Angebot anfordern
Preisliste herunterladen
Beratungsgespräch vereinbaren
Support
Tilman Disselkamp
Tilman Disselkamp
 - 10. August 2018

Zahlen, bitte! Payment Form im Webshop einbinden

Wer auch immer Waren oder Dienstleistungen im Web kauft, ruft irgendwann: "Zahlen, bitte!" - etwa durch Aufruf eines Payment Form im Webshop. Während früher Bestellungen per Postkarte oder Fax gang und gäbe waren, ist dieser Aufwand heute nicht mehr zu rechtfertigen - zeitlich, personell und finanziell. Standard ist hingegen ein Formular, mit dem der Kunde eine Zahlung authorisiert. Was Sie dabei alles beachten müssen und wie Sie die meisten Kunden dabei ansprechen, erfahren Sie hier.

Zunächst einmal eine kleine Warnung: Sobald Sie Zahlungsdaten Ihrer Kunden entgegennehmen, sind Sie dafür verantwortlich, diese Daten zu schützen. Gehen Ihnen etwa Kreditkartendaten abhanden, kann das sehr schnell sehr teuer werden. Darum sollten Sie sich vorab einige Gedanken machen, wie sie ein Payment Form in Ihren Webshop integrieren können.

Sicherheit und Aufwand

Die Payment Card Industry (PCI) stellt einen Zusammenschluss mehrerer großer Kreditkarten-Dienstleister dar. Unter anderem sind Mastercard und Visa darin vertreten. Im Data Security Standard (DSS) legen diese Firmen regelmäßig fest, welche Vorkehrungen bei der Verarbeitung und Speicherung von Kreditkartendaten zu treffen sind. Aus einem guten Dutzend Regeln ergeben sich dabei weitreichende Konsequenzen – denken Sie an vergitterte Fenster und Kameras auf dem Dach! Damit Sie für Ihren Webshop nicht ganz so weit gehen müssen, sollten Sie die oberste Grundregel beachten: Speichern Sie niemals Kreditkartendaten! mit der richtigen Integration können Sie diese Aufgabe an einen großen Payment Service Provider (PSP) abgeben, der die volle PCI-Zertifizierung besitzt.

Integrationsmöglichkeiten

Keine Sorge, es wird nicht allzu technisch! Sie haben grob gesagt drei Möglichkeiten, ein Payment Form anzubieten. In allen drei Varianten müssen Sie die Daten an den Payment Service Provider weiterleiten, der dann z.B. bei einer Bank die Kontodeckung und die Ausfallwahrscheinlichkeit anfragt.

  • Sie können selbst ein Formular zusammenbauen. Die Daten schicken Sie nach der Eingabe an den Payment Service Provider. Vorteil: Sie können das Formular frei gestalten. Nachteil: Hoher Implementierungsaufwand und volle PCI-Compliance.
  • Sie können den Kunden auf eine Hosted Payment Page (HPP) weiterleiten, die beim PSP liegt. Sie kennen diese Variante, wenn Sie schon mal per Paypal gezahlt haben. Vorteil: Geringer Aufwand. Nachteil: Der Kunde verlässt kurz Ihren Shop und könnte sich dabei noch einmal umentscheiden. Außerdem haben Sie kaum Einfluss auf die Gestaltung des Formulars.
  • Einbinden per iFrame in Ihrem Shop. Salopp gesagt definieren Sie einen Bereich in Ihrem Shop, in den ein Formular von einem anderen Server geladen wird, nämlich dem des PSP. Vorteil: Die Daten liegen wie bei Variante zwei nicht bei Ihnen, aber der Bruch im Zahlungsvorgang wird vermieden. Sie haben ebenfalls wieder einige Möglichkeiten, das Design des Formulars anzupassen.

Verringerte PCI-Abfrage

Zusammen mit unserem Partner adyen, einem niederländischen Payment Service Provider, haben wir bereits Erfahrung mit der iFrame-Einbindung gesammelt. Dabei wird das Payment Form direkt in den Browser des Kunden geladen und schickt die Zahlungsdaten auch von dort direkt an adyen. Da Sie als Shopbetreiber die Daten nie sehen, sind Sie auch nicht für diese verantwortlich. Wegen der Verschlüsselung direkt im Kundenbrowser wird dieses Verfahren auch Client-Side Encryption (CSE) genannt. adyen stellt einen kompakten Fragebogen bereit, den Sie als Anbieter ausfüllen müssen. Dadurch erfahren Sie auch direkt, welche Maßnahmen Sie zur Sicherung der Daten treffen müssen. Zum Beispiel muss jeder Mitarbeiter, der Zugang zur Integration hat, einen eigenen Account erhalten. Mit geteilten Accounts wäre später nicht mehr nachvollziehbar, wer welche Änderungen vorgenommen hat.

