Hinter den Kulissen von Pleos Zahlungs- und Sicherheitsinfrastruktur

Wir alle lieben die Tatsache, dass Pleo-Karten auf vielfältige Art und Weise verwendet werden können: Als Pleo-Kund:in erhalten Sie eine physische und eine virtuelle Karte. Diese können Sie auch mit Apple Pay und Google Pay verwenden – ein Angebot, das unsere Kund:innen sehr zu schätzen wissen.

Und darüber hinaus können wir auch stolz darauf sein, dass sich mindestens 99 Prozent unserer Kund:innen beim Bezahlen mit Pleo sicher fühlen.

Aber was genau macht das Bezahlen mit Pleo eigentlich sicher?

Wir haben mit niemand Geringerem als unserem Senior Product Manager, Parth Parikh, gesprochen, der sich mit Pleos Zahlungsinfrastruktur bestens auskennt. Mit ihm sind wir tief hinter die Kulissen einer Pleo-Transaktion eingetaucht.

Was passiert hinter den Kulissen, wenn ich mit meiner Pleo-Karte bezahle?

In der Regel gibt es zwei Arten von Kartentransaktionen: Die eine passiert als Präsenzgeschäft und die andere als Distanzgeschäft.

Schauen wir uns also an, was genau passiert, wenn wir unser Mittagessen mit der Pleo-Karte bezahlen:

1. Es gibt einen Händler, bei dem wir mit unserer Pleo-Karte bezahlen.

2. Es gibt einen Acquirer, das könnte zum Beispiel SumUp sein, der uns ein POS-Kartenlesegerät (Point-of-Sale-Kartenlesegerät) zur Verfügung stellt. Wir halten die Karte an das Lesegerät. Die Informationen auf der Karte werden jetzt an das Gerät weitergegeben. Nun liegt es in der Verantwortung des Acquirers, diese Informationen zu verarbeiten und an das Netzwerk zusenden.

3. Im Fall von Pleo ist das Netzwerk Mastercard, da alle unsere Karten dem Mastercard-Netzwerk zugeordnet sind. Das Netzwerk identifiziert, zu welchem Aussteller bzw. Emittent die Karte gehört. Bei einer Pleo-Karte ist der Kartenaussteller Pleo selbst.

4. Das Netzwerk sendet eine Nachricht an den Kartenaussteller und fragt ihn: Hey, jemand versucht, einen Kauf mit einer Karte von dir zu tätigen, möchtest du das genehmigen oder nicht?

Das Problem besteht darin, dass Mastercard eine sehr kryptische Art hat, diese Nachricht zu übermitteln. Es handelt sich um ein sehr spezifisches Format, das ISO 20022-Format, das die meisten Emittenten, wie auch wir, nicht lesen können. Dazu bedarf es einer gewaltigen Infrastruktur. Also bitten wir jemanden, diesen Job für uns zu übernehmen. An dieser Stelle kommt der Kartenprozessor Enfuce ins Spiel. Er verarbeitet die Transaktion.

5. Enfuce nimmt die Nachricht von Mastercard auf, vereinfacht sie und sendet sie an Pleo.

6. Pleo kann dann die Transaktion lesen, und wir entscheiden, ob wir die Transaktion genehmigen wollen.

Die meisten Kartenaussteller entscheiden sich für diese Lösung, nur große Banken haben möglicherweise ihren eigenen Kartenprozessor. Für die meisten Emittenten ist es effizienter, für das Know-how eines Anbieters wie Enfuce zu bezahlen.

Was ist der Unterschied zwischen verschiedenen Netzwerken wie Mastercard und Visa?

In der Regel wählt der Kartenemittent das Netzwerk aus. Pleo hat einen Exklusivvertrag mit Mastercard. Der Acquirer kann Signale an alle Netzwerke senden. An der Karte erkennt er, welches Netzwerk der Emittent für die Karte gewählt hat.

