Descrizione del servizio SOCIETA' PER I SERVIZI BANCARI - SSB S.p.A. Sede Sociale e Direzione Generale: Via Faravelli, 14-20149 Milano - Cap.Soc. 10.763.984,27 int.vers. T: +39 02 3484.1 F: +39 02 3484.4098 E: customer.care@ssb.it C.F., P. IVA e Numero di Iscrizione del Registro delle Imprese di Milano: 10596540152
CLAUSOLA DI RISERVATEZZA Il Cliente si impegna a mantenere la più assoluta riservatezza in merito alle informazioni relative al servizio in oggetto e contenuti nel presente documento. Più in generale, il Cliente si impegna a mantenere la più assoluta riservatezza in merito a tutta la documentazione tecnica inviata da SSB e, pertanto, a non divulgare, copiare o cedere a terzi la documentazione stessa, dichiarandosi responsabile, a tale proposito, anche del comportamento del personale dipendente e non dipendente che esso stesso metterà a conoscenza della suddetta documentazione. L'obbligo di riservatezza dovrà essere mantenuto anche successivamente alla scadenza del periodo in cui i servizi oggetto del presente documento saranno erogati, salvo espressa autorizzazione scritta in merito da parte della SSB, o delle entità proprietarie della documentazione medesima, ovvero salvo quando, in base alle vigenti leggi, le informazioni divengano legittimamente di dominio pubblico. @POS Descrizione del servizio (rel. 1.2.1) Pag. 1/29
Indice dei Contenuti 1. DESCRIZIONE DEL SERVIZIO... 4 1.1 Premessa... 4 1.2 Obiettivi... 4 1.3 Attori... 5 1.3.1 Venditore... 5 1.3.2 SSB... 5 1.3.3 Banca del venditore (Banca convenzionante)... 5 1.3.4 Acquirer... 5 1.3.5 Issuer... 5 1.4 Strumenti di pagamento e protocolli di sicurezza... 6 1.5 Le caratteristiche del servizio... 7 2. ARCHITETTURA DEL SERVIZIO... 9 2.1 @POS - Inserimento Manuale... 9 2.2 @POS - Modalità Server to Server con Integrazione Merchant System... 10 2.3 @POS Modalità redirect con transazione SSL... 11 2.4 @POS Modalità redirect con transazione Verified by Visa SecureCode... 12 2.5 Attività del compratore e del venditore... 13 2.6 Adempimenti in fase di adesione... 14 2.6.1 Adesione della Banca del venditore... 14 2.6.2 Abilitazione del venditore... 14 2.7 Acquisto e Pagamento... 14 2.7.1 Attività venditore... 14 2.7.2 Attività di SSB... 16 3. BACK-OFFICE... 18 3.1 Esercizio e negozi... 18 3.1.1 Amministratore e Operatori... 19 3.2 Funzionalità di accesso al Back-Office... 20 3.3 Funzionalità di gestione degli ordini... 20 3.3.1 Modalità di autorizzazione e contabilizzazione degli ordini... 20 @POS Descrizione del servizio (rel. 1.2.1) Pag. 2/29
3.3.2 Autorizzazioni non concesse dai circuiti di pagamento... 20 3.3.3 Evasione di un ordine in diversi lotti... 21 3.3.4 Funzioni dispositive... 21 3.4 Funzionalità di supporto... 24 3.4.1 Reportistica e storico degli ordini... 24 3.4.2 Statistiche... 25 3.4.3 Ricerche... 25 3.5 Api Back office... 25 4. LIVELLI DI SERVIZIO... 27 4.1 Autorizzazioni... 27 4.2 Flussi Batch di rendicontazione... 27 @POS Descrizione del servizio (rel. 1.2.1) Pag. 3/29
1. Descrizione del Servizio 1.1 Premessa SSB è attiva nell ambito dei sistemi di pagamento su reti aperte fin dal 1997. Sulla base della competenza e dell esperienza acquisite in questo campo, SSB ha ridefinito ed ampliato la gamma degli strumenti di pagamento e dei sistemi di sicurezza al fine di offrire la soluzione più consona alle specifiche esigenze delle Banche e dei loro clienti. Questo documento si riferisce esclusivamente alla descrizione del sistema @POS per pagamenti con carte di credito. 1.2 Obiettivi Si tratta di un applicazione di pos virtuale corredata dal relativo sistema di back-office, rivolta principalmente agli esercenti che dispongono già di un sistema pregresso di vendite per corrispondenza con raccolta degli ordini completi degli estremi di pagamento. Il sistema, denominato @POS, consente di automatizzare e rendere più efficiente ed economico il colloquio tra gli esercenti ed i circuiti autorizzativi, avvalendosi di un unico entry-point su internet. L inserimento dei dati nel pos virtuale può essere effettuato sia tramite un operatore umano sia in modo automatico dal sistema informativo dell esercente. @POS Descrizione del servizio (rel. 1.2.1) Pag. 4/29
1.3 Attori 1.3.1 VENDITORE Il venditore/esercente è l'organizzazione commerciale (fornitore di software, agenzia di viaggi, libreria, supermercato, grossista,...) che effettua la vendita di beni o servizi su Internet. 1.3.2 SSB E' l'entità che, in relazione alle singole esigenze delle Banche e dei loro clienti (Internet Service Provider, imprese, professionisti, privati) gestisce l infrastruttura di sicurezza del sistema e svolge il ruolo di gateway verso i circuiti autorizzativi. 1.3.3 BANCA DEL VENDITORE (BANCA CONVENZIONANTE) E' la Banca presso cui il venditore sottoscrive l adesione al servizio e intrattiene il rapporto di conto corrente da accreditare a fronte delle vendite. 1.3.4 ACQUIRER E l istituzione finanziaria che detiene il rapporto contrattuale con l esercente al fine di consentire l'accettazione delle carte di pagamento appartenenti ad un determinato circuito. 1.3.5 ISSUER E l istituzione finanziaria che detiene il rapporto contrattuale con il titolare della carta, ne cura il processo di emissione e di autorizzazione al pagamento. @POS Descrizione del servizio (rel. 1.2.1) Pag. 5/29
