Viele Unternehmen können sich für den Aufbau eines eigenen Zahlungsgateways interessieren: Händler, die die Gebühren für Zahlungsdienste senken möchten, Startups, die ein Gateway in einer unterversorgten Region anbieten möchten, oder Online-Unternehmen, die mit einem White-Label-Service begonnen haben, der ihnen jetzt technische Einschränkungen anstelle von Support bietet.
Zu viele verstehen jedoch die Größe und den Umfang des Aufbaus eines Zahlungsgateways von Grund auf nicht vollständig. Es gibt viele Missverständnisse über die Schritte zum Erstellen und Ausführen eines eigenen Zahlungsgateways.
In diesem Artikel beantworten wir viele Fragen, um Ihnen ein vollständiges Bild davon zu vermitteln, was erforderlich ist, um Ihre eigene Zahlungsgateway-Lösung von Grund auf neu zu erstellen.
Wo fange ich an?
Sie könnten denken, dass Sie mit Entwicklern oder Technologiedienstleistern sprechen müssen, wenn Sie über den Aufbau eines Zahlungsgateways nachdenken. Schließlich handelt es sich um eine digitale Lösung zur Annahme von Kreditkartenzahlungen.
Dieser Glaube ist jedoch fehlgeleitet; das erste, was Sie tun müssen, ist Geschäftsbeziehungen mit einem Zahlungsabwickler oder einer Acquiring-Bank aufzubauen.
Warum brauche ich einen Zahlungsprozessor?
Wenn Sie ein Zahlungsgateway als Dienst anbieten möchten, benötigen Sie etwas, mit dem Sie es verbinden können. Dieses etwas ist der Zahlungsprozessor. Ein Zahlungsabwickler, manchmal auch als Händlerdienst bezeichnet, verschiebt die Transaktion über das Zahlungsnetzwerk. Manchmal kann eine Acquiring-Bank ein Zahlungsabwickler sein.
Der Prozessor, mit dem Sie zusammenarbeiten, stellt Ihnen technische Informationen zur Verfügung, um Ihr Gateway in sein System zu integrieren. Abhängig von den Zahlungsarten, die Sie akzeptieren möchten, müssen Sie möglicherweise mit mehreren Verarbeitern zusammenarbeiten und diese integrieren.
Warum brauche ich eine Acquiring Bank?
Wenn Sie ein Händler sind, der ein eigenes Zahlungsgateway haben möchte, benötigen Sie einen Zahlungsabwickler und eine Acquiring-Bank. Händler benötigen bereits ein Händlerkonto, um digitale Zahlungen zu akzeptieren, die von Acquiring-Banken bereitgestellt werden.
Ein Acquiring Partner ist eine Bank oder ein Finanzinstitut (FI), das Kredit- oder Debitkartenzahlungen im Auftrag eines Händlers abwickelt. Die von Ihnen gewählte übernehmende Bank übernimmt das Risiko für Ihr Unternehmen und erfordert daher bestimmte finanzielle Verpflichtungen aufgrund von Rückbuchungen, Rückerstattungen, ACH-Rückgaben und potenziellem Betrug.
Eine erwerbende Bank ist nicht dasselbe wie eine Geschäftsbank, die Giro- und Sparkonten anbietet. Eine Geschäftsbank kann eine erwerbende Abteilung haben, aber nicht alle Geschäftsbanken können Händlerkonten zeichnen. Stellen Sie sicher, dass das Finanzinstitut, mit dem Sie zusammenarbeiten möchten, Ihnen ein Händlerkonto einrichten kann.
1. Der Kunde initiiert einen digitalen Kauf. 2. Der Händler übermittelt die Karteninhaberinformationen an das Zahlungsgateway. 3. Das Zahlungsgateway verschlüsselt die Karteninhaberinformationen und überträgt sie an den Zahlungsabwickler. 4. Der Zahlungsabwickler überprüft die Karteninhaberinformationen und überträgt sie an das Kartennetzwerk. 5. Das Kartennetzwerk überträgt die Informationen an die ausstellende Bank. 6-9. Abhängig von der Höhe des Guthabens auf dem Konto des Karteninhabers wird eine genehmigte oder abgelehnte Nachricht entlang des Zahlungsnetzwerks zurückgesendet. 10. Wenn die Zahlung genehmigt wird, wird das Geld auf das Konto des Händlers bei seiner übernehmenden Bank überwiesen.
Welche technischen Daten benötige ich?