Technisch gesehen gibt es keinen Unterschied zwischen den verschiedenen Netzwerken. Das ist vergleichbar mit der Frage, für welches Shoppingcenter man sich entscheiden sollte – das Ergebnis ist am Ende dasselbe.

Aber natürlich wird Mastercard weltweit anerkannt.

Mehr als 30 Millionen Händler akzeptieren Mastercard. Pleo ist in dieser Hinsicht eine sehr akzeptable Ausgabenlösung.

Hohe Akzeptanzraten sind für jeden wichtig, der nach einer Kredit- oder Firmenkarte sucht. Woran kann es liegen, wenn eine Karte nicht akzeptiert wird?

Der erste mögliche Grund könnte sein, dass der Acquirer des Händlers (also letztendlich das Kartenlesegerät) einfach nicht mit bestimmten Netzwerken kommunizieren kann.

Es ist also nie wirklich der Händler, der eine Karte nicht akzeptiert, sondern der Acquirer, den er benutzt.

Der zweite Grund könnte sein, dass der Acquirer zwar mit dem Netzwerk, zu dem die vorgelegte Karte gehört, kommunizieren kann, aber die Art der Kartendaten dem Acquirer völlig fremd sind und eine risikobasierte Prüfung auslösen. Dies könnte der Fall sein, wenn wir mit einer koreanischen Mastercard nach Aruba reisen. Diese Fälle sind sehr ungewöhnlich und eher selten.

Das dritte Szenario wäre: Der Acquirer akzeptiert die Kartendaten, leitet sie an das Netzwerk weiter, aber dann kommuniziert der Kartenemittent zurück, dass die Transaktion außerhalb seiner Standardnormen liegt, weil sie möglicherweise gegen die für die Transaktion konfigurierten Parameter verstößt, z. B. das tägliche Ausgabenlimit.

Diese Liste von Regeln ist anpassbar und intelligent, d. h., die risk engine lernt aus früheren Daten. Wird eine Karte mehrfach bei demselben Händler eingesetzt, lernt die engine, dass es in Ordnung ist, diese Transaktion zu genehmigen.

Wann verlässt das Geld tatsächlich das Pleo-Konto?

Wenn Pleo als Emittent eine Transaktion genehmigt, ist die erste Phase abgeschlossen. Diese Phase nennen wir Kartenautorisierung. Die zweite Phase wäre die Abbuchung.

In der ersten Phase hat noch keine Geldbewegung stattgefunden. Der Emittent hat die Transaktion lediglich genehmigt. Der Händler hat jetzt die Möglichkeit, zu einem späteren Zeitpunkt zu Pleo zu kommen, um den ausstehenden Betrag einzuziehen.

Dieser letzte Schritt des Geldtransfers vom Pleo-Wallet zum Händler ist also die Abbuchung. Dies geschieht normalerweise zwei Tage nach der Autorisierung.

Mietet man ein Auto, muss man meistens eine Kaution hinterlegen – hier greift das gleiche Prinzip: Die 500,00 Euro Kaution werden autorisiert und auf der Karte gesperrt, aber sie werden nie wirklich eingezogen – es sei denn, das Auto wird beschädigt.

Nachdem eine Transaktion abgewickelt wurde, können unsere Nutzer:innen einen mit ihrer Pleo-Karte getätigten Kauf anfechten und behaupten, dass er in betrügerischer Absicht, ohne ihr Wissen oder ihre Zustimmung getätigt wurde, und eine Rückbuchung beantragen. Diese Rückbuchung kann mehrere Tage dauern und muss vom Händler geprüft werden.

Zwischen Autorisierung und Abbuchung hat der Händler immer die Möglichkeit, die Überweisung zu stoppen oder eine Teilabrechnung zu organisieren.

Unsere Kund:innen müssen ihr Pleo-Wallet aufladen, um ihre Pleo-Karten verwenden zu können. Wo genau wird dieses Geld aufbewahrt?

Das Geld geht nicht direkt an uns. 