1.4 Strumenti di pagamento e protocolli di sicurezza Il servizio @POS permette di accettare diverse tipologie di carte di credito in associazione con gli standard e i protocolli di sicurezza previsti da parte dei circuiti di pagamento. Di seguito vengono riportate le principali carte gestite abbinate alle modalità di utilizzo del servizio : Carte Servizio Verified by VISA SecureCode SSL MO/TO VISA MasterCard Diners Amex JCB Aura Il servizio prevede inoltre la trasmissione delle informazioni legate al CVV2 e CVC2 1 nel caso in cui la loro gestione venisse richiesta da parte dei circuiti di pagamento. Nell ambito di @POS viene garantita la riservatezza con crittografia basata sullo standard SSL con chiave simmetrica a 128 bit. 1 Questi codici costituiscono un ulteriore misura di sicurezza nelle transazioni online con carta di credito e consentono all istituto che ha emesso la carta, di verificare l identità del titolare, prevenendo possibili frodi. I codici di sicurezza CVV (Card Verification Number) e CVC (Cardholder Verification Code) sono solitamente presenti sul retro della carta. @POS Descrizione del servizio (rel. 1.2.1) Pag. 6/29
1.5 Le caratteristiche del servizio @POS è una soluzione di POS Virtuale che consente soddisfare ogni esigenza espressa da parte del mercato. Di seguito viene fornita una sintesi delle principali caratteristiche e funzionalità offerte : Modalità di utilizzo del POS Virtuale SSL (re-direzione compratore su server sicuro SSB) MO/TO (mail order/telephone order/contact center) Server to Server Verified by VISA/SecureCode Gateway interfaccia per Mobile Commerce Gateway interfaccia per TV Digitale Terrestre Carte di credito gestite VISA MasterCard Amex Diners JCB Aura Funzionalità di Back-office per l'esercente Accesso user-id psw Operatività differenziata amministratore /operatore Utilizzo tramite API (application program interface) Utilizzo tramite interfaccia grafica Funzionalità di gestione ordini Autorizzazione e Contabilizzazione Ordini Immediata Differita Gestione ordini in lotti diversi @POS Descrizione del servizio (rel. 1.2.1) Pag. 7/29
Autoriz. differita e contabiliz. immediata/differita Autoriz. immediata e contabiliz. Differita Autoriz. immediata e contabiliz. immediata Funzioni dispositive Richiesta autorizzazione Richiesta contabilizzazione Annullamento richiesta di contabilizzazione Richiesta storno Divisione/riduzione autorizzazione Chiusura/annullamento ordine Funzionalità di supporto Mail notifica pagamenti vs esercente/compratore Reportistica e storico degli ordini ricevuti Prospetti statistici sui pagamenti/ordini ricevuti Filtri dettagliati per la ricerca degli ordini. Certificazioni Certificazione ISO 9001/2000 Certificazione BS 7799 Certificazione Standard di sicurezza PCI (Payment Card Industry) Flussi dispositivi vs banche Assistenza Esercenti in fase di integrazione Pagine di pagamento compliant con le regole di accessibilità (W3C) @POS Descrizione del servizio (rel. 1.2.1) Pag. 8/29
2. Architettura del Servizio 2.1 @POS - Inserimento Manuale E' facilmente intuibile la semplicità d'uso di tale sistema che non richiede nessuna particolare attività d'integrazione da parte del venditore. Il venditore non deve fare altro che compilare i campi del form @POS, come da specifiche operative, inserire il numero di carta di credito e la relativa scadenza ed inoltrare il tutto verso SSB che processerà l'operazione. @ POS - Inserimento Manuale Browser Venditore Legenda: 5 1 (SSL 128) 4 (SSL 128) 1: Richiesta di autorizzazione ad SSB (SSL 128) 2: Inoltro richiesta di autorizzazione ai circuiti 3: Esito transazione 4: Esito transazione a video (SSL 128) 5: E-mail di conferma al venditore 3 2 CIRCUITI AUTORIZZATIVI E BANCHE @POS Descrizione del servizio (rel. 1.2.1) Pag. 9/29
2.2 @POS - Modalità Server to Server con Integrazione Merchant System In questo caso il titolare di carta che intende eseguire il pagamento interagisce con il sito web dell esercente o con un altro canale messo a disposizione dallo stesso. Il sistema del venditore deve colloquiare applicativamente con il server @POS di SSB, al quale comunica i dati per il pagamento. @ POS - Integrato con il Merchant System MERCHANT Merchant Server Merchant System 1 (SSL 128) Legenda: 1 : Richiesta di autorizzazione ad SSB (SSL 128) 2 : Inoltro ichiesta di autorizzazione ai circuiti 3 : Esito transazione 4 : Esito transazione (SSL 128) 4 (SSL 128) 2 3 CIRCUITI AUTORIZZATIVI E BANCHE @POS Descrizione del servizio (rel. 1.2.1) Pag. 10/29
