BESTEMMELSER FOR SALG MOD BETALING MED KONTOKORT DISTANCEHANDEL (Card Not Present) (Juli 2010) Disse bestemmelser “Bestemmelser om Distancehandel“, gælder for salg mod betaling med Kontokort ved Distancehandel. Med “Distancehandel” forstås Salgsmetoder, hvor Kontokort ikke er til stede på betalingstidspunktet. De ”Salgsmetoder”, som omfattes af Bestemmelser om Distancehandel, er f.eks. salg via internettet og salg efter post- og/eller telefonisk ordre, mobilbetalinger og Tilbagevendende Betalinger. Med “Tilbagevendende Betalinger” forstås såkaldte abonnementsbetalinger, hvor Kortindehaveren har tilladt, at Salgsvirksomheden løbende må belaste Kontokortet ved tilbagevendende fremtidige lejligheder (f.eks. abonnementer). Bestemmelser om Distancehandel udgør et supplement til de generelle bestemmelser, som er gældende for den aftale om Indløsning af Kontokorttransaktioner (”Hoveddokumentet”), som er indgået mellem Salgsvirksomheden og Euroline. Ved eventuelle konflikter mellem Hoveddokumentet og Bestemmelser om Distancehandel skal Bestemmelser om Distancehandel have forrang. Ord, som indledes med en versal, dvs. stort bogstav, betegner et ord, som har en særlig betydning/definition i Hoveddokumentet og skal i disse Butiksbestemmelser have samme betydning som i Hoveddokumentet. 1. Generelt om salg mod betaling med Kontokort ved Distancehandel Ved Distancehandel er Kontokortet ikke fysisk til stede, og Salgsvirksomheden kan dermed ikke identificere Kortindehaveren på samme måde, som når Kontokortet er til stede. Salgsvirksomheden bærer derfor altid, med de begrænsninger som punkt 6 nedenfor kan medføre, risikoen for alle købstransaktioner ved Distancehandel. Det betyder, at Euroline har ret til at videredebitere sådanne beløb til Salgsvirksomheden, som Kortindehaver har gjort indsigelse imod. Dette gælder, uanset om Kortindehaverens indsigelse er berettiget eller ej. 2. Særlige forpligtelser ved Distancehandel Salgsvirksomheden forpligter sig til: • på bestillingsformularen eller internetsiden klart at informere Kortindehaveren om, inden betalingsinstruktionerne, i hvilket land Transaktionen sker, samt i hvilket land Salgsvirksomheden betaler merværdiafgift (moms). • på sin hjemmeside ikke at have links til hjemmesider med ulovlige og/eller uetiske aktiviteter eller til virksomheder, som på et objektivt grundlag må anses at skade Eurolines anseelse. • omgående at underrette Euroline, hvis 1) den hjemmeside, på hvilken Salgsvirksomhedens salg foregår, skifter www-adresse, og 2) om nye www-adresser, som Salgsvirksomheden anvender til sit salg. 3. Kontroller Salgsvirksomheden skal ved debitering af Kortindehaveren foretage nedenfor angivne kontrolfunktioner: 3.1 Autorisation Autorisation skal altid ske på betalingstidspunktet, uanset købets beløb. Autorisationen skal kodes med korrekt Salgsmetode. De koder, som i den henseende skal anvendes, fremgår af Instruktionerne. Ved kontrol af status på Kortindehaverens Kontokort (kontrol af kortstatus) skal der altid benyttes en såkaldt ”nulværdi-autorisation” i henhold til Eurolines til enhver tid gældende procedurebeskrivelser. 3.2 Adressekontrol Adressekontrol skal foretages i henhold til Instruktionerne i det omfang, som angives i bilag til Hoveddokumentet. Adressekontrol medfører kontrol af, at den udbedte leveringsadresse stemmer overens med den adresse, som Kortindehaveren har opgivet til kortudstederen. Hvis autorisation af købstransaktion sker elektronisk, skal der på bestillingsgrundlaget til adressekontrol tydeligt anføres ”Kun adressekontrol”. Adressekontrol er kun anvendelig på post- og/eller telefonordrer. 