Achter de schermen: uitleg over de betaal- en beveiligingsinfrastructuur van Pleo

featured-image
Achter de schermen: uitleg over de betaal- en beveiligingsinfrastructuur van Pleo - Pleo Blog
14:22

Don’t miss an article.

Super fijn dat de Pleo-kaarten op meerdere manieren gebruikt kunnen worden: fysiek met de plastic kaart, online en je kunt ze ook koppelen met Apple Pay en Google Pay. Handig voor iedereen.

De Pleo-ervaring draait om meer dan alleen gemak. We zijn er trots op te kunnen zeggen dat ten minste 99 procent van onze klanten zich veilig voelt tijdens het betalen met Pleo.

Wat maakt betalen met Pleo zo veilig? We hebben gesproken met niemand minder dan Parth Parikh, onze eigen Senior Product Manager, die werkt aan de betaalzijde van het Pleo-product en zich heeft verdiept in wat er schuilgaat achter een Pleo-transactie.

Wat gebeurt op de achtergrond wanneer ik betaal met mijn Pleo-kaart?

Normaal gesproken zijn er twee soorten transacties wanneer je per kaart betaalt: de ene noemen we 'transactie met kaart' en de andere 'transactie zonder kaart'.

Laten we eens kijken naar wat er gebeurt als je koffie koopt met je plastic kaart:

Je hebt het bedrijf waar je je Pleo-kaart gebruikt om iets te kopen. Dan heb je de acquirer, bijvoorbeeld SumUp die je een POS-(point of sale) machine aanbiedt. Je houdt de kaart tegen het pinapparaat aan. Het eerste dat er nu gebeurt, is dat de informatie op de kaart wordt overgedragen aan het apparaat. Het is de verantwoordelijkheid van de acquirer om deze informatie te verwerken en naar het netwerk te sturen. In het geval van Pleo is het netwerk Mastercard omdat al onze kaarten aan het Mastercard-netwerk zijn toegewezen. Nu identificeert het netwerk wie deze kaart heeft verstrekt. In dit geval is Pleo zelf de verstrekker. Het netwerk stuurt een bericht dat uiteindelijk wordt ontvangen door de kaartverstrekker om door te geven: hé, iemand probeert een aankoop te doen met je kaart, wil je dat goedkeuren of niet?

De uitdaging ligt in het feit dat Mastercard een zeer cryptische manier heeft om dit bericht te verzenden. Het heeft een zeer specifieke ISO 20022-indeling die de meeste verstrekkers niet kunnen lezen. We zouden daarvoor in een enorme hoeveelheid infrastructuur moeten investeren. Hier komt de kaartverwerker Enfuce in beeld om te transactie te verwerken. Enfuce verwerkt het bericht van Mastercard, vereenvoudigt het en stuurt het naar Pleo. Vervolgens kan Pleo de transactie lezen en dan kunnen we bepalen of we de transactie goedkeuren. De meeste kaartverwerkers doen het op deze manier, alleen grote banken hebben misschien hun eigen kaartverwerker. Voor de meeste verstrekkers is het efficiënter om te betalen voor de expertise van een ander om deze taak op zich te nemen.

 

Wat is het verschil tussen verschillende netwerken als Mastercard en Visa?

Normaal gesproken kiest de verstrekker het netwerk. Pleo heeft een contract met Mastercard. De acquirer kan signalen sturen naar alle netwerken, maar detecteert aan de hand van de kaart welk netwerk de verstrekker voor de kaart heeft gekozen.

Technisch gesproken is er geen verschil tussen de verschillende netwerken. Het is alsof je iets koopt in winkelcentrum A of in winkelcentrum B - het resultaat zal hetzelfde zijn.

Mastercard wordt natuurlijk bijna overal in de wereld geaccepteerd, meer dan 30 miljoen leveranciers accepteren Mastercard, dus in dat opzicht is Pleo een zeer aanvaardbare uitgavenoplossing.