2.3 @POS Modalità redirect con transazione SSL Il compratore al momento del pagamento viene rediretto sulla pagina web di @POS, fornita del server SSB, nella quale inserisce i dati della carta di credito (numero carta, data scadenza ed eventuali quantità di sicurezza) ed ottiene l esito dell operazione richiesta. @Pos compratore MERCHANT Browser 2 1 Merchant Server Merchant System 8 4 (SSL 128) 8 5 (SSL 128) 3 Legenda: 1: ordine 2,3: totale ordine 4: form per inserimento dati di pagamento 5,6: richiesta di autorizzazione 7,8: esito 7 6 CIRCUITI AUTORIZZATIVI E BANCHE @POS Descrizione del servizio (rel. 1.2.1) Pag. 11/29
2.4 @POS Modalità redirect con transazione Verified by Visa SecureCode Il seguente schema riassume l intero workflow di una transazione VBV/SecureCode: Step 1: Il titolare chiede di effettuare un acquisto su un sito di un esercente abilitato ai servizi VbV/SC ed inserisce i dati della carta di credito dando inizio alla transazione Step 2: Il sito dell esercente si collega attraverso la componente Merchant Plug-In (MPI) al Directory Server (di Visa o Mastercard) che verifica se la carta aderisce al servizio VbV/SC (contattando l ACS appropriato) Step 3 : Se la carta aderisce al servizio, l MPI invia una richiesta d autenticazione del titolare all ACS (Access Control Server) attraverso una redirect del browser del titolare Step 4: l ACS richiede la password al titolare e la verifica Step 5: l ACS restituisce un identificativo univoco della transazione (CAVV) e l esito dell autenticazione all MPI attraverso una redirect del browser del titolare Step 6: Il Merchant Server Plug-in verifica la risposta dell ACS @POS Descrizione del servizio (rel. 1.2.1) Pag. 12/29
Step 7: se l autenticazione ha avuto esito positivo, il sito dell esercente prosegue con il normale processo autorizzativo 2.5 Attività del compratore e del venditore Di seguito sono riportate schematicamente le attività del compratore e del venditore nelle diverse fasi che caratterizzano il processo di pagamento con @Pos; la descrizione che segue è valida per la modalità di acquisto di tipo redirect, mentre per la modalità server to server la fase di raccolta dei dati di pagamento è lasciata al venditore. il compratore visita il negozio virtuale e mette la merce nel carrello virtuale; terminata la fase di acquisto, il compratore inizia la fase di checkout, in cui il sistema gli presenta un riassunto dell ordine con eventuali spese di spedizione, valuta, dati per l invio della merce ecc., a fronte del quale il compratore effettua il controllo, conferma l operazione e prosegue; a questo punto il merchant system fa si che il browser del compratore si colleghi ad SSB comunicando i dati riepilogativi dell ordine (importo, valuta, numero d ordine, ecc.) e gli indirizzi internet necessari per il completamento della transazione; il server SSL di SSB presenta al compratore una pagina che contiene: o i dati dell ordine ricevuti; o i campi da compilare per il numero di carta di credito e la sua scadenza; o un pulsante per tornare al carrello virtuale del negozio, un pulsante per confermare il pagamento; il compratore compila i campi presenti e conferma il pagamento inviando i dati in SSB; SSB processa i dati della carta e fornisce una pagina di risposta al cliente; contemporaneamente SSB, in funzione della scelta effettuata dal venditore in fase di adesione al servizio, può notificare l esito al merchant system del venditore tramite una GET HTTP verso l indirizzo del merchant system deputato a ricevere l esito; se la risposta è positiva l utente facendo click su un pulsante verrà indirizzato verso l indirizzo del merchant system deputato alla conclusione della transazione, se è negativa verrà indirizzato al carrello virtuale. Al fine di evitare che nel processo di comunicazione dell esito tra SSB e merchant vi sia l intromissione di un soggetto estraneo che, intercettato il messaggio, cerchi di comunicare al merchant system false autorizzazioni concesse, SSB autentica il messaggio di esito mediante la quantità segreta condivisa con il venditore all atto dell adesione al servizio. @POS Descrizione del servizio (rel. 1.2.1) Pag. 13/29
2.6 Adempimenti in fase di adesione 2.6.1 ADESIONE DELLA BANCA DEL VENDITORE All'atto dell'adesione al servizio @POS da parte della banca del venditore, richiesta ad SSB tramite l apposito modulo, SSB aggiorna la directory contenente l'elenco delle banche convenzionate. 2.6.2 ABILITAZIONE DEL VENDITORE Il venditore che intende essere abilitato all utilizzo del servizio @POS deve convenzionarsi con una banca aderente e convenzionarsi con un Acquirer, per poter accettare presso il proprio negozio virtuale pagamenti con carte di credito. A fronte del convenzionamento di ciascun venditore, la banca inoltra ad SSB il modulo contenente le informazioni necessarie per la sua abilitazione. In fase di abilitazione, SSB comunica a ciascun venditore in modo riservato: - la quantità segreta necessaria per l autenticazione dei messaggi; - l identificativo e la password necessari per accedere alle funzioni di invio transazioni, di monitoraggio degli esiti, di contabilizzazione e di disposizione degli storni sul sito Web di SSB (back-office). 2.7 Acquisto e Pagamento 2.7.1 ATTIVITÀ VENDITORE Di seguito sono riportate schematicamente le attività del venditore nelle diverse fasi che caratterizzano il processo di pagamento con @POS, in funzione dell architettura scelta: @POS con inserimento manuale Il venditore inserisce in un apposito form i dati relativi alla transazione, quali numero ordine, importo, valuta, numero di carta, data scadenza carta, etc. I dati vengono inoltrati in modalità sicura via SSL 128 bit verso SSB per essere processati, l'elaborazione della transazione avviene online ed in risposta il server di SSB genera una pagina HTML con l'esito. L'esito viene inoltrato verso il venditore in modalità sicura SSL 128 bit, dove viene visualizzato a video. @POS Descrizione del servizio (rel. 1.2.1) Pag. 14/29