3.3 Sikkerhedskode Kontrol af sikkerhedskode skal altid udføres, hvis intet andet er aftalt mellem Parterne. Kontrol af sikkerhedskode betyder, at den sikkerhedskode, som normalt findes i slutningen af underskriftspanelet på Kontokortets bagside, også kaldet CVV2 eller CVC2, stemmer overens med den sikkerhedskode, som kortudstederen er i besiddelse af. Salgsvirksomheden må ikke under nogen omstændigheder gemme sikkerhedskoden. 4. Ordreformular/bestillingsgrundlag 4.1 Indhold Salgsvirksomhedens ordreformular/bestillingsgrundlag skal være stilet til Salgsvirksomheden og indeholde: • Salgsvirksomhedens navn og CVR-nummer, • Kortindehaverens navn, • Kortindehaverens adresse (leveringsadresse), • Kontokortets nummer og udløbsdato, • bestillingsdato, • bestillingens beløb, • oplysning om moms, For bankkort udfærdiget af Swedbank skal ordreformularen/bestillingsgrundlaget desuden indeholde oplysninger om betalingsmetode, dvs. oplysning om betalingen skal belaste bankkonto eller kredit. 4.2 Arkivering Salgsvirksomheden skal i atten (18) måneder arkivere ordreformular/bestillingsgrundlag. På Eurolines anmodning skal Salgsvirksomheden inden for fem (5) bankdage stille ordreformular/bestillingsgrundlag til rådighed vedrørende enkelte Transaktioner. 4.3 Kortindehaverens kvittering Kortindehaveren skal altid have kvittering på den bestilte vare eller ydelse fra Salgsvirksomheden. I påkommende tilfælde, f.eks. ved salg via internettet, skal Salgsvirksomheden udlevere en elektronisk kvittering til Kortindehaveren med den information, som angives i punkt 5.2 nedenfor. 5. Rapportering 5.1 Indsendelse af købstransaktioner m.m. Elektronisk indsamlede købstransaktioner skal senest inden for to (2) dage fra betalingsdagen overføres til Euroline. I de tilfælde, hvor der forekommer papirnotaer, f.eks. ved post- og/eller telefonordrer, skal de være Euroline, eller den Euroline anviser, i hænde senest i løbet af fem (5) dage fra betalingsdagen. Ved “betalingsdagen” forstås dagen for autorisationen. Ved Tilbagevendende Betalinger skal Salgsvirksomheden til Euroline overføre Salgsvirksomhedens URL og/eller telefonnummer i købstransaktionen i henhold til Instruktionerne. Købstransaktioner skal leveres til Euroline ifølge den til enhver tid aftalte procedure. Købstransaktionerne må ikke overføres til Euroline til indløsningen, før levering af varen eller ydelsen er påbegyndt. Med levering af ydelse forstås også, at der træffes bindende aftale om en ydelse, som skal leveres/udføres senere. Levering må ved post- og/eller telefonordre, hvis intet andet er skriftligt aftalt, kun ske til den adresse, som Kortindehaveren har opgivet til sin kortudsteder. 5.2 Transaktionsinformation og log Salgsvirksomheden skal for hver Transaktion med Kontokort registrere følgende transaktionsinformation i en elektronisk transaktionslog: • Salgsvirksomhedens navn og kundenummer hos Euroline, • Salgsvirksomhedens URL (kun ved internetbestilling), • valuta og beløb, • oplysning om moms, • betalingsdagen (for Transaktioner som vedrører betaling for en rejse, begivenhed eller lignende, som skal finde sted i fremtiden, skal også datoen for rejsens, begivenhedens eller lignende afholdelse angives), • unikt transaktionsnummer, • kortindehaverens adresse og i påkommende tilfælde kundenummer hos Salgsvirksomheden, • kontrolnummer som bevis på autorisation, • transaktionstype (betaling eller returnering/kreditering) i klartekst, • beskrivelse af købte/returnerede varer/ydelser, • betalingsmetode (se punkt 4.1, stk. 2 ovenfor). 