Betalingsløsninger

Hej

Jeg har brug for at finde en betalingsløsning til mit site. I første omgang drejer det sig om udelukkende danske kunder, men jeg er i tvivl om et par ting, som jeg håber I kan hjælpe med herinde.

Jeg har kig på PBS-international, for man kommer ikke udenom pbs uanset hvad, når man vil benytte sig af Dankort. Min tvivl opstår så bl.a. når folk vil bruge et Visa/Dankort. Skal jeg så BÅDE have den nederste løsning (Dankort & eDankort), samt den øverste (Mastercard, Maestro, Visa osv.) som de viser her http://www.pbs-international.dk/internetforretninger/priser?mid=CADEC2D9-3DD2-4C68-A95E-496053106677 ?

Dernæst vil jeg høre hvad det er for en betaling jeg skal kigge på, hvis jeg vælger et webhotel der ikke understøtter ssl, og jeg derfor skal ud og benytte mig af betalingsvindue fra PBS, eller et relay-script. Er det "250 kr. via webhotel", "1.250 kr. ved certificeret software og egen server.", eller "15.000 kr. ved certificering af software" for Dankort løsningen?

På forhånd tak for hjælpen:)

PS: Hvis I kan anbefale et godt webhotel med SSL må I meget gerne det, det må bare ikke være vildt dyrt (over 100 kr. om måneden)

Det var da sørgeligt med de nye regler faktisk. Så ved jeg jo hvad jeg skal gå efter mht. webhotel, for så er SSL jo stort set et 100% krav :)

Det ville jo også være rart at have en løsning for dem der ikke har et kort. Er eWire her det bedste bud?

SSL har altid været et krav på sider hvor du skal indtaste kortdata (dvs. kortnummer, udløbstidspunkt og sikkerhedskode). Tidligere (eller rettere sagt indtil d. 30/9) var det dog tilladt at "remote-loade" dine indtastningsformularer under betalings-gateway'ens SSL certifikat.

Mvh. Anders

tj:

Nej, netop ikke. Fra skæringsdatoen får du ikke lov at lave vinduet hvor slutkunden skal angive kortdata på egen server/eget webhotel. Med mindre du lader dig PCI-certificere... og det har du ikke lyst til - tro mig.

Hej Thomas, det passer ikke. Jeg syntes du skulle holde op med at vildlede jeres potentielle kunder.Ifl. følgende tekst som jeg har snippet fra jeres egen side passer det du siger ikke:

 "En hosted løsning er en løsning hvor alle kortdata er gemt, transmitteret og
processet i et PCI DSS certificeret miljø hos en Qualified Security Assessor (QSA)
certificeret IPSP'er. Alle andre løsninger er per definition ikke hosted og kræver
derfor kvartalsvise sikkerhedsskanninger og årlig udfyldelse af SAQ. Vi gør
opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens
design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret
for sikkerheden ligger hos den enkelte IPSP'er."

Kilde: http://quickpay.dk/fileadmin/www.quickpay.dk/current/downloads/pbs-pci.pdf

Udover at det brev dokumenterer at hverken Susanne eller Vibeke har en meter styr på

it sikkerhed så er det nu engang dem der bestemmer :( ... men trods alt har de ikke

forbudt proxy løsninger endnu.

Fortsat god dag.

Mikkel Mikjær Christensen:

tj:

Nej, netop ikke. Fra skæringsdatoen får du ikke lov at lave vinduet hvor slutkunden skal angive kortdata på egen server/eget webhotel. Med mindre du lader dig PCI-certificere... og det har du ikke lyst til - tro mig.

Hej Thomas, det passer ikke. Jeg syntes du skulle holde op med at vildlede jeres potentielle kunder.Ifl. følgende tekst som jeg har snippet fra jeres egen side passer det du siger ikke:

 "En hosted løsning er en løsning hvor alle kortdata er gemt, transmitteret og
processet i et PCI DSS certificeret miljø hos en Qualified Security Assessor (QSA)
certificeret IPSP'er. Alle andre løsninger er per definition ikke hosted og kræver
derfor kvartalsvise sikkerhedsskanninger og årlig udfyldelse af SAQ. Vi gør
opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens
design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret
for sikkerheden ligger hos den enkelte IPSP'er."