 

Een hoge acceptatiegraad van de kaart is belangrijk voor iedereen die een creditcard of zakelijke betaalkaart moet kiezen. Wat kunnen de redenen zijn waarom een kaart niet wordt geaccepteerd?

Dit kan meerdere redenen hebben. Hier volgen enkele voorbeelden:

De eerste mogelijke reden kan zijn dat de acquirer van de leverancier gewoon niet met bepaalde netwerken werkt. Het is dus eigenlijk niet de leverancier/het bedrijf die ervoor kiest om een kaart niet te accepteren, maar de acquirer die wordt gebruikt.

De tweede reden kan zijn dat de acquirer wel werkt met het netwerk van de gepresenteerde kaart, maar de kaartgegevens volledig onbekend zijn en een op risico gebaseerde controle in gang zetten. Dit zou kunnen gebeuren als je in Aruba betaalt met een Koreaanse Mastercard. Die gevallen zijn zeer ongebruikelijk en zeer afwijkend.

Het derde scenario zou zijn dat de acquirer de kaartinformatie accepteert en deze doorgeeft aan het netwerk. Vervolgens zegt de verstrekker echter dat de transactie volledig buiten hun standaardnormen valt om te aanvaarden, mogelijk omdat de parameters die voor de transactie zijn geconfigureerd, bijvoorbeeld het dagelijkse uitgavenlimiet, worden overtreden.

Bij Pleo hebben we een risicosysteem dat transactieregels controleert en aangeeft dat een bepaalde transactie riskant is of dat een leverancier riskant is. Als dat zo is, controleren we de transactie en bovendien kunnen we de kaart meteen blokkeren. Als je naar een land met hoog risico gaat om voor iets te betalen met je Mastercard, kan het zijn dat de transactie wordt goedgekeurd door de kaartverwerker. Pleo zal je transactie in een land met hoog risico echter niet goedkeuren vanwege sancties of risico op witwassen van geld. We keuren de transacties simpelweg af.

De lijst met regels is aanpasbaar, en slim, wat betekent dat het risicosysteem leert van eerdere gegevens. Als je de kaart vaker gebruikt bij dezelfde leverancier, leert het systeem dat het in orde is om deze transactie goed te keuren.

 

Op welk moment verlaat het geld daadwerkelijk je Pleo-account?

Wanneer Pleo als verstrekker een transactie goedkeurt, is de eerste fase voltooid. Dit noemen we 'kaartautorisatie'. De tweede fase is 'verrekenen'.

In de eerste fase vindt nog geen geldbeweging plaats, de verstrekker heeft alleen toestemming gegeven voor de transactie. Nu kan de leverancier naar Pleo komen om het openstaand saldo op een later moment te innen. Deze laatste stap, waarbij het geld van je Pleo Wallet naar de leverancier wordt overgemaakt, heet 'verrekenen'. Dit gebeurt normaal gesproken twee dagen na de transactie.

Iedereen weet dat je borg moet betalen wanneer je bijvoorbeeld een auto huurt. Hier zien we hetzelfde principe: de 500 euro borg wordt geautoriseerd en geblokkeerd op je kaart, maar wordt nooit daadwerkelijk geïnd, tenzij je de auto beschadigt.

Nadat een transactie is verrekend, kunnen gebruikers een met hun Pleo-kaart gedane aankoop betwisten door te claimen dat deze frauduleus was of zonder hun medeweten of toestemming is verricht en een claim voor terugboeken initiëren. Dit kan enkele dagen duren en wordt door de leverancier gecontroleerd. Tussen autorisatie en verrekening heeft de leverancier normaal gesproken de mogelijkheid om de overschrijving van geld te blokkeren of een gedeeltelijke verrekening te regelen.

 

Onze klanten moet het saldo van hun Pleo Wallet aanvullen om hun Pleo-kaarten te kunnen gebruiken. Waar wordt dit geld precies bewaard?

Het geld gaat niet rechtstreeks naar ons.

