Flertallet af de cirka 60 danske virksomheder, der håndterer online kortbetalinger vil ikke nå at blive sikkerhedsgodkendt af Visa og Mastercard-organisationerne inden fristens udløb 1. januar 2006.
Om de kan få dispensation til at fortsætte deres forretning uden den krævede godkendelse er uvist.
Organisationen bag betalingskortet Visa forlanger per 1. januar 2006, at alle firmaer, der håndterer onlinebetalinger med deres kort, skal have gennemgået et såkaldt on-site review og en række scanninger af deres systemer for at kunne opnå godkendelse fra Visa.
Godkendelsen foregår gennem Visa's samarbejdspartner i Danmark, PBS, Pengeinstitutternes Betalings System, der har monopol på dankort-transaktioner.
Nu er PSP'erne ved at være presset på tid.
Computerworld har talt med en række af de mindre PSP-virksomheder. De er alle bekymret ved udsigten til årsskiftet.
- Jeg tvivler på, at alle kan nå at blive godkendt, siger blandt andre Morten Bonavent fra InterPay.
Det kommer til at knibe
Den tvivl er han ikke alene med.
Hverken PBS eller konsulentfirmaet Fort Consult, der er et af de to firmaer, der har Visa og Mastercards blå stempel til at måtte foretage on-site review-sikkerhedstest, mener, at det er realistisk, at alle kan nå at blive godkendt til tiden.
- Man kan ikke nå at teste og godkende 60 virksomheder inden nytår. Det tager cirka tre uger at gennemføre en test, siger Ulf Munkedal fra Fort Consult.
Han tilføjer, at han nok skal nå at få testet og godkendt de omkring ti PSP-virksomheder, han allerede har indgået aftale med.
- Men det kommer til at knibe for dem, som ikke har skrevet sig på listen, siger han.
Fort Consult har fem-seks konsulenter, der kan afsættes til at udføre testopgaverne.
Kun to virksomheder om buddet
Som for at gøre ondt værre har Visa-organisationen foreløbig lukket for tilgangen af flere auditører, der kan få tilladelse til at udføre on-site reviews, og dermed skaffe PSP'erne den PBS-godkendelse, de har brug for, for at kunne fortsætte deres virksomhed.
Konsulentvirksomheden Ezenta, der var på nippet til at opnå godkendelse til at auditere, nåede ikke at få sin godkendelse inden Visa/Mastercard besluttede at lukke for godkendelse af yderligere auditører.
Det efterlader de danske PSP'er med to muligheder, nemlig Fort Consult og KPMG, der via selskabets internationale certificeringer er godkendt som auditør.
- Ud fra de oplysninger synes vi heller ikke, at det er realistisk (at nå det, red.). PBS har været i dialog med Mastercard og Visa for at orientere dem om, at mange PSP?ere vil få svært ved at få godkendelsen på plads inden tidsfristens udløb, siger Kåre Regnarsson, produktchef for betalingskort hos PBS.
Han kan ikke love PSP'erne dispensation udover 1. januar 2006.
- Det er ikke op til os i PBS at træffe den beslutning. Men vi vil gerne sende opfordringen videre på vegne af de PSP'ere, der føler, de får svært ved at overholde fristen, siger han.
Kun en lever op til nye krav
Computerworld har kendskab til kun en PSP-virksomhed, der lever op til de nye sikkerhedskrav og er godkendt af PBS og Visa/Mastercard. Det er DIBS (Dansk Internet BetalingsSystem).
DIBS har sammen med Fort Consult for længst startet og for nylig afsluttet arbejdet med sikkerhedsgodkendelsen.
En række PSP'er har overfor Computerworld rejst spørgsmålet om, hvorfor DIBS har kendt til den forestående stramning af kravene længe før de øvrige PSP'ere har modtaget information om de skærpede krav.
De undrer sig over, at de ikke selv er blevet orienteret tidligere.
PBS afviser at have givet oplysningerne til nogle, men ikke til andre.
- Vi har orienteret alle PSP'ere samtidig via et fællesbrev, som er udsendt på vegne af PBS International. Hvis nogen er blevet bekendt med kravet inden, så har det ikke været for at give nogen en fordel frem for andre, siger Kåre Regnarsson, PBS.
Det har været nævnt, at PBS muligvis har økonomiske interesser i virksomheden, siden oplysningen om de skærpede krav er tilgået DIBS først.
Det rygte afviser PBS blankt.
Alle skal have den dyre løsning
Et on-site review af sikkerheden på it-systemer er en bekostelig affære. Det koster mindst 75.000-100.000 kroner at have besøg af certificerede konsulenter, oplyser Ulf Munkedal, Fort Consult.
Mastercard stiller krav om on-site review til alle, der håndterer kortdata med mere end 20.000 årlige betalinger.
Kravene fra Visa er mere vidtgående. Her forlanges on-site review for alle PSP'er. Det er Visa-kravene, som PBS har tilsluttet sig.
- Da PSP'erne i praksis formidler såvel Mastercard som Visa-kortbetalinger, vil det være de mest vidtgående krav - fra Visa - der lægger niveauet. Hvis en PSP kun ønsker at formidle Mastercard-betalinger, vil det være Mastercard-kravene, der skal opfyldes, fastslår Kåre Regnarsson fra PBS.
Han erkender, at de skærpede sikkerhedskrav medfører ekstra omkostninger.
- Hvor store økonomiske konsekvenser det får for PSP'erne vil afhænge af prissætningen hos de konsulenthuse, der er godkendt til at foretage et on-site reveiw, siger Kåre Regnarsson.
Hos Fort Consult oplyser Ulf Munkedal, at hans prispolitik er den samme uanset hvor mange eller få konkurrerende spillere, der er på markedet for auditering.
PBS lover at hjælpe de PSP'er, der er trængte.
- Vi vil yde al den rådgivning og støtte, der er brug for. PSP'erne er velkomne til at kontakte PBS og redegøre for problemstillingerne. Så kan PBS formidle dem videre samlet over for organisationerne, der træffer beslutningerne, siger Kåre Regnarsson.