Il venditore viene avvisato dell' esito della transazione anche mediante la spedizione di una e-mail da parte di SSB, contenente il riepilogo dell' operazione. @POS integrato con il merchant system Sul server del venditore, deve essere presente una applicazione che utilizza un client HTTPS per comunicare con l'interfaccia web di SSB. I dati della transazione vengono inoltrati in modalità sicura SSL 128 bit verso SSB per essere processati (flusso 1), l'elaborazione della transazione avviene on-line ed in risposta il server di SSB genera l'esito per il merchant system. @POS modalità redirect con transazione SSL Il compratore riempe il proprio carrello virtuale sul sito web del venditore; al momento del pagamento il browser del compratore viene rediretto in modalità HTTPS sul server @Pos di SSB, nel quale inserisce i dati di pagamento e conferma l operazione. L esito della richiesta viene mostrato su una pagina web e, contestualmente, viene notificato applicativamente al venditore l esito stesso. @POS modalità redirect con transazione VbV-SC La logica di funzionamento è identica a quella della modalità SSL; in questo caso se venditore e compratore sono entrambi aderenti ai protocolli Visa e Mastercard, Verified by Visa e SecureCode, al compratore verrà richiesto l inserimento di una quantità di sicurezza, password, per poter portare a termine con successo l acquisto. 2.7.1.1 Modalità operative scelte dal venditore In fase di invio di ogni singolo ordine il venditore ha la facoltà di decidere a seconda delle sue necessità le seguenti modalità operative in funzione delle proprie esigenze ed in particolare: - autorizzazione on-line o differita - contabilizzazione immediata o differita. Ciascuna delle due modalità di autorizzazione è compatibile con ciascuna delle due modalità di contabilizzazione, ossia il venditore può scegliere di utilizzare ad esempio l autorizzazione on-line e la contabilizzazione immediata o differita. Modalità di autorizzazione @POS Descrizione del servizio (rel. 1.2.1) Pag. 15/29
Qualora il venditore tratti prodotti a magazzino infinito o effettui normalmente la verifica del magazzino contestualmente all acquisizione dell ordine o non necessiti comunque di effettuare controlli preventivi prima di dar corso alla richiesta di autorizzazione, può scegliere di operare con l autorizzazione on-line. In questo caso, alla ricezione delle istruzioni di pagamento da parte del venditore, SSB innesca immediatamente il processo di richiesta di autorizzazione nei confronti del circuito di carte di credito e restituisce immediatamente l esito. Modalità di contabilizzazione A fronte della scelta di contabilizzazione immediata, al termine della stessa giornata in cui è stata concessa l autorizzazione, SSB inoltra le informazioni per il regolamento contabile dell operazione alla banca convenzionante del venditore ed all Acquirer. A fronte della scelta di contabilizzazione differita, il venditore deve accedere al sito back-office per confermare o annullare la contabilizzazione dell operazione, entro il periodo di tempo stabilito in fase di adesione di concerto con la banca convenzionante e con l Acquirer; a fronte di ogni operazione di cui è stata confermata la contabilizzazione, SSB procede all inoltro delle informazioni per il regolamento contabile dell operazione alla banca convenzionante del venditore ed all Acquirer. Modalità operative Il servizio @POS può essere utilizzato in due diverse modalità, in funzione delle scelte operate dal venditore. Di seguito è riportata schematicamente l architettura del servizio secondo due modalità: - @POS-Inserimento manuale - @POS-Integrato con il Merchant System. 2.7.2 ATTIVITÀ DI SSB A fronte della compilazione del modulo di pagamento da parte del venditore, SSB effettua la seguente operatività: effettua i controlli formali qualora i controlli abbiano dato esito negativo, rifiuta la richiesta di pagamento ed inoltra la segnalazione di errore al venditore qualora i controlli abbiano dato esito positivo, effettua la traduzione del messaggio contenente le istruzioni di pagamento ed i riferimenti all ordine nel formato della richiesta di autorizzazione prevista dal relativo circuito finanziario @POS Descrizione del servizio (rel. 1.2.1) Pag. 16/29