We werken samen met betrouwbare partnerbanken met een goed verbonden betalingsnetwerk over de hele wereld, zoals J.P. Morgan, Banking Circle en Danske Bank.

Om precies te zijn, gaat je saldo wanneer je je Wallet aanvult eerst naar een beveiligde rekening bij J.P. Morgan (of naar Danske Bank voor onze klanten in Denemarken en Zweden). Dit betekent dat niemand - noch wij noch iemand anders - direct toegang heeft tot je geld.

Als een transactie wordt gedaan en Mastercard saldo zoekt om dit te dekken, neemt Pleo het geld van J.P. Morgan (of Danske Bank) om te betalen.

 

Hoe gewoonlijk is het voor een bedrijf als Pleo dat oplossing voor zakelijke uitgaven biedt om de verstrekker te zijn van de kaarten die klanten gebruiken?

Als je naar de concurrenten kijkt, zijn er meer gevallen waarbij de concurrent een verstrekker is zoals Pleo en in sommige gevallen zijn de concurrenten geen directe verstrekkers. Dit betekent dat ze de kaarten alleen beheren. Ze kunnen nog steeds transacties controleren en transactieregels instellen om aan de verstrekker door te geven.

 

Wat is er anders bij een aankoop met een virtuele kaart?

Wat je kaart virtueel maakt, is dat de kaartinformatie niet op een fysieke kaart wordt opgeslagen. Dat is het enige verschil met een fysieke kaart. Je kunt een transactie met kaart doen met je fysieke kaart en je virtuele kaart. In beide gevallen is je kaart aanwezig, wat betekent dat je je virtuele kaart (smartphone of smartwatch) tegen een pinappartaat kunt aanhouden op dezelfde manier zoals je een plastic kaart ertegen aanhoudt.

Dit is ook de reden waarom het mij, vanuit het oogpunt van de verstrekker, meer aangaat of we te maken hebben met een transactie met kaart of zonder kaart . Een transactie zonder kaart is bijvoorbeeld wanneer je online iets koopt en gegevens van je fysieke of virtuele kaart gebruikt om te betalen.

 

Betekent dit dat virtuele kaarten dezelfde risico's hebben als fysieke kaarten?

Dit betekent dat een aankoop riskanter is wanneer er geen kaart aanwezig is, dus niet opgeslagen op een persoonlijk apparaat dat wordt gebruikt om te betalen of alleen niet aanwezig in je hand om tegen een pinapparaat aan te houden of erin te steken.

In termen van betalingsveiligheid zijn virtuele en fysieke kaarten even veilig om te gebruiken.

Uiteindelijk zijn online transacties of transacties zonder kaart risicovoller dan offline transacties, puur omdat de leverancier en kaartgebruiker zich niet in dezelfde ruimte bevinden.

 

Bij online betalingen is er geen fysiek apparaat van de acquirer aanwezig. Hoe wordt een online transactie verwerkt?

Online leveranciers gebruiken meestal een externe acquirer zoals PayPal waar je je kaartgegevens moet invoeren. De volgende stappen zijn bijna hetzelfde als bij offline betalingen. De acquirer stuurt een bericht naar het netwerk, het netwerk stuurt een bericht naar de kaartverstrekker en de verstrekker moet de betaling autoriseren.

Vanwege veiligheidsredenen is er echter een extra stap aan de kant van de verstrekker die we Sterke klantauthenticatie noemen. Dit online authenticatieproces is alleen nodig bij transacties zonder kaart. De verstrekker controleert of de leverancier een bekende en gebruikelijke verkoper is. Indien dit niet het geval is, stuurt de verstrekker een bericht naar je telefoon om te vragen om deze transactie goed te keuren.

Bij Pleo hebben we een slim systeem in ons ecosysteem ingebouwd dat bepaalt of een verkoper een erkende leverancier is.

 

Als we het over Pleo hebben, moeten we het eigenlijk hebben over de twee Pleo's die er zijn: Pleo Financial Services en Pleo Technologies. Welke rol spelen zij bij transacties?