Kilde: http://quickpay.dk/fileadmin/www.quickpay.dk/current/downloads/pbs-pci.pdf

Udover at det brev dokumenterer at hverken Susanne eller Vibeke har en meter styr på

it sikkerhed så er det nu engang dem der bestemmer :( ... men trods alt har de ikke

forbudt proxy løsninger endnu.

Fortsat god dag.

Eh... du siger jeg lyver? Interessant vil jeg sige.

Spørgeren tilkendegiver at han vil finde sig et webhotel m. SSL-certifikat. Man har netop ikke behov for et SSL-certifikat når man anvender proxy-løsninger. Rent faktisk er proxyløsninger typisk opfundet for at merchants "kunne slippe" for at installere eget SSL-certifikat. SSL-certifikat ønsker man typisk kun hvis man vil køre m. rene API-baserede løsninger, og de bliver netop "forbudt".

At det så er omsonst at proxyløsninger overhovedet forbliver tilladt når man ikke vil tillade API-løsninger er en helt anden diskussion.

Jeg tror iøvrigt ikke at kravene/tiltagende kommer fra hverken Susanne eller Vibeke.

vh

thomas - quickpay.dk

tj:

Eh... du siger jeg lyver? Interessant vil jeg sige.

At det så er omsonst at proxyløsninger overhovedet forbliver tilladt når man ikke vil tillade API-løsninger er en helt anden diskussion.

Drop nu det flueknepperi, du kan tydeligvis ikke tolke indholdet af det brev, hvilket du nu har illustreret endnu engang. Derudover har jeg ikke beskyldt dig for at lyve, jeg har beskyldt dig for ikke at vide bedre. Der er væsentligt forskel, jeg syntes bare for din egen skyld du burde lade være med den slags og evt. hyre nogen med flair for kommunikation til at tage sig af det.

Til trådstarter: Det er ikke nok at få dig et SSL Certificat, Thomas her har måske nok en PCI certificering men han er knap så dygtig til at kommunikere. Hvorfor jeg vil anbefale dig at kontakte et andet selvskab der kan guide dig i den retning du ønsker.

Det som er hele sagens kerne er at dine kunders kort-data kun må opbevares hos en virksomhed der er PCI Certificeret, det bliver du ikke af et SSL certificat. Derfor skal selve bestillingsformularen nu også ligge hos gateway udbyderen, dvs. på dennes servere. Derfor har du absolut intet at bruge en SSL Løsning til.

Mht. at API løsninger bliver forbudt er det også kun delvist rigtigt, Thomas mener at en "API Løsning" er en fast-defineret enhed. Dette er ikke tilfældet, tværtimod. I ordet "API Løsning" ligger sådan set bare at du har nogle "håndtag" du kan tilgå direkte fra et fremmed (kundens) program. Hvad det "håndtag" efterfølgende gør og ikke gør afhænger af hvordan API Interfacet er defineret, og det kan sagtens lade sig gøre at definere et Interface der ikke opbevarer kortdata i kundens ende. Sådan er Thomas' interface bare ikke defineret, derfor siger han som han gør. Fordi i "hans verden" har han et produkt der hedder "API Løsning" og det opfører sig på en bestemt måde .... men det gør det ikke hos f.eks. Scannet, Dibs, Epay og en håndfuld andre jeg har haft med at gøre. De tillader alle API Adgang uden at man skal opbevare kortdata lokalt.

Hvis nogen skulle mene det jeg siger er forkert er de velkomne til det, de er også velkomne til at skrive det her, de skal bare ikke forvente at jeg giver mig til at tilbagevise noget som helst, det har jeg ikke tid til. Min mening her bygger på snart 7 års erfaring med det mareridt der i daglig tale kaldes PBS.

Jeg vil lige tillade mig at give mit besyv med.

Jeg har kun god erfaring med kommunikation med medarbejderne hos PIL - Herunder også Thomas Jensen, hvilket jeg ved at flere af mine kunder også har god erfaring med.

Så hvis Mikkel har problemer med at finde ud af hvad Thomas mener, så kunne man overveje at spørge igen, eller selv se om svaret er at til læse sig til svaret på deres hjemmeside, i stedet for at give sig til at råbe og skrige her på Amino om hvad han mener om en anden virksomheds kommunikationsevner.

Det er, efter min mening, et meget lavt niveau at debatere/tilsvine på!