Bakom kulisserna: Pleos infrastruktur för betalning och säkerhet

Vi tycker alla om att Pleo-kort kan användas på många olika sätt. Du kan få både ett fysiskt kort och ett virtuellt kort – och du kan använda dem med Apple Pay och Google Pay. Vi vet att det är något som underlättar mycket för våra kunder.

Nu är det ju så, att Pleo inte bara handlar om bekvämlighet. Vi är också stolta över att kunna säga att åtminstone  99 procent av våra kunder känner sig trygga med att använda Pleo.

Men vad är det mer exakt som gör det säkert att betala med Pleo? Vi pratade med ingen mindre än vår Senior Product Manager, Parth Parikh, som jobbar med betalningar här på Pleo. Tillsammans gjorde vi en djupdykning i vad som händer bakom kulisserna när man gör en Pleo-transaktion.

Vad händer bakom kulisserna när jag betalar med mitt Pleo-kort?

När du gör en korttransaktion finns det vanligtvis två typer av transaktioner: En kallar vi “kort närvarande”-transaktion och den andra “kort inte närvarande”-transaktion.

Nu ska vi titta närmare på vad som händer om du betalar för en kopp kaffe med ditt kort till hands:

Vi har köpstället där du använder ditt Pleo-kort för att betala. Sen har du också inlösaren, till exempel SumUp, som ger dig en POS-terminal (försäljningsterminal). Du blippar kortet mot terminalen och det första som händer är att informationen på kortet skickas vidare in i terminalen. Nu är det inlösarens ansvar att läsa in den här informationen och skicka den till nätverket. I Pleos fall är nätverket Mastercard, eftersom alla våra kort är tillhör Mastercard-nätverket. Nu identifierar nätverket vilken utfärdare kortet tillhör. Om du har turen att ha ett Pleo-kort är din kortutgivare Pleo. Nätverket skickar ett meddelande som så småningom tas emot av kortutgivaren så att den kan fundera på frågan: Hallå, någon försöker göra ett köp med ert kort, vill ni godkänna det eller inte?

Utmaningen med Mastercard är att de har ett kryptiskt sätt att skicka det här meddelandet. Det är i ett specifikt format, ISO 20022-formatet, som de flesta utgivare inte kan läsa. Vi skulle behöva investera i en enorm mängd infrastruktur för att kunna göra det. Så därför ber vi någon att förenkla det åt oss. Det är här kortförmedlaren Enfuce kommer in i bilden. Enfuce behandlar transaktionen, läser in meddelandet från Mastercard, förenklar det och skickar det till Pleo. Pleo kan sen läsa av transaktionen och bestämma om vi vill godkänna transaktionen eller inte. Det här är något de flesta kortutgivare väljer att göra – det är bara stora banker har egna kortförmedlare. För de flesta utgivare är det mer effektivt att betala för någon annans expertis.

Vad är skillnaden mellan olika nätverk som Mastercard och Visa?

Oftast väljer utgivaren nätverk. Pleo har avtal med Mastercard. Förvärvaren kan skicka signaler till alla nätverk, men använder kortet för att veta vilket nätverk som utgivaren har valt till kortet.

Tekniskt sett är det ingen skillnad mellan olika nätverk. Det är precis som om du skulle handla i köpcentrum A eller B – resultatet blir ändå detsamma.

Men självklart är Mastercard accepterat över hela världen och fler än 30 miljoner köpställen tar emot Mastercard. Det gör Pleo till en brett accepterad utgiftslösning.

Att ett kort accepteras på många platser är viktigt för alla som behöver välja ett kredit- eller företagskort. Vad skulle kunna vara en anledning till att ett kort inte accepteras?

Det kan finnas flera anledningar. Här kommer några exempel:

Den första möjliga anledningen kan vara att köpställets inlösare helt enkelt inte arbetar med vissa nätverk. Det är aldrig riktigt så att det är köpstället som väljer att inte acceptera ett kort, det är förvärvaren som används.

En andra anledning kan vara att inlösaren faktiskt arbetar med nätverket som kortet tillhör, men kortuppgifterna är helt främmande och utlöser en riskkontroll. Det kan hända om du ska till Aruba med ett koreanskt Mastercard. Sådan fall är mycket ovanliga.

Det tredje scenariot skulle se ut så här: Förvärvaren accepterar kortinformationen och för över den till nätverket. Men då säger utgivaren att transaktion bryter helt mot deras standard för godkännande, potentiellt på grund av att det bryter mot de parametrar som konfigurerats för transaktionen, t.ex. daglig köpgräns.

