Distancehandel

BESTEMMELSER FOR SALG MOD BETALING MED KONTOKORT
DISTANCEHANDEL (Card Not Present)
(Juli 2010)
Disse bestemmelser “Bestemmelser om Distancehandel“, gælder for salg mod betaling med Kontokort ved
Distancehandel. Med “Distancehandel” forstås Salgsmetoder, hvor Kontokort ikke er til stede på
betalingstidspunktet. De ”Salgsmetoder”, som omfattes af Bestemmelser om Distancehandel, er f.eks.
salg via internettet og salg efter post- og/eller telefonisk ordre, mobilbetalinger og Tilbagevendende
Betalinger. Med “Tilbagevendende Betalinger” forstås såkaldte abonnementsbetalinger, hvor
Kortindehaveren har tilladt, at Salgsvirksomheden løbende må belaste Kontokortet ved tilbagevendende
fremtidige lejligheder (f.eks. abonnementer).
Bestemmelser om Distancehandel udgør et supplement til de generelle bestemmelser, som er gældende for
den aftale om Indløsning af Kontokorttransaktioner (”Hoveddokumentet”), som er indgået mellem
Salgsvirksomheden og Euroline. Ved eventuelle konflikter mellem Hoveddokumentet og Bestemmelser om
Distancehandel skal Bestemmelser om Distancehandel have forrang. Ord, som indledes med en versal,
dvs. stort bogstav, betegner et ord, som har en særlig betydning/definition i Hoveddokumentet og skal i
disse Butiksbestemmelser have samme betydning som i Hoveddokumentet.
1. Generelt om salg mod betaling med Kontokort ved Distancehandel
Ved Distancehandel er Kontokortet ikke fysisk til stede, og Salgsvirksomheden kan dermed
ikke identificere Kortindehaveren på samme måde, som når Kontokortet er til stede.
Salgsvirksomheden bærer derfor altid, med de begrænsninger som punkt 6 nedenfor kan
medføre, risikoen for alle købstransaktioner ved Distancehandel. Det betyder, at Euroline har
ret til at videredebitere sådanne beløb til Salgsvirksomheden, som Kortindehaver har gjort
indsigelse imod. Dette gælder, uanset om Kortindehaverens indsigelse er berettiget eller ej.
2. Særlige forpligtelser ved Distancehandel
Salgsvirksomheden forpligter sig til:
• på bestillingsformularen eller internetsiden klart at informere Kortindehaveren om,
inden betalingsinstruktionerne, i hvilket land Transaktionen sker, samt i hvilket land
Salgsvirksomheden betaler merværdiafgift (moms).
• på sin hjemmeside ikke at have links til hjemmesider med ulovlige og/eller uetiske
aktiviteter eller til virksomheder, som på et objektivt grundlag må anses at skade
Eurolines anseelse.
• omgående at underrette Euroline, hvis 1) den hjemmeside, på hvilken
Salgsvirksomhedens salg foregår, skifter www-adresse, og 2) om nye www-adresser,
som Salgsvirksomheden anvender til sit salg.
3. Kontroller
Salgsvirksomheden skal ved debitering af Kortindehaveren foretage nedenfor angivne
kontrolfunktioner:
3.1 Autorisation
Autorisation skal altid ske på betalingstidspunktet, uanset købets beløb. Autorisationen skal
kodes med korrekt Salgsmetode. De koder, som i den henseende skal anvendes, fremgår af
Instruktionerne.
Ved kontrol af status på Kortindehaverens Kontokort (kontrol af kortstatus) skal der altid
benyttes en såkaldt ”nulværdi-autorisation” i henhold til Eurolines til enhver tid gældende
procedurebeskrivelser.
3.2 Adressekontrol
Adressekontrol skal foretages i henhold til Instruktionerne i det omfang, som angives i bilag til
Hoveddokumentet. Adressekontrol medfører kontrol af, at den udbedte leveringsadresse
stemmer overens med den adresse, som Kortindehaveren har opgivet til kortudstederen. Hvis
autorisation af købstransaktion sker elektronisk, skal der på bestillingsgrundlaget til
adressekontrol tydeligt anføres ”Kun adressekontrol”. Adressekontrol er kun anvendelig på
post- og/eller telefonordrer.