- in funzione delle esigenze espresse dal venditore in fase di adesione, effettua i tipi di operatività alternativi, denominati rispettivamente autorizzazione on line e "autorizzazione differita a lotti" (cfr. Modalità Operative scelte dal Venditore ) - rileva le informazioni per il regolamento contabile che provvede ad inoltrare alla banca convenzionante il venditore ed all Acquirer nei termini previsti in funzione del tipo di contabilizzazione (immediata o differita) scelta dal venditore in fase di adesione cfr. Modalità Operative scelte dal Venditore ); aggiorna gli archivi gestionali (movimenti, statistiche, fatturazione,...). @POS Descrizione del servizio (rel. 1.2.1) Pag. 17/29
3. Back-Office Il back office ha una struttura gerarchica basata sulla distinzione tra negozi che compongono, nel loro insieme, l esercizio commerciale (esercente). In modo trasversale la struttura organizzativa degli utenti che hanno accesso al back office è basata sulla distinzione tra amministratore e operatori. 3.1 Esercizio e negozi La struttura su cui è basato il back office gestionale prevede che un unico esercente (identificato da un unica ragione sociale) possa distinguere al suo interno diversi negozi virtuali di e-commerce. Questo non implica necessariamente che ad ogni negozio sia associato un sito web o un area del sito web diversa, ma può essere anche una suddivisione interna dell esercizio commerciale che raggruppa i prodotti in vendita in diverse vetrine virtuali. In questo modo l esercente può mantenere traccia della segmentazione delle vendite all interno della propria gamma di prodotti/servizi. @POS Descrizione del servizio (rel. 1.2.1) Pag. 18/29
Infatti, all atto della redirezione del consumatore al momento del pagamento, tra le informazioni trasmesse al sistema POS virtuale è prevista anche l informazione relativa al negozio (tra quelli presenti nell organizzazione dell esercente) da cui è stato generato l ordine. Nel caso in cui l esercente non ritenga opportuno usufruire dell articolazione dell esercizio commerciale in diversi negozi, può ovviamente mantenere la completa corrispondenza tra esercizio e negozio. In questo caso l esercizio commerciale definito dalla ragione sociale viene identificato con un unico negozio all interno del back office. Qualora, invece, l esercente opti per una gestione delle transazioni in funzione di una segmentazione in negozi, l esercente, in qualità di amministratore del sistema di back office (cfr. sezione Amministratori e Operatori ), ha la possibilità di limitare l operatività degli operatori solo ad alcuni negozi, mantenendo all interno del suo staff una chiara separazione delle responsabilità. 3.1.1 AMMINISTRATORE E OPERATORI In sede di convenzionamento al servizio l esercente indica il responsabile amministratore del servizio di back office, specificando i dati personali dello stesso. Vengono quindi fornite all esercente le chiavi di accesso (user-id e password) al back office che permettono all esercente di autenticarsi sul sito e di usufruire di tutte le funzionalità che il servizio offre. Tra le funzioni specifiche accessibili solamente all amministratore ci sono quelle che riguardano la gestione degli operatori, ovvero quegli utenti che all interno della organizzazione dell esercente avranno accesso al back office usufruendo di funzionalità limitate, così come definite dall amministratore stesso. L amministratore crea i profili degli operatori e ne definisce visibilità (negozi gestibili all interno dell esercizio) e operatività (funzioni cui è abilitato nella gestione dei negozi su cui ha visibilità). Le operatività disponibili sono sostanzialmente di due tipi: Abilitazione alla consultazione consente all operatore solo l accesso alle reportistiche e statistiche degli ordini del negozio senza poter disporre o operare sulle transazioni di pagamento Abilitazione a gestione permette all operatore di operare sugli ordini in modo dispositivo usufruendo di tutte le funzionalità legate alla gestione delle transazioni di pagamento. @POS Descrizione del servizio (rel. 1.2.1) Pag. 19/29
3.2 Funzionalità di accesso al Back-Office L accesso dell amministratore e degli operatori al back office gestionale dell esercente viene effettuato direttamente dal browser, accedendo attraverso login direttamente su un sito della SSB. Per procedere all autenticazione è necessario inserire user-id e password. Nel caso l utente del back office (amministratore, operatori) stia effettuando il primo accesso al back office, dopo l identificazione, gli viene chiesto di cambiare obbligatoriamente la password segreta di accesso a tutela della sicurezza nell autenticazione. 3.3 Funzionalità di gestione degli ordini 3.3.1 MODALITÀ DI AUTORIZZAZIONE E CONTABILIZZAZIONE DEGLI ORDINI L esercente, sia per l autorizzazione che per la contabilizzazione delle transazioni (ordini), può scegliere di lavorare secondo le seguenti modalità alternative: immediata :il processamento dell operazione (autorizzazione o contabilizzazione) è contestuale alla finalizzazione dell ordine da parte del consumatore differita : la richiesta di autorizzazione o contabilizzazione ai circuiti avviene solamente dietro successiva disposizione dell esercente (attraverso il back office gestionale). 3.3.2 AUTORIZZAZIONI NON CONCESSE DAI CIRCUITI DI PAGAMENTO Nel caso in cui l ordine sia gestito in modalità autorizzazione immediata, qualora l autorizzazione venga negata dai circuiti, al consumatore verrà data evidenza direttamente on-line durante il pagamento e lo stesso consumatore avrà ancora la possibilità di finalizzare l acquisto utilizzando un altra carta di pagamento (tra quelle accettate dall esercente). @POS Descrizione del servizio (rel. 1.2.1) Pag. 20/29