Här på Pleo har vi en riskmotor som drivs av transaktionsövervakningsregler. Den flaggar när en viss transaktion anses riskfylld eller när köpstället är riskfyllt. Om så är fallet fortsätter vi att kontrollera transaktionen och vi kan dessutom frysa kortet omedelbart. Om du åker till ett högriskland och betalar för något med ditt Mastercard-kort kan transaktionen gå igenom hos kortförmedlaren, men Pleo godkänner inte ditt köp i ett högriskland på grund av sanktioner eller risk för penningtvätt. Istället avvisar vi helt enkelt transaktionen.

Den här regellistan är anpassningsbar, vilket är smart eftersom det innebär att riskmotorn lär sig av tidigare data. Om du fortsätter att använda kortet på samma köpställe lär sig motorn också att det är okej att godkänna den transaktionen.

I vilket steg dras egentligen pengarna från ditt Pleo-konto?

Om Pleo som utfärdare godkänner en transaktion är den första fasen slutförd. Det här kallar vi ”kortauktorisering”. Nästa steg heter ”reglering”.

Den första fasen innebär bara att utfärdaren har godkänt transaktionen, inga pengar har faktiskt flyttats. Nu har köpstället möjlighet att kontakta Pleo vid ett senare tillfälle för att inhämta det utestående saldot. Det sista steget i pengarnas resa från din Pleo-wallet till köpstället kallas ”reglering”. Det sker vanligtvis två dagar efter transaktionen.

Alla vet att man behöver betala en handpenning när man hyr en bil. Samma princip används här: handpenningen på 500,00 euro auktoriseras och blir ett skyddat belopp på ditt kort, men det dras aldrig – så länge du inte skadar bilen.

Efter att en transaktion har reglerats kan användaren bestrida ett köp som gjorts med Pleo-kortet genom att hävda att det var bedrägligt eller genomfördes utan användarens vetskap eller tillstånd, och det kan därmed initiera ett återbetalningskrav. Det  kan ta flera dagar och granskas av köpstället. Mellan godkännande och reglering har köpstället faktiskt möjlighet att stoppa pengar från att överföras eller att utföra en partiell reglering.

Våra kunder måste fylla på sin Pleo-wallet för att kunna använda sina Pleo-kort. Exakt var lagras de här pengarna?

Pengarna går inte direkt till oss. 

Vi arbetar med betrodda partnerbanker som J.P. Morgan, Banking Circle och Danske Bank, som har utbredda betalningsnätverk runtom i världen.

För att vara mer specifika: När du fyller på din Pleo-wallet går pengarna först till ett skyddat konto hos Danske Bank (eller J.P. Morgan för våra kunder utanför Danmark och Sverige). Det betyder att varken vi – eller någon annan – har direkt tillgång till dina pengar.

Om en transaktion görs och Mastercard letar efter medlen som ska täcka den tar Pleo pengarna från Danska Bank (eller J.P. Morgan) för att betala.

Hur vanligt är det att ett företag som Pleo, som erbjuder utgiftslösningar med betalkort, agerar utgivare av ett kort som kunder använder?

Tittar man på våra konkurrenter är de i vissa fall också utgivare, som Pleo, och i andra fall är de inte den direkta utgivaren. Det innebär att de bara reglerar korten. Men de kan ändå fortfarande övervaka transaktioner och sätta upp transaktionsregler som vidarebefordras till utfärdaren.

Hur särskiljer sig ett köp som görs med virtuellt kort?

Det som gör ditt virtuella kort virtuellt är att kortinformationen inte lagras på ett fysiskt kort. Det är den enda skillnaden mot ett fysiskt kort. Du kan göra en “kort närvarande”-transaktion med ditt fysiska och virtuella kort. I båda fallen är ditt kort närvarande, vilket innebär att du kan blippa ditt virtuella kort mot en POS-terminal (genom att ta fram din smartphone eller din smartklocka) på samma sätt som du blippar ditt fysiska kort.

Det är också anledningen till att jag, ur en utgivares perspektiv, bryr mig mer om huruvida vi har att göra med en “kort närvarande”- eller “kort inte närvarande”-transaktion. En “kort inte närvarande”-transaktion skulle vara att köpa något online och använda uppgifter från antingen ditt fysiska eller virtuella kort.

Betyder det att riskerna med virtuella kort är samma som för fysiska kort?

Det betyder att ett köp är mer riskfyllt när det inte finns något kort närvarande. Alltså när det inte är lagrat på en personlig enhet som används för att betala med, eller inte finns i din hand för att blippas eller sättas in i en POS-terminal.

Om man ser till betalningssäkerhet är virtuella och fysiska kort lika säkra att använda.