6. Særligt om salg via internettet Ved salg via internettet skal 3D Secure, dvs. henholdsvis Verified by Visa eller MasterCard SecureCode anvendes i henhold til Instruktionerne. Når Salgsvirksomheden har implementeret 3D Secure og kodet transaktionerne i henhold til Instruktionerne, har Euroline kun ret til at videredebitere omstridte beløb, for hvilke der er afgivet indsigelse som bedrageriske eller uautoriserede køb i henhold til Visas og/eller MasterCards til enhver tid gældende bestemmelser. Visa og MasterCard kan også fra tid til anden bestemme, at Euroline, selvom Kortindehaveren ikke har autoriseret sig over for sin kortudsteder, ikke har ret til at videredebitere omstridte beløb, for hvilke der er gjort indsigelse som bedrageriske eller uautoriserede køb. For beløb, der er gjort indsigelser mod af en anden årsag end som bedragerisk eller uautoriseret køb, har Euroline ret til at videredebitere i henhold til punkt 1 ovenfor, hvis Salgsvirksomheden har implementeret 3D Secure. Diners Club-kort, nogle af MasterCards og Visas produkter samt visse ikke-europæiske kort understøtter i øjeblikket ikke 3D Secure. Salgsvirksomheden skal også vise logotyperne for Verified by Visa og MasterCard SecureCode på betalingssiden/kassesiden. Punkt 6 i Hoveddokumentet er også gældende, hvis Salgsvirksomheden har implementeret 3D Secure. 7. Sikkerhed 7.1 Håndtering af kontokortinformation Med henblik på dels at bevare et højt sikkerhedsniveau i de globale kortbetalingssystemer, dels at styrke tilliden til Kontokort som betalingsmiddel, er det af yderste vigtighed, at alle, som håndterer Kontokortinformation, gør det på en sikker måde. Med ”Kontokortinformation” forstås sådan information, som er præget eller trykt på Kontokortets for- og/eller bagside, inklusive information som er lagret i Kontokortets magnetspor og chip. Derfor har kortindustrien vedtaget en fælles standard for håndtering af Kontokortinformation. Standarden kaldes Payment Card Industry (PCI) Data Security Standard (DSS) og er udviklet af de internationale kortnetværker VISA og MasterCard. Salgsvirksomheden accepterer at følge standarden PCI DSS i den udformning, der til enhver tid er offentliggjort på www.pcisecuritystandards.org. Det betyder bl.a., at Salgsvirksomheden: • • • • • • • • • • • • ikke under nogen som helst omstændigheder må gemme eller udskrive i) CVV/CVC (dvs. kortkontrolcifrene i Kontokortets magnetstribe), ii) CVV2/CVC2 (dvs. den sikkerhedskode som normalt findes til sidst i underskriftspanelet på Kontokortets bagside) eller iii) iCVV/iCVC (dvs. kontrolnummeret i et Kontokort som er forsynet med chip). Salgsvirksomheden forpligter sig til ikke at gemme eller udskrive PVV (dvs. kontrolnummeret for PIN-koder), kun må gemme den Kontokortinformation, som er absolut nødvendig for Salgsvirksomhedens aktiviteter (dvs. navn, Kontokortets nummer og Kontokortets udløbsdato), skal opbevare/gemme medier, som indeholder Kontokortinformation (f.eks. logs, transaktionsrapporter, elektroniske kvitteringer eller aftaler) et sikkert sted og på en sådan måde, at kun personer, som har behov for det, kan at få adgang til materialet, skal håndtere alle Kontokortoplysninger fortroligt og ikke til tredjepart afslører noget om de personlige oplysninger (f.eks. navn og personnummer), som Salgsvirksomheden kan komme i besiddelse af, skal opbevare information om Kontokortets nummer på en sådan måde, at der ikke kan forekomme anvendelse af uvedkommende, skal sikre, at elektroniske kvitteringer og andre medier er beskyttet mod adgang fra uvedkommende, omgående skal meddele Euroline det, hvis Salgsvirksomheden opdager eller har mistanke om, at Kontokortoplysningerne er blevet anvendt af uvedkommende, eller at sådanne