3.3.3 EVASIONE DI UN ORDINE IN DIVERSI LOTTI Il sistema è in grado di supportare la gestione di un ordine spezzando la consegna in successive e diverse spedizioni della merce in oggetto 2. L esercente che decida di effettuare split shipment di un ordine può trovarsi in tre differenti situazioni, a seconda della modalità di autorizzazione e contabilizzazione prescelta: Autorizzazione differita e contabilizzazione immediata/differita In questo caso è sufficiente richiedere l autorizzazione ai circuiti solo della parte dell ordine che viene recapitata e che deve essere addebitata al consumatore Autorizzazione immediata e contabilizzazione differita In questo caso è necessario accedere alla funzione divisione/riduzione autorizzazione in cui viene visualizzato l ordine in oggetto (autorizzato dai circuiti per l intero importo): selezionando l ordine e modificando il valore dell importo autorizzato (da addebitare al consumatore per la consegna della merce) il sistema effettua uno split dell operazione e riduce l autorizzazione concessa dai circuiti all importo definito, mentre mantiene la rimanente parte dell ordine ancora operabile da parte dell esercente nello stato di importo ancora da autorizzare Autorizzazione immediata e contabilizzazione immediata In questo caso è possibile solo stornare la parte di importo che non deve essere addebitata al consumatore (es: merce in parte non recapitabile), però non è più possibile operare sull importo stornato 3.3.4 FUNZIONI DISPOSITIVE Dopo aver scelto il negozio su cui operare, l utente può fruire delle seguenti funzioni dispositive: Richiesta autorizzazione Richiesta contabilizzazione Annullamento richiesta di contabilizzazione Richiesta storno Divisione/riduzione autorizzazione Chiusura/annullamento ordine. 2 Questa modalità di consegna di un ordine può essere necessaria all esercente per differenti motivi, ad esempio perché la merce è solo parzialmente presente nel magazzino e si decide ugualmente di recapitare al consumatore la parte dei prodotti presenti addebitandogli il solo importo relativo alla parte della merce recapitata @POS Descrizione del servizio (rel. 1.2.1) Pag. 21/29
3.3.4.1 Richiesta Autorizzazione Consente di richiedere ai circuiti l autorizzazione per l importo dell ordine o una parte di esso. Selezionando questa funzionalità all utente vengono proposti tutti gli ordini che sono ancora da autorizzare totalmente (autorizzazione differita) o parzialmente. Per ogni ordine vengono evidenziate le informazioni peculiari che lo identificano (numero ordine, data ordine, importo e valuta ordine) e altre caratteristiche associate alla modalità di pagamento (circuito di pagamento). Qualora la richiesta di autorizzazione venga effettuata per un importo inferiore a quello totale autorizzabile, l utente contestualmente alla richiesta di autorizzazione può disporre anche la chiusura dell ordine, che passa nell archivio storico non essendo più autorizzabile la parte residua dell importo. E evidente che qualora l esercente non gestisca gli ordini in modalità autorizzazione differita e non operi l evasione di un ordine in pagamenti successivi la selezione della funzionalità richiesta autorizzazione darà luogo ad un insieme vuoto perché nessun ordine sarà in uno stato consistente con la funzione in oggetto. 3.3.4.2 Richiesta contabilizzazione Consente di richiedere ai circuiti di pagamento la contabilizzazione dell importo definito, ovvero disporre l accredito dell importo dell ordine d acquisto per l esercente (e l addebito sul conto della carta utilizzata per il pagamento per il consumatore). L utente ha comunque la possibilità di valorizzare l importo da contabilizzare con un valore minore (es: sconti sull importo totale dell ordine). Qualora venga definito per la contabilizzazione un importo minore rispetto a quello autorizzato, la rimanente parte dell importo non è più operabile; quindi, se l utente necessita di contabilizzare solo una parte dell ordine per gestire la rimanente parte dell ordine in un secondo tempo (split shipment) è necessario utilizzare la funzione divisione/riduzione autorizzazione che permette di gestire in modo corretto l evasione degli ordini attraverso accrediti successivi mantenendo di volta in volta operabile il residuo dell importo. 