3.3 Sikkerhedskode
Kontrol af sikkerhedskode skal altid udføres, hvis intet andet er aftalt mellem Parterne. Kontrol
af sikkerhedskode betyder, at den sikkerhedskode, som normalt findes i slutningen af
underskriftspanelet på Kontokortets bagside, også kaldet CVV2 eller CVC2, stemmer overens
med den sikkerhedskode, som kortudstederen er i besiddelse af. Salgsvirksomheden må ikke
under nogen omstændigheder gemme sikkerhedskoden.
4. Ordreformular/bestillingsgrundlag
4.1 Indhold
Salgsvirksomhedens ordreformular/bestillingsgrundlag skal være stilet til Salgsvirksomheden
og indeholde:
• Salgsvirksomhedens navn og CVR-nummer,
• Kortindehaverens navn,
• Kortindehaverens adresse (leveringsadresse),
• Kontokortets nummer og udløbsdato,
• bestillingsdato,
• bestillingens beløb,
• oplysning om moms,
For bankkort udfærdiget af Swedbank skal ordreformularen/bestillingsgrundlaget desuden
indeholde oplysninger om betalingsmetode, dvs. oplysning om betalingen skal belaste
bankkonto eller kredit.
4.2 Arkivering
Salgsvirksomheden skal i atten (18) måneder arkivere ordreformular/bestillingsgrundlag. På
Eurolines anmodning
skal Salgsvirksomheden inden for fem (5) bankdage stille
ordreformular/bestillingsgrundlag til rådighed vedrørende enkelte Transaktioner.
4.3 Kortindehaverens kvittering
Kortindehaveren skal altid have kvittering på den bestilte vare eller ydelse fra
Salgsvirksomheden. I påkommende tilfælde, f.eks. ved salg via internettet, skal
Salgsvirksomheden udlevere en elektronisk kvittering til Kortindehaveren med den
information, som angives i punkt 5.2 nedenfor.
5. Rapportering
5.1 Indsendelse af købstransaktioner m.m.
Elektronisk indsamlede købstransaktioner skal senest inden for to (2) dage fra betalingsdagen
overføres til Euroline. I de tilfælde, hvor der forekommer papirnotaer, f.eks. ved post- og/eller
telefonordrer, skal de være Euroline, eller den Euroline anviser, i hænde senest i løbet af fem (5)
dage fra betalingsdagen. Ved “betalingsdagen” forstås dagen for autorisationen.
Ved Tilbagevendende Betalinger skal Salgsvirksomheden til Euroline overføre
Salgsvirksomhedens URL og/eller telefonnummer i købstransaktionen i henhold til
Instruktionerne.
Købstransaktioner skal leveres til Euroline ifølge den til enhver tid aftalte procedure.
Købstransaktionerne må ikke overføres til Euroline til indløsningen, før levering af varen eller
ydelsen er påbegyndt. Med levering af ydelse forstås også, at der træffes bindende aftale om en
ydelse, som skal leveres/udføres senere. Levering må ved post- og/eller telefonordre, hvis intet
andet er skriftligt aftalt, kun ske til den adresse, som Kortindehaveren har opgivet til sin
kortudsteder.
5.2 Transaktionsinformation og log
Salgsvirksomheden skal for hver Transaktion med Kontokort registrere følgende
transaktionsinformation i en elektronisk transaktionslog:
• Salgsvirksomhedens navn og kundenummer hos Euroline,
• Salgsvirksomhedens URL (kun ved internetbestilling),
• valuta og beløb,
• oplysning om moms,
• betalingsdagen (for Transaktioner som vedrører betaling for en rejse, begivenhed eller
lignende, som skal finde sted i fremtiden, skal også datoen for rejsens, begivenhedens
eller lignende afholdelse angives),
• unikt transaktionsnummer,
• kortindehaverens adresse og i påkommende tilfælde kundenummer hos
Salgsvirksomheden,
• kontrolnummer som bevis på autorisation,
• transaktionstype (betaling eller returnering/kreditering) i klartekst,
• beskrivelse af købte/returnerede varer/ydelser,
• betalingsmetode (se punkt 4.1, stk. 2 ovenfor).