Ihr Zahlungsabwickler Ihrer Wahl stellt die Spezifikationen bereit, die erforderlich sind, um Ihr Zahlungsgateway in sein System und das gesamte Zahlungsnetzwerk zu integrieren. Wenn Sie viele verschiedene Zahlungsarten akzeptieren möchten, müssen Sie möglicherweise zusätzliche Spezifikationen von anderen Acquirern oder Verarbeitern einholen.
Diese technischen Spezifikationen informieren darüber, welche Technologie Sie zum Erstellen Ihres Zahlungsgateways verwenden können oder sollten.
Was ist, wenn ich an mehreren geografischen Standorten verkaufen möchte?
Sie benötigen eine Beziehung zu einem Prozessor, der an allen Standorten arbeitet. Dies kann eine Partnerschaft mit einem bestimmten Prozessor bedeuten, der an mehreren Standorten tätig ist, oder Partnerschaften mit mehreren Prozessoren.
Lokale Vorschriften für die Region oder die Regionen, in denen Sie Geschäfte tätigen möchten, wirken sich auch auf die Wahl der Technologie für Ihr Zahlungsgateway aus. Lokale Gesetze und Standards können das Wachstum für andere beliebte Zahlungsanbieter wie PayPal erschweren, was für andere Anbieter eine Lücke zu hinterlassen scheint.
Hindernisse für größere Unternehmen sind jedoch aus einem bestimmten Grund Hindernisse; Sie werden von anderen nicht immer so leicht angegangen.
Wie viel kostet der Aufbau eines Zahlungsgateways?
Unsere Schätzung für die Erstellung eines Minimum Viable Product (MVP) eines Zahlungsgateways liegt zwischen $ 200K und $ 250K. Dies hängt natürlich von der Funktionalität ab, die Sie in Ihr Gateway integrieren möchten. Mit dem hier beschriebenen MVP können Sie zumindest Kredit- und Debitkartenzahlungen akzeptieren.
Wie lange dauert der Aufbau eines Zahlungsgateways?
Es kann Jahre dauern, ein Zahlungsgateway von Grund auf neu zu erstellen. Eine schnellere Lösung ist die Lizenzierung eines White-Label-Produkts, das in nur wenigen Monaten einsatzbereit ist. Viele White-Label-Produkte können an die Bedürfnisse Ihres Unternehmens angepasst werden.
Es kann auch Monate oder Jahre dauern, bis sich Verarbeiter oder Acquirer für die Integration in Ihr Zahlungsgateway entscheiden, sodass es für die Marktnutzung rentabel ist.
Um ein MVP-Zahlungsgateway von Grund auf neu zu erstellen, schätzen wir grob bis zu sechs Monate. Diese Schätzung schwankt wahrscheinlich je nach den Besonderheiten Ihrer Anfrage.
Spare ich nicht langfristig Geld, wenn ich mein eigenes Gateway baue?
Vielleicht, wenn Ihr Verarbeitungsvolumen groß genug ist. Viele gehen fälschlicherweise davon aus, dass sie, wenn sie eine eigene Zahlungsgateway-Lösung hosten, Kreditkartenbearbeitungsgebühren eliminieren können, die sie an ihren Prozessor zahlen.
Gebühren für die Nutzung und / oder Verarbeitung des Kartennetzwerks werden von Anbietern wie Visa und Mastercard immer verlangt.
Austausch- und Abrechnungskosten können nur durch direkte Integrationen mit Kartennetzanbietern eliminiert werden. Dieser Integrationsgrad macht wirklich nur dann Sinn, wenn Ihr Unternehmen sehr große Transaktionsvolumina, etwa in Milliardenhöhe, abwickelt.
Zuschläge können durch den Besitz eines eigenen Zahlungsgateways reduziert werden, dies hängt jedoch wiederum davon ab, ob Ihr Transaktionsvolumen die Kosten für den Aufbau und Betrieb eines Zahlungsgateways ausgleicht.
Der Besitz und Betrieb eines eigenen Zahlungsgateways ist auch mit zusätzlichen Kosten für die Zahlung von Servern und die Wartung von Gateway-Produkten verbunden.
Es lohnt sich nur, ein Open-Source-Produkt selbst zu entwickeln oder ein eigenes zu entwickeln, wenn der Wegfall einiger Gateway-bezogener Gebühren von Drittanbietern den jährlichen Preis für Gateway-Wartung, PCI DSS-Audit, Zertifizierungen und andere unzählige Kosten ausgleicht.
