Proces plateb a pravidla provozu platební brány

Plátce (zákazník eshopu) je při platbě přesměrován z eshopu na web platební brány, kde provede platbu. Eshop je informován o výsledku platby a nakonec je plátce přesměrován zpět na eshop. Přesměrování probíhá pomocí HTTP redirectu.

Pohled ze strany plátce (zákazníka eshopu)

Z pohledu Plátce probíhá proces platby tímto způsobem:

  • plátce vybere zboží v eshopu
  • plátce klikne na „zaplatit“ v eshopu a vybere platební metodu (karta, bankovní převod)
  • plátce je přesměrován na webové rozhraní platební brány pro platbu kartou nebo rozhraní banky pro platbu bankovním tlačítkem. Pokud v eshopu nedošlo k výběru platební metody, zobrazí platební brána Plátci nabídku s výběrem platebních metod
  • plátce provede úhradu a je přesměrován zpět na stránky eshopu

Pohled ze strany eshopu

Platební brána nabízí dva způsoby volby platební metody:

  • platební metodu si plátce vybírá v rámci eshopu
  • platební metodu si plátce vybírá v platební bráně

Informace o výsledku platby je pro eshop dostupná z několika zdrojů:

  • předání výsledku na pozadí v komunikačním protokolu (push i get)
  • informační e-mail
  • webové rozhraní http://portal.comgate.cz/

Platby bankovním tlačítkem jsou připsány na bankovní účet ComGate u banky, která prováděla platbu. ComGate následně jednou denně hromadně převádí peníze z jednotlivých bank na jeden sběrný účet. Ze sběrného účtu každý pracovní den odesíláme platby e-shopům. Zároveň s platbou posíláme elektronický rozpis v csv souboru pro snadné zaúčtování. Vše probíhá do 3 pracovních dnů. Výjimku mohou tvořit individuální případy transakcí podléhající autorizaci či dodatečnému ověření ze strany bankovních ústavů či karetního zpracovatele.

Průběh transakcí

Transakce musí být Klientem provedena do 7 kalendářních dnů od data autorizace. Klient nesmí zaslat k zúčtování transakce, které by mohly být podvodné a které vykazují jeden nebo více následujících znaků:

  • částka transakce výrazně převyšuje průměrnou anebo obvyklou částku transakce na eshopu
  • jedná-li se o neobvyklé opakované zaslání zboží na stejnou adresu během jednoho týdne
  • jedná-li se o neobvyklé opakované objednávky zboží ze stejné e-mailové adresy, během jednoho týdne
  • z jedné e-mailové/IP adresy přijde v jeden den víc pokusů o uskutečnění transakce
  • z jedné IP/e-mailové adresy je jedna anebo víc transakcí zamítnutých a další může být schválená
  • transakce přišly z už identifikovaného podezřelého e-mailu/IP
  • objednávka byla zaslána z neobvyklé e-mailové adresy (ne jméno, ale náhodný řetězec znaků a čísel)
  • dodací adresa je na neobvyklé místo dodání zboží. Za rizikové oblasti je považována Afrika (Nigérie), Asie (Thajsko), Jižní Amerika (Venezuela) atd.
  • držitel karty žádá urychlené dodání zboží v porovnání se standardní dobou dodání, dotazuje se na přesnou dobu dodání zboží, mění adresu dodání, žádá předání na parkovišti, v hotelu, řidiči taxislužby apod

V případě jakýchkoli pochybností o korektnosti transakce Klient kontaktuje ComGate a požádá o součinnost při řešení.

Potvrzení transakcí

Potvrzení transakcí je generováno vždy při realizaci obchodu pro držitele karty (zaslané e-mailem, faxem nebo dopisem) a zaslané během jednoho pracovního dne zákazníkovi. Všechny nákupy v rámci jedné transakce musí být zahrnuty do jednoho potvrzení transakce, které musí obsahovat:

  • název Klienta (e-shopu) odpovídající názvu na internetových stránkách Klienta
  • aktuální adresu internetové stránky pro kontakt se zákazníky
  • kontakt na oddělení služeb zákazníkům – telefon a kód země. Pokud klient zasílá zboží/služby mezinárodně, musí uvést telefonní kontakt pro domácí i mezinárodní držitele karet. Klient se zavazuje reagovat na reklamace a dotazy zákazníků nejpozději do dvou pracovních dnů ode dne podání reklamace nebo dotazu.
  • částku a měnu transakce
  • datum transakce
  • identifikační číslo transakce
  • typ transakce – debit, kredit, recurring
  • popis zboží/služeb včetně ceny (cena včetně nebo bez DPH)
  • identifikaci Zákazníka – jméno, adresa
  • podmínky a omezení prodeje
  • v případě nabídky zboží na zkoušku (po určitou dobu zdarma) uvést přesné datum ukončení tohoto zkušebního období
  • reklamační řád – odkaz na internetové stránky klienta
  • podmínky zrušení transakce
  • vybranou variantu, kterou zákazník potvrdil v případě, že nebylo veškeré objednané zboží k dispozici
  • doporučení pro Zákazníky, aby si vytiskli toto Potvrzení transakce pro případ reklamace