3.3.4.3 Annullamento richiesta di contabilizzazione Nel caso in cui l utente abbia disposto per errore la contabilizzazione di un ordine, la stessa richiesta può essere annullata senza alcun effetto sui circuiti di pagamento purché venga fatto entro le ore 24:00 del medesimo giorno in cui è stata effettuata, entro questo termine, infatti, la transazione non è ancora stata processata dai circuiti. L operazione disposta ( richiesta di contabilizzazione ) risulta, quindi, essere ancora totalmente reversibile e lo stato dell ordine viene ripristinato ad autorizzato. Gli ordini per i quali è stata richiesta la contabilizzazione nei giorni precedenti non consentono questa reversibilità di gestione in quanto il clearing delle transazioni è già avvenuto; l unico modo per riaccreditare il consumatore dell importo contabilizzato è lo storno dell operazione. @POS Descrizione del servizio (rel. 1.2.1) Pag. 22/29
3.3.4.4 Richiesta storno E possibile stornare, totalmente o parzialmente, un ordine autorizzato o contabilizzato con la conseguenza che l importo stornato non è più operabile dall esercente. L effetto dello storno è diverso a seconda che venga applicato ad ordini autorizzati o contabilizzati: Storno di un ordine autorizzato ripristino del plafond della carta di pagamento del consumatore per l importo dell autorizzazione. Storno di un ordine contabilizzato riaccredito al consumatore pari all importo stornato. 3.3.4.5 Divisione/riduzione autorizzazione Permette l evasione in successivi pagamenti di un ordine gestito con modalità di autorizzazione immediata e contabilizzazione differita, qualora l esercente debba addebitare al consumatore solo una parte dell ordine, addebitando la rimanente in un momento successivo. Accedendo a questa funzionalità, l utente ha a disposizione filtri di ricerca per identificare l ordine in oggetto e definire l importo che rimane autorizzato e dovrà essere contabilizzato. In questo modo la parte residua dell importo risulta essere nello stato da autorizzare, permettendo così all utente di gestire successivamente l addebito al consumatore come un ordine ad autorizzazione differita. Gli unici ordini compatibili con la funzionalità divisione/riduzione autorizzazione sono quelli gestiti con autorizzazione immediata e contabilizzazione differita e quindi saranno gli unici visualizzabili nella tabella di interfaccia di questa funzione. Negli altri casi: Gli ordini gestiti con autorizzazione differita supportano per loro natura la gestione split shipment. Nel caso in cui un ordine sia gestito con autorizzazione differita e ne venga disposta l autorizzazione dell importo (totale o parziale) non è possibile utilizzare questa funzionalità per ridurre/dividere l autorizzazione concessa. Qualora si renda comunque necessario l addebito al consumatore di un importo inferiore a quello autorizzato è possibile procedere in due modi: Richiedere direttamente la contabilizzazione solo della parte che interessa Procedere allo storno della parte di autorizzazione che non interessa e richiedere la contabilizzazione dell altra parte In entrambi i casi è opportuno ricordare che la parte dell importo autorizzato che non è stato contabilizzata non risulta più essere operabile (processabile) dall esercente. Gli ordini gestiti con autorizzazione e contabilizzazione immediate necessitano di uno storno di transazione sui circuiti di pagamento. 3.3.4.6 Chiusura/annullamento di un ordine da autorizzare @POS Descrizione del servizio (rel. 1.2.1) Pag. 23/29
Questa funzionalità fornisce la possibilità all utente di stabilire che un ordine, sebbene sia ancora in parte o totalmente da autorizzare, venga chiuso e quindi che l importo in oggetto non sia più operabile (processabile). In particolare la funzione è quindi applicabile a ordini il cui importo: totalmente ancora da autorizzare. L esercente ha ricevuto un ordine che è ancora da autorizzare (modalità di gestione ordini con autorizzazione differita), ma che deve essere annullato (es: merce non più recapitabile/esaurita/fuori produzione, disdetta dell ordine) parzialmente contabilizzato, rimanendone una parte da autorizzare (split shipment). L esercente ha ricevuto un ordine che è stato addebitato al consumatore (contabilizzato) solo per una parte del suo importo totale e la parte rimanente deve essere annullata (es: sconto al consumatore, parte della merce non più recapitabile/esaurita/fuori produzione, disdetta di parte dell ordine). In entrambi i casi l utente ha la necessità di stabilire che l ordine in oggetto deve essere considerato dal sistema gestionale come chiuso nonostante non sia stato del tutto addebitato al consumatore. Il sistema back office invece, poichè parte dell importo dell ordine è ancora operabile (autorizzabile e contabilizzabile), lo considera ancora come un ordine attivo, di conseguenza lo visualizza nei prospetti dispositivi come un ordine su cui è ancora possibile disporre un autorizzazione e una contabilizzazione. Proprio per eliminare quest ordine dall archivio degli ordini operabili e gestirlo come un ordine esaurito (storico degli ordini), l operatore utilizza la funzione chiusura ordine. 