oplysninger på anden måde er blevet misbrugt. Hvis der er mistanke om overtrædelse af disse bestemmelser, skal Salgsvirksomheden på Eurolines anmodning politianmelde hændelsen, skal sikre, at Kontokortets nummer ikke afsløres for andre end medarbejdere hos Salgsvirksomheden, for hvem det er nødvendigt at have adgang til dette, skal sikre, at det er dokumenteret, hvordan Kontokortoplysningen beskyttes i Salgsvirksomhedens tekniske udstyr, skal sikre, at der er procedurer til sikker håndtering og distribution af Kontokortoplysninger, og at disse rutiner regelmæssigt følges op og kontrolleres. Procedurerne eller information om disse skal destrueres på en sikker måde, f.eks. ved makulering, når procedurerne/informationen ikke længere er nødvendige i henhold til lovgivning og/eller instruktionerne, skal sikre, at der findes en fortegnelse over alt teknisk udstyr, og at dette udstyr opbevares på en sikker måde, skal sikre, at Kontokortoplysningerne og/eller Kortindehaveren, så snart teknisk udstyr og/eller andet medie, som indeholder sådanne oplysninger, ikke længere anvendes af Salgsvirksomheden, gøres ubrugelig. 7.2 Godkendelse af system Systemer, som leverer transaktioner til Euroline, skal være godkendt af Euroline eller anden tredjepart, som Euroline anviser. Euroline kan stille krav til særlig kontrol af komponenter, som er følsomme ud fra et sikkerhedsmæssigt synspunkt. Denne kontrol eller scanning udføres af en i samråd med Euroline udvalgt aktør. 7.3 Specielt vedrørende såkaldte Nodes og Payment Service Providers Hvis Salgsvirksomheden anvender en tredjepart (såkaldt node eller Payment Service Provider) til hele eller dele af Distancehandlen, skal Salgsvirksomheden sikre, at denne opfylder alle krav i henhold til PCI DSS. 7.4 Ændringer i systemer m.m. Ændringer i systemet, som påvirker de gældende forudsætninger på tidspunktet for godkendelsen, må ikke gennemføres uden Eurolines godkendelse. Salgsvirksomheden skal gennemføre en af Euroline anvist test af opkoblingen mod Eurolines modtagelsessystem, inden Transaktioner må indsendes til Euroline. 7,5 Sikkerhedsanvisninger Salgsvirksomheden skal sikre, at de af Euroline til enhver tid separat meddelte Sikkerhedsanvisninger følges. 7.6 Dataangreb og it-diagnostisk undersøgelse Hvis Euroline har mistanke om, at Salgsvirksomhedens kassesystem, it-system eller lignende har været udsat for angreb, manipulation eller lignende, som efter Eurolines mening på nogen måde berører Parternes samarbejde i henhold til denne Aftale, har Euroline ret til at foretage en såkaldt it-diagnostisk undersøgelse (”Undersøgelsen”) af det pågældende udstyr. Undersøgelsen må foretages af Euroline eller en it-diagnostisk virksomhed, som er engageret af Euroline. Tidspunkt og dermed relaterede spørgsmål/procedurer, som kan henføres til Undersøgelsens gennemførelse, skal, hvis det efter Eurolines mening ikke er ubelejligt, om muligt aftales mellem Parterne. Euroline må dog også, hvis det efter Eurolines mening er mest formålstjenligt, besøge Salgsvirksomheden og gennemføre Undersøgelsen, uden at Salgsvirksomheden informeres herom på forhånd. Det påhviler Salgsvirksomheden i rimeligt omfang at medvirke ved Undersøgelsen og lette gennemførelsen, således at formålet med Undersøgelsen, dvs. at konstatere hvorvidt der har været angreb/manipulation, kan opnås. I tilfælde af, at det ved Undersøgelsen bliver konstateret, at Salgsvirksomhedens kassesystem, it-system eller lignende, har været udsat for angreb, manipulation eller lignende, påhviler det Salgsvirksomheden at godtgøre Euroline eventuelle omkostninger til undersøgelsen.
© Copyright 2024