Wir arbeiten mit vertrauenswürdigen Partnerbanken zusammen, die über ein stabiles Zahlungsnetzwerk in der ganzen Welt verfügen, wie J.P. Morgan, Banking Circle und Danske Bank.

Wenn eine Transaktion durchgeführt wird und Mastercard das Geld zur Deckung sucht, nimmt Pleo das Geld von J.P. Morgan (oder der Danske Bank), um zu bezahlen.

Wie häufig kommt es vor, dass ein Unternehmen wie Pleo, das Lösungen für Geschäftsausgaben anbietet, auch Kartenemittent ist?

Wirft man einen Blick auf unsere Konkurrenz, ist in einigen Fällen der Konkurrent, wie Pleo, ein Emittent, und in anderen Fällen sind unsere Konkurrenten nicht der direkte Emittent. Im letzteren Fall regulieren sie die Karten weiterhin, überwachen Transaktionen und stellen Transaktionsregeln auf, die sie an den Emittenten weitergeben.

Was ist beim Bezahlen mit einer virtuellen Karte anders?

Die virtuelle Karte ist deshalb virtuell, weil ihre Kartendaten nicht auf einer physischen Karte gespeichert sind. Das ist der einzige Unterschied zu einer physischen Karte. Sowohl mit einer physischen als auch mit einer virtuellen Karte kann ein Präsenzgeschäft durchgeführt werden. In beiden Fällen ist die Karte vorhanden, d. h. die virtuelle Karte kann genauso an ein POS-Gerät gehalten werden wie eine physische Karte, etwa durch das Vorzeigen des Smartphones oder der Smartwatch.

Das ist auch der Grund, warum Emittenten mehr Wert darauf legen, ob es sich um eine Transaktion mit oder ohne Karte handelt – und nicht, in welcher Form die Karte vorliegt. Ein Distanzgeschäft liegt dann vor, wenn etwas online gekauft und lediglich mit den Daten einer physischen oder virtuellen Karte bezahlt wird. 

Heißt das, dass virtuelle Karten die gleichen Risiken bergen wie physische Karten?

Es bedeutet, dass ein Kauf riskanter ist, wenn die Karte nicht anwesend ist, also im Geschäft weder vorgelegt noch auch auf einem persönlichen Gerät gespeichert ist, das zum Bezahlen verwendet werden kann.

In Bezug auf die Zahlungssicherheit sind virtuelle und physische Karten gleichermaßen sicher zu verwenden.

Letztendlich sind Online-Transaktionen oder Transaktionen mit nicht vorhandener Karte risikoreicher als Offline-Transaktionen, und zwar allein deshalb, weil sich Händler und Kartennutzer:innen nicht physisch im selben Raum befinden.

Für Online-Zahlungen gibt es kein Kartenlesegerät. Wie wird eine Online-Transaktion abgewickelt?

Online-Händler verwenden in der Regel einen Acquirer von Drittanbietern, z. B. PayPal, bei dem Nutzer:innen Kartendaten hinterlegen müssen. Die nächsten Schritte sind meist die gleichen wie bei Offline-Zahlungen: Der Acquirer sendet eine Nachricht an das Netzwerk, das Netzwerk sendet eine Nachricht an den Kartenprozessor und der Kartenaussteller muss die Zahlung genehmigen.

Aus Sicherheitsgründen gibt es jedoch einen zusätzlichen Schritt aufseiten des Ausstellers, nämlich die Starke Kundenauthentifizierung. Dieser Online-Authentifizierungsprozess ist nur bei Transaktionen mit nicht vorhandener Karte erforderlich. Der Kartenaussteller prüft dabei, ob es sich bei dem Händler um einen bekannten und üblichen Händler handelt. Ist dies nicht der Fall, sendet er eine Benachrichtigung an das Smartphone des Karteninhabers, damit dieser die Transaktion genehmigen kann.

Wenn wir über Pleo sprechen, müssen wir eigentlich über zwei Pleos sprechen: Pleo Financial Services und Pleo Technologies. Warum?