3.4 Funzionalità di supporto Accanto alle funzionalità dispositive che permettono all utente (amministratore o operatore 3 ) la gestione operativa degli ordini, sono disponibili nel back office gestionale funzionalità di supporto che rendono disponibili: Reportistica e storico degli ordini ricevuti Prospetti statistici sui pagamenti e sugli ordini ricevuti Filtro dettagliati per la ricerca degli ordini Le funzionalità di supporto sono disponibili sia all amministratore dell esercizio sia agli operatori abilitati (in consultazione o in gestione) ad un negozio/esercizio. 3.4.1 REPORTISTICA E STORICO DEGLI ORDINI 3 Cfr. sezione Organizzazione del back office Amministratore e operatori @POS Descrizione del servizio (rel. 1.2.1) Pag. 24/29
Attraverso questa funzionalità l utente ha la possibilità di ottenere un report sullo stato degli ordini ricevuti on-line. Sono disponibili alcuni parametri di ricerca/filtri che possono essere definiti dall utente e consentono di personalizzare la reportistica: intervallo temporale di acquisizione degli ordini, circuito di pagamento, numero d ordine e importo dell ordine. I report visualizzati dall interfaccia riportano: Dati identificativi dell ordine (numero, data, circuito di pagamento, modalità di pagamento del consumatore, stato dell ordine, Acquirer e importo dell ordine) Dettaglio dell importo dell ordine: autorizzato, contabilizzato, ancora operabile (da autorizzare), non autorizzato (che non ha ottenuto l autorizzazione dai circuiti), eventualmente stornato e importo chiuso (inutilizzato a seguito della chiusura di un ordine). Dal report degli ordini è possibile accedere al dettaglio del singolo ordine contenente tutte le informazioni relative dell ordine e la storia cronologica delle operazioni effettuate su di esso, dell esito e dell utente che ha operato. 3.4.2 STATISTICHE Questa funzionalità permette all utente di ottenere alcuni prospetti statistici che riassumono i totali delle transazioni effettuate durante un certo intervallo temporale. Definito uno specifico intervallo temporale la pagina di statistica visualizza il numero totale degli ordini ricevuti in quel periodo con le totalizzazioni degli importi autorizzato, contabilizzato, stornato. 3.4.3 RICERCHE Attraverso questa funzionalità è possibile interrogare il database degli ordini ricevuti per effettuare una ricerca puntuale di un ordine o di una transazione (autorizzazione, contabilizzazione, storno). La ricerca viene effettuata su due livelli: Ricerca attraverso i dati identificativi dell ordine: data ordine (intervallo temporale), numero d ordine, importo dell ordine, Ricerca Avanzata attraverso i dati identificativi della transazione associata ad un ordine: operatore, data autorizzazione/contabilizzazione/storno (intervallo temporale), numero autorizzazione, id transazione. 3.5 Api Back office @POS Descrizione del servizio (rel. 1.2.1) Pag. 25/29
SSB mette a disposizione delle API che permettono di far dialogare il servizio @POS con il sistema di gestione ordini dell'esercente. L API è resa disponibile sotto forma di una web application che accetta chiamate POST HTTP generate da una applicazione merchant. Tramite questo meccanismo possono essere effettuate le operazioni di: richiesta di autorizzazione, storno di un pagamento, contabilizzazione di una transazione autorizzata, verifica dello stato di una transazione e interrogazione dei movimenti effettuati da un merchant in un certo periodo, Per quanto riguarda la sicurezza della tratta di comunicazione Internet il grado di affidabilità offerto è quello del protocollo SSL con cifratura a 128 bit, considerato strong encryption. Per quanto concerne l abilitazione API, l amministratore del back office dopo essersi autenticato tramite user-id e password può chiedere l'abilitazione all'utilizzo delle API @POS accedendo all interno del profilo negozio, in particolare nel dettaglio negozio. @POS Descrizione del servizio (rel. 1.2.1) Pag. 26/29
4. Livelli di Servizio Il Servizio viene erogato con i seguenti tempi ed orari: 4.1 Autorizzazioni Le richieste di autorizzazione vengono gestite da SSB in modalità on-line, dalle 00:00 alle 24:00, sette giorni su sette. Contestualmente alla ricezione della richiesta pervenuta dal POS Virtuale, SSB ritrasmette l informazione verso gli Acquirer/Circuiti di pagamento. 4.2 Flussi Batch di rendicontazione I flussi Batch necessari alla contabilizzazione delle operazioni vengono inviati agli Acquirer entro il primo giorno lavorativo successivo alla data di ricezione da parte di SSB delle operazioni pervenute dal POS Virtuale. @POS Descrizione del servizio (rel. 1.2.1) Pag. 27/29
copyright Società per i Servizi Bancari - SSB S.p.A. Tutte le informazioni riportate nel presente documento sono CONFIDENZIALI e non possono essere utilizzate in toto o in parte, né cedute o riprodotte senza il permesso scritto da parte di SSB. @POS Descrizione del servizio (rel. 1.2.1) Pag. 28/29