett litet företag)...

Vore mycket intressant att få veta vad Gustav kommer fram till...

En certifiering är för de flesta en mycket kostsam historia, men det är ju inte helt oöverkomligt...

Hmm, mkt intressant, posta gärna mer info om du kommer på nått.

Isåfall kan det ju löna sig att investera i en API-lösning.

Håller med dig, men å andra sidan vet nog inte "Svensson" vad DIBS är.

Sant, men det är lättare att hitta DIBS och information om dem än "Kalle runt hörnet".

Men om Svensson själv behöver leta efter informationen så ligger nog ett byte av betalsätt eller helt enkelt att skippa köpet oroväckande nära till hands...

Det där att kortköpen har minskat med 50% låter helt otroligt.
Inom hur långt tidsintervall har du kommit fram till dessa siffror?
Vi märkte inte av någon som helst skillnad efter att gå från Samport API till DIBS hostad lösning.
Hur ser implementationen ut, märker kunden tydligt att dom förflyttas till annan server?

Nu har jag kört Samport hostad några veckor och kan bidra med lite info.

Precis som Gustav upplevde vi att kortbetalningarna minskade med 50%. Av de misslyckade köpen tappade vi ungefär hälften av beställningarna, resten valde andra betalsätt. Kontaktade Samports support som till slut kom fram till att vår webbadress inte var ifyllt i nåt system, efter att de löste det så funkar kortbetalningarna klockrent.

Intressant, vi ska precis byta till samport hostad eftersom API lösning inte är ett alternativ längre (så irriteande), så du får gärna säga till om du vet vart man kunde hitta vart webbadressen skulle fyllas i ifall det var någonstans i deras admin.

Jag uppfattade aldrig riktigt var det skulle fyllas i, i webmanagern hittade jag inget.

Tydligen så ska API transaktioner kosta samma som transaktioner med hostad lösning efter nyår.Det gäller samport.

Är det så hos andra betalväxlar också?

Jag tro inte den som kör API kommer klara certen som Visa och mastercard kräver. Man kan slippa gå över till hostad, men då får man ta ansvaret själv

Hörde att Paynova håller på ramla av pin, har en kund som har köpt konto där..

Väcker liv i en gammal tråd.

Fick precis besked av min bank att det inte spelar någon roll om man kör API eller hostad lösning, man måste klara PCI certifieringen i vilket fall.

Faktum är ju att det kan finnas säkerhetshål även om man kör hostad lösning. Det sker ju trots allt en viss kommunikation mella sajten och betalningslösningen (det var deras argument i alla fall).

Har det kommit hit så kommer det nog till Sverige också vad det lider. Visa och MC bryr sig nog inte om sajtägaren pratar engelska eller svenska, de har gett sig den på att säkerheten skall öka.

Varför då?

Jag har nu äntligen tagit mig tid att göra certifieringen på en sajt. Har bara några filer som måste döpas om, sen är jag klar och godkänd med den sajten. Nu behövde jag inte göra så mycket själv som tur var, det skötte min fantastiska host. Inte ett öre kostade certifieringen.

Avs PCI-cert så finns det flera olika nivåer på detta. PSP:s som DIBS tex har PCI-cert på den högsta nivån vilket kostar en hel del pengar. Om men som ehandlare ser till så att kortdatan inte lagras längre än vad som krävs för att skicka vidare den via API så bör detta räcka för den lägsta nivån av PCI-cert. Denna kräver ingen formell certprocess utan enbart att man går igenom en relativt lång checklista som framförallt handlar om säkerhet kring sin infrastruktur. Det är dock viktigt att poängtera att kostnaden för PCI inte i första hand handlar om rena pengar utan snarare om att risken övergår till dig som ehandlare. Om din butik blir inblandad i ett bedrägeri via en transaktion och det i efterhand visar sig att du ej uppfyllt PCI-kraven kommer VISA/MC förmodligen belasta dig med såna kostnader så att du blir tvungen att stänga igen butiken. DIBS och de andra PSP:arna bryr sig egentligen inte om din tekniska lösning dvs API alt hoastad utan det är i första hand inlösarna som ställer krav på detta. Vi tror att det framöver kommer vara förbehållet de största butikerna att ha API medan alla andra kommer köra hoastade lösningar. Tyvärr kommer detta nog ha negativ effekt på orderkonvertering av kort som betalsätt och gynna faktura- och direktbetalning exv. Jag kan också nämna att vi själva gjorda integration till DIBS och Payson med en lightbox vilket de har tyckt vara helt ok.

Väcker lite liv i tråden igen.

Någon som vet vad som krävs idag när det gäller pci-cert och annat för att köra egen hostad lösning mot DIBS?
Har sett att trustwave.com erbjuder detta, finns det fler?

Jag har jobbat med en kund som PCI certade sig, det var ett jävla meck vill jag minnas, iofs så var miljön ganska stor. Som jag fattade det så satte trustwave en box i kundens nät och sen gjorde som hela certifieringen remote.