6. Særligt om salg via internettet
Ved salg via internettet skal 3D Secure, dvs. henholdsvis Verified by Visa eller MasterCard
SecureCode anvendes i henhold til Instruktionerne.
Når Salgsvirksomheden har implementeret 3D Secure og kodet transaktionerne i henhold til
Instruktionerne, har Euroline kun ret til at videredebitere omstridte beløb, for hvilke der er
afgivet indsigelse som bedrageriske eller uautoriserede køb i henhold til Visas og/eller
MasterCards til enhver tid gældende bestemmelser.
Visa og MasterCard kan også fra tid til anden bestemme, at Euroline, selvom Kortindehaveren
ikke har autoriseret sig over for sin kortudsteder, ikke har ret til at videredebitere omstridte
beløb, for hvilke der er gjort indsigelse som bedrageriske eller uautoriserede køb.
For beløb, der er gjort indsigelser mod af en anden årsag end som bedragerisk eller uautoriseret
køb, har Euroline ret til at videredebitere i henhold til punkt 1 ovenfor, hvis Salgsvirksomheden
har implementeret 3D Secure.
Diners Club-kort, nogle af MasterCards og Visas produkter samt visse ikke-europæiske kort
understøtter i øjeblikket ikke 3D Secure.
Salgsvirksomheden skal også vise logotyperne for Verified by Visa og MasterCard SecureCode
på betalingssiden/kassesiden.
Punkt 6 i Hoveddokumentet er også gældende, hvis Salgsvirksomheden har implementeret 3D
Secure.
7. Sikkerhed
7.1 Håndtering af kontokortinformation
Med henblik på dels at bevare et højt sikkerhedsniveau i de globale kortbetalingssystemer, dels
at styrke tilliden til Kontokort som betalingsmiddel, er det af yderste vigtighed, at alle, som
håndterer Kontokortinformation, gør det på en sikker måde. Med ”Kontokortinformation”
forstås sådan information, som er præget eller trykt på Kontokortets for- og/eller bagside,
inklusive information som er lagret i Kontokortets magnetspor og chip. Derfor har
kortindustrien vedtaget en fælles standard for håndtering af Kontokortinformation. Standarden
kaldes Payment Card Industry (PCI) Data Security Standard (DSS) og er udviklet af de
internationale kortnetværker VISA og MasterCard.
Salgsvirksomheden accepterer at følge standarden PCI DSS i den udformning, der til enhver tid
er offentliggjort på www.pcisecuritystandards.org.
Det betyder bl.a., at Salgsvirksomheden:
•
•
•
•
•
•
•
•
•
•
•
•
ikke under nogen som helst omstændigheder må gemme eller udskrive i) CVV/CVC
(dvs. kortkontrolcifrene i Kontokortets magnetstribe), ii) CVV2/CVC2 (dvs. den
sikkerhedskode som normalt findes til sidst i underskriftspanelet på Kontokortets
bagside) eller iii) iCVV/iCVC (dvs. kontrolnummeret i et Kontokort som er forsynet
med chip). Salgsvirksomheden forpligter sig til ikke at gemme eller udskrive PVV (dvs.
kontrolnummeret for PIN-koder),
kun må gemme den Kontokortinformation, som er absolut nødvendig for
Salgsvirksomhedens aktiviteter (dvs. navn, Kontokortets nummer og Kontokortets
udløbsdato),
skal opbevare/gemme medier, som indeholder Kontokortinformation (f.eks. logs,
transaktionsrapporter, elektroniske kvitteringer eller aftaler) et sikkert sted og på en
sådan måde, at kun personer, som har behov for det, kan at få adgang til materialet,
skal håndtere alle Kontokortoplysninger fortroligt og ikke til tredjepart afslører noget
om de personlige oplysninger (f.eks. navn og personnummer), som Salgsvirksomheden
kan komme i besiddelse af,
skal opbevare information om Kontokortets nummer på en sådan måde, at der ikke kan
forekomme anvendelse af uvedkommende,
skal sikre, at elektroniske kvitteringer og andre medier er beskyttet mod adgang fra
uvedkommende,
omgående skal meddele Euroline det, hvis Salgsvirksomheden opdager eller har
mistanke om, at Kontokortoplysningerne er blevet anvendt af uvedkommende, eller at
sådanne oplysninger på anden måde er blevet misbrugt. Hvis der er mistanke om
overtrædelse af disse bestemmelser, skal Salgsvirksomheden på Eurolines anmodning
politianmelde hændelsen,
skal sikre, at Kontokortets nummer ikke afsløres for andre end medarbejdere hos
Salgsvirksomheden, for hvem det er nødvendigt at have adgang til dette,
skal sikre, at det er dokumenteret, hvordan Kontokortoplysningen beskyttes i
Salgsvirksomhedens tekniske udstyr,
skal sikre, at der er procedurer til sikker håndtering og distribution af
Kontokortoplysninger, og at disse rutiner regelmæssigt følges op og kontrolleres.