Wir können Ihnen dabei helfen, das Verhalten des Formulars an gewissen Stellen des Zahlungsvorgangs anzupassen. So sind z.B. weitere Detailabfragen möglich, durch die Sie die berühmten letzten vier Stellen einer Kreditkarte anzeigen können. Der Kunde kann so auch später leicht nachvollziehen, mit welcher Karte er gezahlt hat. Oder Sie können die Behandlung des Fraud-Scores anpassen. adyen teilt Ihnen in Form eines Scores mit, wie wahrscheinlich ein Zahlungsausfall sein wird. Hat der Kunde etwa in kurzer Zeit sehr viele kleine Zahlungen mit verschiedenen Kreditkarten veranlasst, könnte er dadurch gestohlene Datensätze testen wollen – der Fraud-Score geht dann hoch. Letztlich entscheiden aber Sie selbst, wie Sie im Einzelfall mit einem erhöhten Wert umgehen. Vielleicht ist Ihnen ja bekannt, dass viele Mitarbeiter einer Firma gerade Zahlungen vornehmen.

Zahlreiche Anpassungsmöglichkeiten

Neben dem „einfachen“ Bezahlvorgang sind auch wiederkehrende Zahlungen, also Abos, möglich. Oder Sie können den Betrag erst einmal „reservieren“, um ihn erst später einzuziehen. Denkbar ist auch, dass Drittanbieter über Ihren Shop verkaufen. In diesem Fall verbietet Ihnen seit Januar 2018 eine EU-Regelung namens PSD2, den gezahlten Betrag erst einmal selbst einzuziehen und anschließend an die anderen Anbieter zu verteilen. Wir können daher dafür sorgen, dass adyen das Geld für Sie vorhält und dann direkt an die einzelnen Drittfirmen verteilt. Neben den Gebühren für den Payment Service Provider können Sie dabei auch direkt eine eigene Gebühr für Ihren Service einbehalten. Daten zu den einzelnen Transaktionen können Sie sowohl in Ihrem System speichern, als auch im System des PSP nachvollziehen. So lassen sich umfangreiche Auswertungen erstellen, die Ihnen Optimierungspotential Ihres Angebots aufzeigen können.

Nicht zuletzt können Sie je nach dem Wohnort Ihres Kunden lokale Zahldienste anbieten. Während in Brasilien kaum jemand nach Sofortüberweisung fragen dürfte, ist hier in Deutschland der dortige Dienst Boleto eher unbekannt. Dabei bietet er zahlreichen Brasilianern die Möglichkeit, auch ohne eigenes Konto Waren zu bestellen. Der Kunde druckt dazu einen generierten Zahlschein aus und bringt ihn zu einer Bank, um dort den Betrag in bar zu begleichen. Die Bank informiert anschließend den Anbieter über die erfolge Zahlung.

Salesforce-spezifische Besonderheiten

Während die generelle Einbindung eines Payment Form in allen gängigen Systemen ähnlich sein dürfte, gibt es speziell bei Salesforce-Systemen einige Besonderheiten zu beachten. Generell bietet Salesforce Ihnen eine erhöhte Sicherheit, indem nur von Ihnen gewählte externe Seiten auf Ihr System zugreifen dürfen. Auch bringt Salesforce standardmäßig etliche Schutzmechanismen gegen übliche Angriffsversuche mit. Das „Problem“ dabei ist, dass diese Mechanismen nicht immer abschaltbar sind und teilweise der üblichen Integration eines Payment Form zuwider laufen. Eine Möglichkeit besteht darin, eine Commerce Cloud zu verwenden – für diese bietet adyen ein eigenes Cardridge an, also eine fertige Implementierung des Form. Jedoch lohnt sich so eine Commerce Cloud erst ab einem Jahresumsatz von einigen Millionen Dollar.

Wenn Ihr Webshop dann doch etwas kleiner ausfällt, können wir Sie gerne bei der Integration unterstützen. Wir haben bereits Erfahrung mit den Besonderheiten von Salesforce-Systemen gesammelt und die daraus entstehenden Probleme erfolgreich gelöst. Kontaktieren Sie uns gerne bei weitergehenden Fragen!

Tilman Disselkamp

Tilman Disselkamp

Tilman Disselkamp, Salesforce-Consultant bei mindforce, angenehm. Physiker unter Informatikern mag als Sonderrolle erscheinen, aber Im Lösen von Probleme bin ich genau so gut. Und da wir bei mindsquare im Problemlösungs-Business sind, fühle ich mich hier richtig wohl.

Sie haben Fragen? Kontaktieren Sie mich!





Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.