Rozpis plateb, soubor CSV

Soubor CSV obsahuje tyto základní položky:

  • ID ComGate - unikátní identifikátor platby
  • Potvrzená částka – částka realizované transakce (výše objednávky zákazníka)
  • Převedená částka – částka, která je Klientovi zaslána na bankovní účet (ponížení o poplatek z transakce)
  • Produkt – popis zboží (tento popis předává Váš systém při založení platby)
  • VS převodu - variabilní symbol hromadného převodu. Všechny transakce v tomto převodu se váží na jeden variabilní symbol daného hromadného převodu.
  • ID Klienta - Váš párovací symbol, díky kterému identifikujete zboží a zákazníka, který si ho objednal (např. číslo objednávky, číslo zákazníka apod.). Díky tomuto symbolu je možné platby párovat ve Vašem systému.
Příklad CSV souboru
Příklad CSV souboru

Transakční poplatky

Při převodu finančních prostředků dochází k automatickému stržení poplatku, jehož výše je sjednána ve smluvní dokumentaci, například:

  • zákazník nakoupí zboží ve výši 1 000 Kč, což se rovná transakci realizované skrze platební bránu. Poplatek u dané metody je stanoven na výši 0,99 % + 3 Kč fixní poplatek
  • výpočet poplatku z transakce je následující: 1 000*0,0099 + 3 = 12,9 Kč
  • klient obdrží na bankovní účet 987,1 Kč.

Měsíční poplatek

Měsíční zúčtování poplatku probíhá po ukončení fakturačního měsíce, v prvních deseti dnech následujícího měsíce, například:

  • klient má sjednán měsíční poplatek 149 Kč
  • měsíční poplatek bude v průběhu denního vyúčtování stržen z platby a vyznačen v CSV souboru daného dne

Při strhávání měsíčního poplatku mohou nastat tři situace:

  • úspěšně je stržena plná částka měsíčního poplatku
  • částka měsíčního poplatku je stržena pouze částečně (v období nebyly realizovány transakce v dostatečné výši)
  • částka měsíčního poplatku nebyla stržena ani v minimální výši (v období nebyly realizovány žádné transakce)

Vypořádání měsíčního poplatku je vždy součástí měsíční fakturace.

Fakturace

Fakturace probíhá jednou měsíčně, a to nejpozději do 15. dne následujícího měsíce. Částka fakturace se skládá z transakčních a měsíčních poplatků. Vzhledem k automatickému strhávání poplatků je však většinou faktura vystavena na nulovou částku k úhradě. Faktura má standardní dobu splatnosti 14 dní. Kromě samotné faktury obdrží klient jednou měsíčně také rozpis plateb realizovaných v daném měsíci. Do fakturace jsou vždy zahrnuty pouze ty transakce v daném měsíci, které byly fakticky převedeny na Klientův bankovní účet.

PCI DSS

Při akceptaci plateb kartou jsou všechny strany povinny dodržovat mezinárodní standard PCI DSS (Payment Card Industry Data Security Standard), který se zabývá bezpečností zpracování a sběru karetních dat. Povinnost e-shopu, který akceptuje platby kartou jsou:

  • seznámit se a dodržovat PCI DSS
  • vyhodnocovat plnění PCI DSS – minimálně pomocí sebehodnotícího dotazníku 1x ročně

ComGate Payments či některý z partnerů v oblasti akceptace karet může požadovat prokázání splnění těchto povinností.

Minimální okruhy požadavků pro plnění PCI DSS norem:

  • instalovat a aktualizovat (konfiguraci) firewall(u) pro ochranu dat držitelů platebních karet
  • nepoužívat výchozí nastavení pro systémová hesla a jiné bezpečnostní parametry od dodavatele
  • zabezpečit uložená data držitelů platebních karet
  • šifrovat data držitelů platebních karet, přenášených přes veřejné sítě
  • antivirový software je používán a pravidelně aktualizován
  • vyvíjet a aktualizovat zabezpečení systémů a aplikací
  • omezit přístup k datům držitelů platebních karet, týkajících se utajovaných informací
  • každé osobě s přístupem k počítači je přidělen jedinečný identifikační údaj
  • omezit fyzický přístup k datům držitelů platebních karet
  • kontrolovat a sledovat všechny přístupy k síťovým zdrojům a datům držitelů platebních karet
  • pravidelně testovat zabezpečení systémů a procesů
  • dodržovat zásady zabezpečení