Sicherheit nicht vergessen
Die Partnerschaft mit einem Prozessor und die technischen Spezifikationen für die Integration sind nur die Spitze des Eisbergs. Händler suchen nach sicheren Zahlungsgateways, um das Vertrauen der Kunden zu stärken. Sichere Zahlungsgateways mit Betrugserkennungsmechanismen können dazu beitragen, Rückbuchungen und andere Probleme zu vermeiden, die sich aus betrügerischen Einkäufen ergeben.
In den nächsten Abschnitten werden wir andere Konzepte diskutieren, die sich auf Ihre Fähigkeit auswirken können, Ihr eigenes Zahlungsgateway zu erstellen und zu betreiben.
Was ist PCI DSS?
Unternehmen, die mit Karteninhaberinformationen umgehen, müssen den Payment Card Industry Data Security Standard (PCI DSS) einhalten. PCI DSS ist eine Liste von Praktiken, die Unternehmen verwenden, um die Sicherheit von Kartentransaktionen zu verbessern und Karteninhaberinformationen vor Diebstahl zu schützen.
Laut Rodolphe Simonetti, Global Managing Director bei Verizon, besteht ein enger Zusammenhang zwischen der fehlenden PCI-DSS-Compliance und Cyber-Verstößen. „Unsere Daten zeigen, dass wir noch nie einen Verstoß gegen die Sicherheit von Zahlungskarten für eine PCI-DSS-konforme Organisation untersucht haben“, wurde er im Zahlungssicherheitsbericht 2019 von Verizon zitiert. „Compliance funktioniert.“
Bei einer Sicherheitsverletzung geht es nicht nur darum, Kundeninformationen zu verlieren: Unternehmen leiden auch unter einem Verlust des Kundenvertrauens, zukünftiger Verkäufe oder der Androhung rechtlicher Schritte. Sie unterliegen Bußgeldern pro PCI DSS-Nichteinhaltung und, falls vorhanden, dem Verlust ihres Händlerkontos.
Welche PCI-DSS-Konformitätsstufe benötige ich?
Es gibt vier Stufen der PCI DSS-Konformität. Die Entscheidung, welche Sie treffen müssen, ist ein komplizierter Prozess, gliedert sich jedoch im Allgemeinen in vier Bereiche:
- Erfassung: Werden Karteninhaberinformationen im Browser des Kunden, auf dem Server des Händlers oder auf dem Payment Gateway-Server erfasst?
- Speicherung: Werden Kartendaten auf den Servern des Händlers oder auf den Servern des Zahlungsgateways gespeichert?
- Übertragung: Wie werden Kartendaten an das Gateway übertragen?
- Verarbeitung: Werden Karteninhaberinformationen vom Händler oder vom Zahlungsgateway verarbeitet?
Die folgenden Technologien können helfen, Kundeninformationen zu sichern und vor Cyberangriffen zu schützen. Die Verwendung einer oder einer Kombination dieser Technologien selbst stellt jedoch keine PCI DSS-Konformität dar.
PCI DSS Compliance ist ein facettenreicher Satz von Standards, die eine Reihe von Themen und Disziplinen abdecken. Weitere Informationen zu PCI DSS finden Sie auf der Website des PCI Security Standards Council.
EMV
EMV (steht für EuroPay, Mastercard und Visa) ist der weltweite Standard für Kredit- und Debitkartenzahlungen auf Basis der Chipkartentechnologie. Jede Chipkartentransaktion enthält Dutzende von Informationen, die zwischen der Karte, dem POS-Terminal und dem Host der erwerbenden Bank oder des Prozessors ausgetauscht werden.
EMV ersetzt nicht die PCI-Konformität; EMV wurde entwickelt, um die betrügerische Verwendung von Karten in einem Geschäft zu verhindern. Wenn Sie Kartentransaktionen akzeptieren möchten, müssen Sie nachweisen können, dass Sie über die Berechtigung zur Abwicklung von EMV-Transaktionen verfügen.
EMV 3-D Secure
EMV Three-Domain Secure oder 3DS ist ein Messaging-Protokoll, mit dem sich Verbraucher authentifizieren können, wenn sie E-Commerce- und M-Commerce-Einkäufe ohne Karte (CNP) tätigen. Das Protokoll bietet eine zusätzliche Sicherheitsschicht, die nicht autorisierte CNP-Transaktionen verhindert und den Händler vor Betrug schützt. Das 3DS umfasst die drei Domänen Merchant/Acquirer Domain, Issuer Domain und Interoperability Domain.