Enfuce en Pleo zijn onderdeel van Pleo Financial Services, een financiële entiteit die wordt gereguleerd door FSA in Denemarken. Alleen een financieel geregistreerd bedrijf mag een kaart verstrekken. De technologie die een financiële dienst nodig heeft, kan echter in een afzonderlijke entiteit worden ondergebracht. De financiële dienst kan namelijk de technologie aanschaffen die nodig is om bijvoorbeeld te bepalen welke leverancier veilig is en welke niet. In het geval van Pleo, moet Pleo Financial Services deze technologie ergens kopen en deze kopen ze van Pleo Technologies, een technisch bedrijf dat software ontwikkelt. Onze app bijvoorbeeld is ontwikkeld door Pleo Technologies. Het zijn twee afzonderlijke bedrijven.

Twee afzonderlijke bedrijven gebruiken om het eindproduct te bieden is vrij gebruikelijk bij bedrijven die uitgavenoplossingen bieden.

 

Biedt het verstrekken van onze eigen kaarten binnen Pleo Financial Services nog andere voordelen?

Het bestaan van Pleo Financial Services betekent dat we onze eigen nalevings- en fraudevoorschriften kunnen handhaven en een nauwe samenwerking met onze financiële toezichthouder kunnen onderhouden.

We zijn niet afhankelijk van een andere instelling om aan de voorschriften te voldoen. We worden niet beïnvloed door bestuurlijke fouten van anderen.

Hoe kunnen we onze klanten geruststellen dat hun geld veilig is bij ons?

Alle Pleo-kaarten zijn veilig, we beschikken over fraudebeveiliging en fraudedetectie. Aankopen worden gecontroleerd door onze algoritmen voor fraudedetectie, die kaarten tijdelijk bevriezen bij verdachte activiteiten.

We bieden simpelweg de hoogste standaard van betalings- en gegevensbeveiliging. We beschikken over alle certificaten die transacties en transactiegegevens veilig maken:

Het PSD2-certificaat betekent veiligheid op het gebied van risicovolle en niet-risicovolle transacties. Zoals eerder uitgelegd, er geldt een basisvereiste voor ons risicosysteem, maar daarbovenop stellen we nog regels op. Gokken wordt bijvoorbeeld niet verboden door de regelgever, maar om extra voorzichtig te zijn hebben we bepaald dat je niet mag gokken met Pleo-kaarten. Dit is ook waar de Sterke klantauthenticatie in werking treedt om een extra veiligheidsniveau te bieden voor alle betalingen en gebruikersauthenticatie.

Het PCI DSS-certificaat gaat over privacy en veiligheid van je gegevens. Vanaf het moment dat je je kaart ergens tegen aanhoudt, worden je gegevens getokeniseerd. Zelfs als iemand toegang zou krijgen tot je gegevens, kan diegene er niks mee. Je gegevens blijven volledig versleuteld. Alle gegevens zijn beveiligd volgens de hoogste veiligheidsnormen voor banken.

Het Zero Liability-beleid van Mastercard betekent dat Pleo-klanten worden beschermd door Mastercard en bij iedere transactie gebruik wordt gemaakt van de Mastercard-bescherming. Als je kaart wordt gebruikt voor frauduleuze activiteiten, krijg je alles terugbetaald.

Binnen de vereisten voor gegevensbescherming en -beveiliging in de EU voldoet Pleo volledig aan de AVG-wetgeving. We gebruiken klantgegevens voor niks anders dan wat wettelijk is toegestaan. We delen ze niet met marketingbureaus, we gebruiken ze niet voor nieuwsbrieven en dergelijke zonder je toestemming.

We gebruik echt de beste technologieën om criminele activiteiten met onze kaarten te voorkomen.

Krijg het leukste Pleo-nieuws

Met maandelijke updates, verhalen van Pleo Hero's en natuurlijk alle nieuw(tje)s