Bezpečnost

Systémy obsahující citlivá data o Zákaznících musí být co možná nejlépe zabezpečeny. Klient zodpovídá za bezpečné uložení citlivých dat a průkaznou evidenci k jejich přístupu. Využívá-li Klient služeb třetích stran ke zpracování a uložení těchto citlivých dat, je za tyto třetí strany zodpovědný. Klient se zavazuje zajistit:

  • vymazání a fyzické odstranění všech citlivých údajů o Zákaznících, po stanovené době 5 let, kdy již nejsou potřebné
  • zabezpečení veškerých přístupů k citlivým datům zadáním uživatelského jména a hesla včetně nadefinování rolí a odpovědností v rámci společnosti, které jsou následně logovány a průběžně kontrolovány. V případě jejich nepoužívání nebo odchodu zaměstnance ze společnosti jsou následně deaktivovány
  • šifrování jako Secure Socket Layer (SSL) k ochraně dat při vstupu Zákazníků, zaměstnanců nebo obchodních partnerů do systému. Zašifrování citlivých dat o zákaznících v databázích a na zálohovacích médií
  • vytvoření krizového plánu pro řešení bezpečnostních rizik, jeho dokumentaci a předání kompetentním osobám k řešení, včetně pravidelného testování bezpečnosti systému a testu vniknutí do systému
  • implementaci vstupních kontrol na straně serveru tak, aby nebylo možné obejít vstupní kontroly na straně Klienta
  • zabezpečenou konfiguraci routeru včetně instalace vstupních a výstupních filtrů na všech hraničních routerech
  • instalaci antivirového softwaru na všech serverech a pracovních stanicích a jeho pravidelná aktualizace. Změnu defaultního nastavení bezpečnosti na produkčních systémech dodavatele před zavedením do produkce a následná aktualizace produkčních systémů pomocí nejnovějších bezpečnostních patchů vydaných dodavateli
  • oddělení segmentu sítě obsahující servery pro umístění webu od segmentu sítě obsahující interní servery firewallem včetně aktualizace a patchování firewallu
  • aplikace bude resistentní vůči útokům typu Cross-Site Scripting (XSS), SQL Injection, Cookie Stealing, atd. To znamená, že v aplikaci Klienta bude zajištěna řádná kontrola všech vstupních polí

Doručení zboží

Klient si vyžádá tyto údaje pro zaslání zboží:

  • jméno držitele karty
  • jméno a adresu příjemce – pro zaslání zboží (nikdy ne P.O.BOX)
  • kontakt na příjemce – e-mail, telefon

Klient doručí objednané zboží nebo službu pouze na určenou adresu příjemce (bydliště, pracoviště), uvedené v elektronické objednávce, a to do 30-ti dnů od proběhnutí transakce. Klient v žádném případě nedoručí objednané zboží na adresu poštovní schránky (P.O.BOX). Jako podezřelé je třeba posuzovat i opakované pokusy o změnu adresy doručení, nebo žádost o předání zboží na parkovišti, na recepci hotelu, řidiči taxislužby atd.

Klient zajistí písemné potvrzení o doručení zboží nebo služby příjemci, a to jak v případě osobního doručení Klientem, tak i v případě doručení třetí osobou (např. formou poštovní zásilky, prostřednictvím kurýrní služby, zásilkou prostřednictvím ČD). Za písemné potvrzení se považuje dokument, který obsahuje:

  • jméno a příjmení příjemce zboží nebo služby
  • číslo a druh průkazu totožnosti příjemce, podle kterého je Klient nebo třetí osoba povinna při předávání zboží nebo poskytnutí služby ověřit totožnost
  • datum převzetí zboží příjemcem nebo poskytnutí služby příjemci

Ohlašovací povinnost

Klient je povinen neprodleně hlásit jakýkoli únik nebo podezření na únik dat ze svého systému, případně podezření na využívání těchto dat třetí stranou.

Klient je povinen oznamovat ComGate písemně v dostatečném předstihu, nejpozději však do 7 dnů před účinností takové skutečnosti, všechny změny, které mohou mít vliv na řádné plnění této Smlouvy, zejména:

  • změny bankovního spojení
  • změny adresy eshopu
  • změny doručovací adresy
  • změny sídla Klienta
  • změny druhu či charakteru prodávaného zboží či poskytovaných služeb
  • změny v právním statutu Klienta
  • jakékoli změny v obchodním rejstříku Klienta
  • změny názvu Klienta
  • zrušení eshopu
  • rozšíření eshopů Klienta, které akceptují karty
  • změny názvu eshopu telefonického spojení,
  • změny kontaktních osob