Der Zweck dieses Eintrags besteht darin, die Schlüsselelemente zu überprüfen, die ein Unternehmen berücksichtigen muss, um ein Zahlungsdienstleister zu werden.
Viele ISOs und Payment Service Provider erkennen nach mehreren Betriebsjahren, dass sie ihre Kosten deutlich senken und ihre Abwicklung optimieren können, wenn sie auf eine eigene Payment Management Plattform setzen.
Aufgrund der Komplexität, die mit der Zahlungsabwicklung und der PCI-Compliance verbunden ist, kann es jedoch schwierig sein, alles intern zu erledigen.
In diesem Artikel werden wir die wesentlichen Komponenten des Prozesses und die Herausforderungen beim Aufbau eines eigenen Zahlungsgateways behandeln.
Auswahl der Zahlungsgateway-Software
Zunächst benötigt ein Unternehmen, das eine eigene Zahlungsgateway-Lösung (White-Label oder exklusiv) haben möchte, eine Zahlungsgateway-Software.
Die Optionen können darin bestehen, einige Software selbst zu erstellen, einige Konnektoren zu kaufen und sie in ein vorhandenes Kundenverwaltungsprodukt zu integrieren oder eine bereits vorhandene Zahlungsgateway-Software zu lizenzieren. Wenn es um bestehende Zahlungsgateway-Software geht, gibt es zwei gängige Optionen: die Software zu lizenzieren und selbst zu hosten oder eine gehostete Version zu verwenden. Weitere Informationen finden Sie in den Artikeln zu Zahlungsverarbeitungslösungen und Zahlungsgateway-Lösungen in unserem Blog.
Der nächste Schritt im Prozess besteht darin, die Umgebung zu bestimmen, in der sich die Zahlungsgateway-Software befindet.
Hosting von Zahlungsdienstleistern
Um ein unabhängiger Zahlungsdienstleister zu werden, kann ein Unternehmen entweder eine eigene Serverinfrastruktur implementieren oder ein PCI-konformes Hosting (wie firehost oder Rackspace) verwenden.
Eine selbst gehostete Serverinfrastruktur beinhaltet die Wartung eines Rechenzentrums, die Verfügbarkeit von Entwicklungspersonal und ein jährliches PCI-Audit. PCI-konformes Hosting hingegen funktioniert auf die gleiche Weise wie ein allgemeines VPS-Hosting (wodurch Rechenzentrums- und Netzwerktechniker überflüssig werden), mit der Ausnahme, dass sich die Server in einem bereits PCI-kompatiblen Netzwerk befinden.
Aufgrund der zusätzlichen PCI-Anforderungen sind Server bei PCI-kompatiblem Hosting teurer als eine gleichwertige Konfiguration in einer nicht PCI-kompatiblen Umgebung.
PCI-Compliance und Kartenspeicher
Eine wichtige Überlegung, die das Unternehmen auf dem Weg zum Zahlungsdienstleister berücksichtigen muss, ist die PCI-Compliance. Das Unternehmen muss das geeignete PCI-Auditor-Unternehmen finden, den Umfang des PCI-Audits bestimmen und Angebote vom bevorzugten Dienstleister (Assessor) anfordern. Beispiele für mögliche Partner sind Security Metrics und Coalfire .
Eine der Herausforderungen, die im Rahmen des PCI-Audits zu bewältigen sind, ist die Strategie für die Kreditkartenspeicherung. Wenn Sie eine Form der Appliance-basierten Tokenisierung in Betracht ziehen, müssen die Kosten der Appliance in die Gesamtschätzung einbezogen werden. Weitere Informationen zur Tokenisierung (entweder durch Appliance oder als Service) finden Sie im jeweiligen Artikel auf unserem Blog.
Auswahl der Banken und Verarbeiter
Das letzte zu behandelnde Problem ist die Auswahl der Banken und / oder Verarbeiter, die tatsächlich Transaktionen abwickeln.
In einigen Fällen erfordert die Integration als Zahlungsdienstleister die Integration mit anderen Zahlungsgateways, Kreditkartenprozessoren und / oder Banken. Wenn Sie sich entscheiden, eine Zahlungsgateway-Software von einem Drittanbieter zu lizenzieren, ist es immer eine gute Idee zu überprüfen, welche Arten von Integrationen sie bereits haben.
Berücksichtigen Sie bei der Bewertung des Umfangs potenzieller Integrationsbemühungen diese Richtlinien.
- Integrationen mit Zahlungsgateways sind in der Regel einfach und erfordern in der Regel keinen zeitaufwändigen Zertifizierungsprozess.
- Integrationen mit Banken sind im Allgemeinen nicht kompliziert und haben einen kleineren Umfang als Kreditkartenintegrationen, aber einige Gemeinschaftsbanken verfügen möglicherweise nicht über die Technologie, die fortgeschritten genug ist, um eine vollständige Automatisierung der Verarbeitung zu ermöglichen.
- Integrationen mit Kreditkartenprozessoren können ziemlich komplex sein, insbesondere wenn Legacy-Plattformen beteiligt sind, und selbst wenn die Software, die Sie lizenzieren, bereits über eine solche Integration verfügt, muss sie noch unter Ihrem Namen und Ihrer PCI-Umgebung zertifiziert werden.
Hier ist ein anschauliches Beispiel für mögliche Kosten.
Beispiel
Tokenisierungs-Appliance $ 50 000 – 100 000
Jährliches PCI-Audit $ 25 000
Monatliche PCI-Hosting-Gebühr (die durchschnittliche Anzahl der benötigten Server beträgt 4 (2 davon für die Sicherung)) $ 2 500 – 3 500
Zusätzliche Integration mit neuen Banken/Prozessoren (jeweils) $ 5 000 – 15 000
Diese Schätzungen bilden die Grundlage für die Berechnung der ungefähren Kosten einer gemeinsamen Zahlungslösung, die von einem durchschnittlichen Zahlungsdienstleister benötigt würden. Wenn Sie erwägen, ein Zahlungsvermittler zu werden, versuchen Sie dieses Quiz, um Ihre Bereitschaft zu beurteilen.
