Buy Now Pay Later PCIis een de Gebieden, in het de PCI DSS-Verantwortungskette op het meest complexe te kartieren is. BNPL-Modelle Hoe Klarna, Scalapay, Afterpay en uw Europese Wettbewerber omvatten mehrere Akteure in een einzigen Transactie: De Handelaar, De BNPL-Aanbieder, het Kartennetzwerk en in einigen Fällen een separaten Acquirer. Te verstehen, Hoe Kaartgegevens verwerkt en Hoe voor de PCI DSS-Naleving in deze Ökosystem verantwortlich is, is voor elke Handelaar, de Ratenzahlungen anbietet, unerlässlich.
BNPL en PCI DSS: de Verantwortungskette
In De meest gangbare BNPL-Modellen agiert de Aanbieder (Klarna, Scalapay usw.) als Finanzier: Het zahlt het Handelaar naar het Zeitpunkt van de Kaufs De vollen Betrag en beheert dann de Kreditbeziehung met het Verbraucher voor de nachfolgenden Raten. De Verbraucher kan de Raten met een Kredit- of Debitkarte betalen, wobei Kaartgegevens via de Plattform van de BNPL-Anbieters worden overgedragen. De Handelaar ontvangt alleen De Auftragsbetrag, zonder de Kaartgegevens van de Verbrauchers voor de Raten te zien.
Het betekent, dat voor de reine BNPL-Komponente de Handelaar außerhalb van de Kartendatenflusses liegt: De PCI DSS-Perimeter voor dese Transactie gehört het BNPL-Aanbieder, niet het Handelaar. Wanneer de Handelaar echter parallel ook traditionelle Kartenzahlungen akzeptiert (Wat fast altijd de Fall is), blijft sein PCI-Perimeter voor dese Stromen aktiv. De veelvoorkomende Fout is de Annahme, dat de Integratie een BNPL-Anbieters de PCI-Verpflichtungen volledig elimineert: U verkleint u alleen voor Transacties, de über deze specifieke Kanaal abgewickelt worden.
De BNPL-Handelaar: Welke Kaartgegevens Het tatsächlich raakt
is Het BNPL-Modellvarianten, bij denen de Handelaar stärker in Kaartgegevens eingebunden is. Bij "Handelaar-finanziertem BNPL" of White-Label-Oplossingen kan de Handelaar De Ratenplan direct zonder externen BNPL-Aanbieder verwalten. In deze Fällen moet de Handelaar Kaartgegevens voor nachfolgende Raten opslaan of darauf toegang krijgen kunnen, en de PCI-Perimeter uitgebreid zich erheblich. De Card-on-File-Tokenisatie wordt notwendig, om Deze Raten te verwalten, zonder Kaartgegevens in de Systemen van de Handelaar offenzulegen.
Selbst bij BNPL-Modellen met externem Aanbieder is Het Szenarien, in deen de Handelaar indirekt Kaartgegevens raakt: benutzerdefinierte Integraties, de Gegevens über de Server van de Handelaar naar De BNPL-Aanbieder übertragen, E-Commerce-Plattformen, de Gegevens voor de Weiterleitung naar De BNPL-Aanbieder sammeln, of Analysesysteme, de Zahlungsinformationen protokollieren. Elke Deze Szenarien kan De PCI-Perimeter van de Handelaar erweitern, ook wanneer het Geschäftsmodell BNPL is.
Hoe Tokenisatie BNPL vereinfacht
Voor Handelaar, de internes of White-Label-BNPL anbieten, is de Tokenisatie de natürliche Oplossing naar de gesetzeskonformen Beheer nachfolgender Raten. De Kaartgegevens worden eenmalig erfasst, tokenisiert, en het Token wordt gebruikt, om Elke Rate te belasten. De Handelaar slaat op nooit een Klartext-PAN, de PCI-Perimeter wordt op het Token allein verkleint, en Raten worden über De Vault verwerkt, de tegenover het PSP detokenisiert en überträgt. Het Modell is identisch met de Standaard-Wiederkehrabrechnung, met de zusätzlichen Ratenlogik in het Systeem van de Handelaar.
Voor Handelaar, de externe BNPL-Aanbieder Hoe Klarna of Scalapay gebruiken, blijft de Tokenisatie voor de parallelen traditionellen Kartenkanal nützlich. Een einziger Vault, de zowel de Kartenkanal-Tokens als ook etwaige interne BNPL-Integraties beheert, vereinfacht de Gesamtarchitektur en verkleint de Anzahl de te verwaltenden PCI-Perimeter.Handelaar-PCI-Nalevinglaat zich met een einzigen Kaartgegevens-Aggregationspunkt weitaus leichter verwalten.
Veelgestelde vragen
Habe ik nog PCI DSS-Verpflichtungen, wanneer ik Klarna of Scalapay verwende?
Het hängt davon ab, Hoe de Integratie aufgebaut is en Welke anderen Zahlungsmethoden U accepteren. Wanneer de BNPL-Integratie een reine "Weiterleitung" is (de Verbraucher wordt op de Plattform van de Anbieters doorgestuurd, om Kaartgegevens einzugeben) en U geen traditionellen Kaarten accepteren, is Uw PCI-Perimeter minimal. Wanneer U ook traditionelle Kaarten accepteren of wanneer de Integratie Gegevens über Uw Server voert, blijft de PCI-Perimeter aktiv.
Übernimmt de BNPL-Aanbieder meine gehele PCI-Verantwortung?
De BNPL-Aanbieder deckt seinen eigenen Teil de Infrastructuur ab, niet Uw. Wanneer Uw Technische Integratie Kaartgegevens über Uw Systemen leitet, bevor u naar De Aanbieder verzonden worden, befinden U zich voor deze Teil in het PCI-bereik. Lees U de Technische Documentatie de Integratie sorgfältig en überprüfen U, Hoe Kaartgegevens in het werkelijke Stroom behandelt worden.
Hoe funktioniert een Rückbuchung bij een tokenisierten BNPL-Betaling?
In een tokenisierten BNPL-Modell worden Rückbuchungen op de Ebene Elke einzelnen Ratenbelastung abgewickelt. Het voor Elke Rate verwendete Token wordt van het Vault detokenisiert, de Transactie wordt met de ursprünglichen PAN beim PSP bestritten, en de Rückbuchungsprozess folgt De normalen Regels van de Kartennetzwerks. De Vault voert een vollständiges Log Elke Detokenisierung, om in het Streitfall Beweise te ondersteunen.
Bieden U internes of White-Label-BNPL naar en möchten Raten PCI DSS-konform zonder Kartendatenspeicherung verwalten?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op