Enfuce und Pleo sind Teil von Pleo Financial Services, einem von der dänischen Finanzaufsicht FSA regulierten Finanzunternehmen. Nur ein eingetragenes Finanzunternehmen kann Zahlungskarten ausstellen. Die Technologie, die dieser Finanzdienstleister verwendet, kann jedoch von einem anderen Unternehmen entwickelt werden. Der Finanzdienstleister erwirbt etwa eine Technologie, um festzustellen, welcher Händler sicher ist und welcher nicht. Auch im Fall von Pleo muss Pleo Financial Services diese Technologie irgendwo kaufen. Und das tun wir bei Pleo Technologies, einem reinen Technologieunternehmen, das Software entwickelt. Unsere App wird beispielsweise von Pleo Technologies entwickelt.

Dass zwei verschiedene Unternehmen gemeinsam ein Endprodukt anbieten, ist eine gängige Praxis bei Unternehmen, die Ausgabenlösungen anbieten.

Hat es Vorteile, dass unsere eigenen Karten von Pleo Financial Services ausgestellt werden?

Die Existenz von Pleo Financial Services bedeutet, dass wir unsere eigenen Compliance- und Betrugsvorschriften durchsetzen können und eine enge Beziehung zur Finanzaufsichtsbehörde pflegen. 

Wir sind nicht von einer anderen Institution abhängig, um Vorschriften einzuhalten. Wir sind nicht den Versäumnissen anderer ausgesetzt.

Wie können wir unseren Kund:innen versichern, dass ihr Geld bei uns sicher ist?

Alle Pleo-Karten sind sicher. Wir verfolgen einen aktiven Betrugsschutz und Betrugserkennung. Einkäufe mit Pleo werden von Algorithmen zur Betrugserkennung überwacht, die bei verdächtigen Aktivitäten die Karten vorübergehend sperren.

1. Dass Pleo das PSD2-Zertifikat trägt, bedeutet für unsere Kund:innen Sicherheit in Bezug auf riskante und nicht riskante Transaktionen.
   
   Wie bereits erläutert, gibt es einige Grundvoraussetzungen, auf denen unsere risk engine agiert. Überdies haben wir aber noch weitere Regeln aufgestellt. Glücksspiel ist zum Beispiel nicht von der Regulierungsbehörde verboten, aber wir haben den Schritt unternommen, zu sagen, dass man mit Pleo-Karten nicht spielen kann.
   
   Das Umsetzen der Starken Kundenauthentifizierung ist eine zusätzliche Sicherheitsstufe für alle Zahlungen.
   
2. Pleos PCI DSS-Zertifikat schützt die Daten unserer Kund:innen.
   
   Von dem Moment an, da eine Pleo-Karte genutzt wird, werden die Kartendaten mit Tokens versehen. Selbst wenn sich jemand Zugang zu diesen Daten verschaffen würde, könnte er nichts damit anfangen. Die Daten bleiben vollständig verschlüsselt.
   
   Alle Daten werden durch die höchsten Sicherheitsstandards, die normalerweise nur Banken umsetzen, geschützt.
   
3. Die Mastercard Zero Liability Policy bedeutet, dass Pleo-Kund:innen durch Mastercard geschützt sind und jede Transaktion den Schutz von Mastercard genießt. Sollte eine Karte für betrügerische Aktivitäten verwendet worden sein, erhält der oder die Inhaber:in Ihr Geld zurück. 
   
4. Im Rahmen der EU-Datenschutz- und Sicherheitsanforderungen ist Pleo vollständig konform mit der DSGVO-Gesetzgebung. Wir verwenden Kund:innendaten nur für das, was das Gesetz erlaubt. Wir geben sie nicht an Website-Marketing-Agenturen weiter und verwenden sie nicht ohne Zustimmung für Newsletter o.a.

Fazit: Wir verwenden wirklich einige der besten Technologien, um kriminelle Aktivitäten mit unseren Karten zu verhindern.