Gemt

Medlemmerne spørger: Må du gemme kundens betalingskort-oplysninger til et senere køb?

27. april 2016

Flere medlemmer har spurgt, om de – som man ser det i udenlandske webshops, på iTunes o.lign. - må gemme en kundes kortoplysninger, så kunden ikke behøver indtaste oplysningerne næste gang, der foretages et køb.

Teksten redigeret 3. maj 2016

I sidste uge skrev vi om Forbrugerombudsmandens krav til opbevaring af kortdata til brug for fremtidige køb.

I den forbindelse har vi ikke beskrevet de sikkerhedskrav under PCI DSS, der stilles for at opbevare kortdata, og det har flere af vores læsere gjort os opmærksomme på.

Tak for det, og vi beklager, hvis artiklen har givet anledning til misforståelser.

Det skal understreges, at kortdata må aldrig forlade PCI-certificerede miljøer som fx PSP’er, Indløsere mv.

Derfor bør netbutikker bruge en ordning hos fx PSP, så man gemmer "tokens" (nøgler), der henviser til kortet, og her er det kun PSP’en, som kan ”låse op” for kortdata.

Hvis en dansk virksomhed vil genbruge data ligesom fx iTunes, bør virksomheden forhøre sig hos sin PSP om, hvilke sikkerhedskrav, der gælder, og hvilke løsninger PSP’en tilbyder.

Her er teksten fra den første artikel, der beskriver krav omkring kunde og butik:

Må du gemme kundens betalingskortoplysninger til et senere køb?

Svaret er, at det er muligt og lovligt på visse betingelser.

Spørgsmålet er behandlet i Forbrugerombudsmandens retningslinjer for ”Betalingsmodtageres håndtering af betalinger ved fjernsalg”. Det fremgår, at betalingskortdata kan gemmes og genbruges til senere køb, hvis følgende betingelser er opfyldt:

  1. Der skal indhentes et udtrykkeligt samtykke til det fra forbrugeren. ◦Det skal være et aktivt samtykke- fx et klik på et ”ja” ud for en oplysning om, at kortdata gemmes til senere køb. Det er ikke nok, at det står i handelsbetingelserne.
  2. Vilkår og procedurer for betalinger må være betryggende og sikre forbrugeren gennemsigtighed, kontrol og mulighed for at gøre indsigelse. ◦Kunden skal kende de risici, der er forbundet med en sådan betalingsmåde. Kunden bør tildeles et personligt kodeord, som skal bruges ved køb, så misbrug undgås. Koden skal anvendes ved hvert køb. Oplysningerne skal opbevares sikkert, så uvedkommende ikke kan få adgang til dem.
  3. Forbrugeren skal kunne trække sit samtykke tilbage, når han eller hun ønsker det.
  4. Webshoppen skal bekræfte betalingsaftalen og fremsende vilkårene til forbrugere på en mail, en sms eller i et brev.

Du kan læse pkt. 6 i Forbrugerombudsmandens retningslinjer

Følgende er fra Forbrugerombudsmandens retningslinjer:

”6. Særligt om registrering og genbrug af betalingskortdata til senere køb

Ønsker en betalingsmodtager at registrere og gemme en forbrugers kortdata, så der senere af forbrugeren kan foretages betalinger, uden at kortoplysninger atter skal oplyses, kræver dette, at der indhentes et udtrykkeligt og klart samtykke hertil fra forbrugeren.

Vilkårene og procedurerne for betalinger må være betryggende og sikre forbrugeren den fornødne gennemsigtighed, herunder kontrol- og indsigelsesmuligheder.

Betalingsmodtageren må bekræfte aftalen og fremsende vilkårene til forbrugeren på papir eller andet varigt medium.

Forbrugeren må til enhver tid på en let måde kunne tilbagekalde sit samtykke.

Kommentarer:

Denne form for kortbetalinger afviger fra den traditionelle måde at foretage betalinger på ved fjernsalg. Betalingsformen er relativ ny og kendes særligt fra større udenlandske erhvervsdrivendes hjemmesider. Der kan dog også mellem danske betalingsmodtagere og danske indløsere indgås denne form for indløsningsaftaler.

Betalingsformen rejser en del spørgsmål omkring forbrugerbeskyttelse og forholdet til betalingstjenesteloven/-direktivet, herunder spørgsmålet om, hvornår der er givet en autorisation til en betaling, og spørgsmål om ansvar og hæftelse ved uberettigede betalingstransaktioner og fejl.

De tilkendegivelser, som er angivet under pkt. 6, er udtryk for, hvad der umiddelbart må anses for god markedsføringsskik, og som derfor må iagttages af aktører på det danske marked. En håndhævelse i forhold til udenlandske betalingsmodtagere kan være vanskelig og kan kræve en international koordinering mellem tilsynsmyndighederne inden for navnlig EU.

Et gyldigt samtykke kræver, at forbrugeren aktivt accepterer (klikker ja til), at kortoplysninger registreres. Samtykket kan ikke afgives ved, at forbrugeren alene klikker ja til betalingsmodtagerens forretningsvilkår.

Oplysninger om betalingsmodtagers vilkår om registrering af kortdata, funktioner og indretning af sit betalingskoncept, må gives samlet på ét sted.

Betalingsmodtageren må informere forbrugeren om konsekvenserne af et samtykke og om, hvorledes senere betalinger herefter kan ske, samt om hvorledes samtykket kan tilbagekaldes. Betalingsmodtager må bl.a. orientere om risiciene ved at lade andre, herunder mindreårige, benytte forbrugerens adgang til betalingsmodtagerens hjemmeside til at foretage betalinger mv.

Den måde den enkelte betaling gennemføres på, må kunne anses for sikker og betryggende. Forbrugeren må tildeles et personligt kodeord, som alene kan benyttes til købstransaktioner.

Betalingsfunktionen må som standardopsætning være således indrettet, at koden må anvendes hver gang, forbrugeren ønsker at foretage et køb. Der kan gives forbrugeren mulighed for aktivt at vælge en ordning, hvor der kan handles i en tidsbegrænset periode uden brug af den personlige kode.

Der må stilles tilstrækkelig information om de enkelte køb til rådighed for forbrugeren, således at forbrugeren har mulighed for at se og kontrollere de enkelte køb/betalingstransaktioner.

Det må oplyses, hvorledes forbrugeren forholder sig i tilfælde af indsigelser og klager over registrerede køb. I forbindelse med in-app køb bemærkes, at udgangspunktet efter almindelige obligationsretlige principper er, at indsigelser i forbindelse med et køb kan rettes til den, som modtager betalingen, selv om ydelsen er leveret af en anden.

Betalingsmodtager må indrette sine vilkår, bestillings- og købsfunktioner således at risici for fejl, utilsigtede køb, herunder fejlbestillinger, ”dobbeltkøb” e.l., reduceres mest muligt.

Kortdata skal opbevares betryggende og må ikke anvendes til andet end gennemførelse af betalingstransaktioner. Indløsningsaftalerne vil normalt indeholde særlige krav herom. Hvis forbrugeren ikke har benyttet betalingsmuligheden hos betalingsmodtageren i en længere periode, må betalingsmodtageren slette kortdata.

Et samtykke/autorisation til gennemførelse af en betalingstransaktion må forudsætte, at betalingsmodtager ved hvert køb klart og tydeligt oplyser om varen eller den tjenesteydelse, som ønskes købt, og prisen herfor, samt at betalingen sker via det registrerede kort”.

Artiklen blev oprindeligt publiceret på fdih.dk