EMV 3DS optimiert die Benutzererfahrung, indem es die Kommunikation zwischen der ausstellenden Bank, dem Acquirer und dem Händler im Hintergrund verbessert.
Tokenisierung
Tokenisierung, der Prozess des Schutzes sensibler Daten durch Ersetzen durch ein Token, wird häufig verwendet, um Kreditkartenbetrug zu verhindern. Bei der Kreditkarten-Tokenisierung wird die primäre Kontonummer des Karteninhabers durch das Token ersetzt. Das Token wird dann durch die verschiedenen Netzwerke geleitet, die für die Zahlungsabwicklung erforderlich sind, aber die tatsächlichen Bankdaten werden niemals offengelegt, da sie in einem sicheren Token-Tresor aufbewahrt werden.
Die Tokenisierung an sich macht einen Händler nicht PCI-konform, wird jedoch als „Best Practice“ angesehen.“ Es kann helfen, den PCI-DSS-Umfang zu reduzieren.
P2PE
Mit P2PE oder Peer-to-Peer-Verschlüsselung können Unternehmen eine sichere Kommunikation zwischen Geräten herstellen und übertragene vertrauliche Informationen vor der Exposition gegenüber Zwischengeräten im selben Netzwerk schützen.
P2PE wird häufig als Compliance-Lösung für PCI DSS eingesetzt.
Alternativen zum Aufbau eines eigenen Zahlungsgateways
White-Label-Service
Ein White-Label-Service kann eine schnelle Möglichkeit sein, Ihre eigene Zahlungslösung anzubieten. Es kann auch die Verarbeitungskosten senken, indem die Anzahl der Zwischenhändler zwischen Ihrem Unternehmen und Ihrem Acquirer / Prozessor reduziert wird.
Es gibt viele Varianten von White-Label-Diensten, von gehosteten Lösungen über dedizierte Gateways bis hin zu lizenzierter Open-Source-Zahlungsgateway-Software.
Wenn Sie befürchten, dass White Label möglicherweise nicht den gewünschten Grad an Anpassung bietet, gibt es Optionen. Ein Kunde, der mit uns über genau dieses Szenario sprach, erfuhr, dass der Aufbau eines Zahlungsgateways von Grund auf keine kostengünstige Lösung für seine Probleme bei der Anpassung seines aktuellen White-Label-Gateways war. Stattdessen verhandelten sie um die Kontrolle über ihren Quellcode, um die erforderlichen Änderungen schneller umzusetzen. Sie können auch mit einem Technologiedienstleister zusammenarbeiten, um Änderungen in Ihrem Tempo umzusetzen.
Ersatzdienstleister
Wenn Sie derzeit mit einem der bekannten PSPs wie Stripe, Paypal oder Square zusammenarbeiten, gibt es Alternativen. Diese Anbieter sind jedoch nicht ohne Grund Marktführer — ihre technische Innovation unterscheidet sie von den anderen.
Als solches, während Sie mit einem ihrer Konkurrenten zusammenarbeiten können, wird der Preis nicht viel niedriger sein als das, was Sie derzeit bezahlen. Ebenso wird es schwierig sein, eine Alternative zu finden, die aufgrund ihres Marktführerstatus erhebliche technologische Vorteile gegenüber ihnen hat.
Fazit
Nachdem Sie nun eine umfassende Perspektive auf die Erstellung eines Zahlungsgateways haben, sind Sie immer noch daran interessiert, Ihr eigenes Gateway zu erstellen? Sprechen Sie noch heute mit einem unserer Zahlungsexperten.
Softjourn ist ein globaler Technologiedienstleister mit über einem Jahrzehnt Erfahrung in der Zusammenarbeit mit Karten & Zahlungsdienstleistern. Wir haben kreative Lösungen entwickelt oder interne technische Teams erweitert, um Support und projektspezifisches Fachwissen bereitzustellen, was zu umsatzgenerierenden Funktionen führt.
Wir sind darauf spezialisiert, die Sicherheit von Prepaid-Karten zu ermöglichen und zu erhalten, Transaktionssimulatoren zu entwickeln, um Rollout-Zeit zu sparen, und wiederholbare und strategische Ansätze für die Verwaltung der Zahlungswiederherstellung zu entwickeln. Wir helfen unseren Kunden – Zahlungsabwicklern, Banken, Transaktions—Acquirern und Prepaid-Kartendienstanbietern -, indem wir unser Know-how nutzen, um den Marktanteil zu erhöhen.