Procedurerne eller information om disse skal destrueres på en sikker måde, f.eks. ved
makulering, når procedurerne/informationen ikke længere er nødvendige i henhold til
lovgivning og/eller instruktionerne,
skal sikre, at der findes en fortegnelse over alt teknisk udstyr, og at dette udstyr
opbevares på en sikker måde,
skal sikre, at Kontokortoplysningerne og/eller Kortindehaveren, så snart teknisk udstyr
og/eller andet medie, som indeholder sådanne oplysninger, ikke længere anvendes af
Salgsvirksomheden, gøres ubrugelig.
7.2 Godkendelse af system
Systemer, som leverer transaktioner til Euroline, skal være godkendt af Euroline eller anden
tredjepart, som Euroline anviser. Euroline kan stille krav til særlig kontrol af komponenter, som
er følsomme ud fra et sikkerhedsmæssigt synspunkt. Denne kontrol eller scanning udføres af en
i samråd med Euroline udvalgt aktør.
7.3 Specielt vedrørende såkaldte Nodes og Payment Service Providers
Hvis Salgsvirksomheden anvender en tredjepart (såkaldt node eller Payment Service Provider)
til hele eller dele af Distancehandlen, skal Salgsvirksomheden sikre, at denne opfylder alle krav
i henhold til PCI DSS.
7.4 Ændringer i systemer m.m.
Ændringer i systemet, som påvirker de gældende forudsætninger på tidspunktet for
godkendelsen, må ikke gennemføres uden Eurolines godkendelse.
Salgsvirksomheden skal gennemføre en af Euroline anvist test af opkoblingen mod Eurolines
modtagelsessystem, inden Transaktioner må indsendes til Euroline.
7,5 Sikkerhedsanvisninger
Salgsvirksomheden skal sikre, at de af Euroline til enhver tid separat meddelte
Sikkerhedsanvisninger følges.
7.6 Dataangreb og it-diagnostisk undersøgelse
Hvis Euroline har mistanke om, at Salgsvirksomhedens kassesystem, it-system eller lignende
har været udsat for angreb, manipulation eller lignende, som efter Eurolines mening på nogen
måde berører Parternes samarbejde i henhold til denne Aftale, har Euroline ret til at foretage en
såkaldt it-diagnostisk undersøgelse (”Undersøgelsen”) af det pågældende udstyr.
Undersøgelsen må foretages af Euroline eller en it-diagnostisk virksomhed, som er engageret af
Euroline.
Tidspunkt og dermed relaterede spørgsmål/procedurer, som kan henføres til Undersøgelsens
gennemførelse, skal, hvis det efter Eurolines mening ikke er ubelejligt, om muligt aftales
mellem Parterne. Euroline må dog også, hvis det efter Eurolines mening er mest formålstjenligt,
besøge Salgsvirksomheden og gennemføre Undersøgelsen, uden at Salgsvirksomheden
informeres herom på forhånd.
Det påhviler Salgsvirksomheden i rimeligt omfang at medvirke ved Undersøgelsen og lette
gennemførelsen, således at formålet med Undersøgelsen, dvs. at konstatere hvorvidt der har
været angreb/manipulation, kan opnås.
I tilfælde af, at det ved Undersøgelsen bliver konstateret, at Salgsvirksomhedens kassesystem,
it-system eller lignende, har været udsat for angreb, manipulation eller lignende, påhviler det
Salgsvirksomheden at godtgøre Euroline eventuelle omkostninger til undersøgelsen.