I slutändan är online- eller “kort inte närvarande”-transaktioner mer riskfyllda än offlinetransaktioner, enbart på grund av att köpstället och kortanvändaren inte befinner sig på samma fysiska plats.

När man gör en onlinebetalning finns det inte någon enhet från en fysisk inlösare närvarande. Hur hanteras en onlinetransaktion?

Köpställen online använder vanligtvis en tredjepartsinlösare, t.ex. PayPal, där du måste ange dina kortuppgifter. De följande stegen är oftast samma som för offlinebetalningar: förvärvaren skickar ett meddelande till nätverket, nätverket skickar ett meddelande till korthanteraren och utgivaren måste godkänna betalningen.

Men av säkerhetsskäl finns det ytterligare ett steg för utgivaren som vi kallar för stark kundautentisering. Den här autentiseringsprocessen för onlinetransaktioner behövs bara för “kort inte närvarande”-transaktioner. Här kontrollerar utfärdaren om köpstället är ett välkänt köpställe. Om det inte är det skickar de ett meddelande till din telefon och ber dig godkänna transaktionen.

I Pleos ekosystem byggde vi en smart motor, som avgör om köpstället är en betrodd leverantör eller inte. 

När vi pratar om Pleo behöver vi också nämna att det finns två olika Pleo: Pleo Financial Services och Pleo Technologies. Vilken roll spelar de när det gäller transaktioner?

Enfuce och Pleo ingår i Pleo Financial Services som är en finansiell enhet som styrs av FSA i Danmark. Endast ett finansiellt registrerat företag kan utfärda ett kort. Tekniken som de finansiella tjänsterna använder kan dock finnas i en separat enhet. Det beror på att den finansiella tjänsten kan köpa tekniken för att, till exempel, bestämma vilket köpställe som är säkert och vilket som inte är det. I Pleos fall behöver Pleo Financial Services köpa den här tekniken någonstans ifrån, och det gör de från Pleo Technologies, som är ett teknikföretag som utvecklar programvara. Vår app är till exempel designad av Pleo Technologies. Det är två separata företag.

Att använda två separata företag för att erbjuda en slutprodukt är en ganska vanlig praxis bland företag som tillhandahåller utgiftslösningar med smarta betalkort.

Finns det några andra fördelar med att utfärda egna kort inom Pleo Financial Services?

Att Pleo Financial Services finns innebär att vi kan ha våra egna, strikta complianceregler och motarbeta bedrägeri, samtidigt som vi kan upprätthålla en nära relation med den finansiella tillsynsmyndigheten.

Vi är inte beroende av att någon annan institution ska följa reglerna och vi påverkas inte av andras brister i kontroll.

Hur kan vi försäkra våra kunder om att deras pengar är säkra hos oss?

Alla Pleo-kort är säkra. Vi har både bedrägeriskydd och bedrägerikontroll. Köp bevakas av algoritmer för att upptäcka bedrägerier. I händelse av misstänkt aktivitet fryser vi kort temporärt.

Vi tillhandahåller helt enkelt den högsta säkerhetsstandarden för betalning och datasäkerhet. Vi har alla certifieringar som gör transaktioner och transaktionsdata säkra:

PSD2-certifikatet innebär säkerhet när man ser till riskfyllda och icke riskfyllda transaktioner. Som vi förklarat tidigare finns det ett grundkrav för vår riskmotor, och det har vi förstås. Men vi har satt regler utöver det. Tillsynsmyndigheten förbjuder till exempel inte spel och gambling, men vi var extra försiktiga och bestämde att du inte kan spela med Pleo-kort. Det är också där den stränga kundautentiseringen kommer in i bilden – för att ge en extra säkerhetsnivå till alla betalningar och användarautentiseringar.

PCI DSS-certifikatet handlar om sekretess och säkerhet för din data. Från ögonblicket du blippar ditt kort blir dina data tokeniserade. Även om någon skulle få tillgång till data skulle de inte kunna tolka den. Dina data förblir fullständigt krypterade och alla data skyddas av de högsta standarderna för banksäkerhet.

Policyn Mastercards Zero Liability innebär att Pleo-kunder skyddas av Mastercard och att varje transaktion använder Mastercards skydd. Du kompenseras om ditt kort har använts för bedrägliga aktiviteter.

Inom EU:s krav på uppgiftsskydd och säkerhet följer Pleo GDPR-lagstiftningen fullt ut. Vi använder inte kunddata till något annat än vad som tillåts enligt lagen. Vi delar inte något med webbmarknadsföringsbyråer och vi använder det inte för nyhetsbrev och annat utan ditt tillstånd.

Vi använder några av de bästa teknikerna som finns för att förhindra brottslig verksamhet med våra kort.