NAAR EEN ROBUUSTERE PIN-KETEN IN NEDERLAND Oktober 2009
Samenvatting In het algemeen kan er in Nederland probleemloos worden gepind en is de dienstverlening rondom pinnen goed geregeld. Niet voor niets zien steeds meer ondernemers liever pinbetalingen dan contante betalingen en is er jaarlijks een forse stijging van het aantal pinbetalingen. Deze stijging zal zich de komende jaren doorzetten. Dit leidt ertoe dat de maatschappij verder afhankelijk wordt van de ‘pin-keten’ (de keten voor elektronisch betalen). Dit rapport beschrijft welke maatregelen nodig zijn om de pin-keten nog robuuster te maken dan deze al is, zodat de haar toegerekende rol in de toekomst ook waargemaakt kan worden. Een deel van de maatregelen is al gedurende de totstandkoming van dit rapport genomen of in gang gezet. De Stichting Bevorderen Efficiënt Betalen (SBEB) heeft in 2008 de storingsgevoeligheid in de pin-keten en problemen rond de installatie van breedbandpinnen geïdentificeerd als barrières voor een verdere toename van elektronisch betalen. Zij heeft vertegenwoordigers uit de hele keten betrokken om te onderzoeken wat de oorzaken van gesignaleerde problemen zijn en hoe deze opgelost kunnen worden. Dit document is een weerspiegeling van de consensus over de probleemanalyse en oplossingsrichtingen binnen de stuurgroep en het kernteam waarin de betrokken partijen van de pin-keten vertegenwoordigd zijn. Ter bevordering van marktwerking is in 2005 het bedrijf Currence van Interpay afgesplitst en merkeigenaar van PIN geworden. Om betaalterminals bovendien geschikt te maken voor transacties van verschillende contractpartijen, transactieverwerkers en schemes, is het nieuwe protocol ‘C-TAP’ geïntroduceerd. Nieuwe pin-terminals moeten dit protocol ondersteunen. We signaleerden in 2008 een toename van het aantal storingen. Deze storingen vielen samen met de implementatie van C-TAP. Het protocol zelf was niet de grondoorzaak van de storingen. De storingen kunnen vooral worden gerelateerd aan de wijze waarop C-TAP is geïmplementeerd en in mindere mate ook aan installatiefouten veroorzaakt door de grote piek aan installaties in 2008. De storingen kunnen niet worden toegeschreven aan andere vernieuwingen die gelijktijdig in de keten hebben plaatsgevonden, zoals de ingebruikname van nieuwe hardware of het gebruik van het IP-protocol.
2
Naast deze toename van storingen bleken retailers het ook lastig te vinden om tot een oplossing voor hun storingen te komen, omdat ze niet weten welke van de dienstverleners uit de pin-keten ze kunnen aanspreken: een retailer heeft in de praktijk veelal met drie tot vier verschillende contracthouders te maken. Installatie van breedbandpinnen wordt bij grootwinkelbedrijven (GWB) in het algemeen met eigen ondersteuning en als project opgepakt en leidt (daardoor) nauwelijks tot – niet van tevoren ingecalculeerde - problemen. MKB-ers ondervinden meer problemen dan GWB met installatie zoals niet ‘first time right’ installatie, variabele levertijd en niet goed afgestemde processen met onnodige processtappen. Bovengenoemde implementatieproblemen met C-TAP en de piek in installaties in 2008 waren ‘slechts’ een katalysator voor de toename in storingen in 2008 en legden daarmee de verminderde robuustheid van de keten bloot. De daadwerkelijke grondoorzaken zijn (1) de complexiteit in de keten en (2) het ontbreken van één eindverantwoordelijke partij over de gehele keten. Deze eindverantwoordelijkheid is niet volledig te beleggen, maar dient wel zo dicht mogelijk te worden benaderd. Bovendien is het datacomplatform technisch complexer geworden met de migratie naar IP. Dezelfde grondoorzaken worden waargenomen bij de problemen rondom de installatie van breedbandpinnen. Ten tijde van het schrijven van dit rapport is het aantal storingen op C-TAPterminals volgens terminalleverancier op het niveau van Beanet-terminals. Dit betekent niet dat er niets aan de hand was en is. Bovengenoemde grondoorzaken zijn namelijk structureel. Er waren en zijn daarom maatregelen nodig die ervoor gaan zorgen dat toekomstige grote wijzigingen in de keten minder of liever geen impact hebben op de storingsgevoeligheid van de keten. Dat is nodig omdat het Nederlandse betaalverkeer steeds afhankelijker van de pin-keten aan het worden is en risico’s voor storingen voor alle betrokkenen in de keten onwenselijk zijn. Om de pin-keten robuuster te maken, zo concludeerden partijen gezamenlijk, dienen de partijen in de pin-keten drie maatregelen te treffen: 1. Aanbod en aanbiederstructuur versimpelen en transparant maken. Retailers moeten – naast de huidige keuzemogelijkheden - keuze krijgen uit een meer ontzorgende ‘ketenaanbieding’ (MKB) en een ‘maatwerkoplossing’ (GWB), ondersteund met standaard service levels, zoals levertijden. De gewenste ketenaanbieding bestaat uit een complete pinoplossing (acquirer, terminal, processor, datacom en mogelijk de meest voorkomende
3
kassakoppelingen), waarbij één partij eindverantwoordelijkheid draagt voor afspraken op het gebied van installatie, storingsduur en storingsoplossing1. Dit aanbod richt zich in eerste instantie op het MKB en is vooral bedoeld om vlottere installaties te bevorderen en negatieve ervaringen ingeval van incidenten bij het MKB te vermijden. Ten tijde van de totstandkoming van dit rapport is er een complete ketenoplossing op de markt gekomen en zijn diverse partijen met elkaar in overleg om later dit jaar met een dergelijke oplossing te komen. Naast ketenaanbiedingen zijn er de maatwerkoplossingen. In een maatwerkoplossing combineert de retailer zelf verschillende oplossingen en wordt daarmee ook zelf verantwoordelijk voor het adequaat functioneren van de gekozen oplossing. In ieder geval zullen grote bedrijven (Groot Winkel Bedrijven, GWB) blijven kiezen voor maatwerkoplossingen. Vanwege verschillen in professionaliteit bij GWB en de potentieel substantiële impact van mogelijke storingen, is geconcludeerd dat er een handleiding voor pinmigraties in het GWB moet komen. Deze handleiding is inmiddels geproduceerd. De vraag naar ketenaanbiedingen door het MKB dient actief gestimuleerd te worden, bijvoorbeeld door voorlichting. Ook moet extra aandacht worden besteed aan het wegnemen van procesbelemmeringen die optreden bij het overstappen naar een nieuwe ketenaanbieder. Dit onder andere door de retailer te ontzorgen in de uitwisseling van autorisatiecodes bij het activeren van een nieuwe terminal. 2. Certificering versterken. De certificering in de keten moet worden uitgebreid en versterkt om storingen tijdens praktijkgebruik zoveel mogelijk te voorkomen. Bovenaan de verlanglijst stond de certificering van de kassakoppeling. Deze is de afgelopen maanden in ere hersteld. Daarnaast wordt aanbevolen: 1) het ‘end-toend’ testen op basis van vooraf gedefinieerde testcases, 2) certificering van de mate waarin storingen via de terminal en het terminalmanagementsysteem worden vastgelegd, beheerd en geanalyseerd, 3).certificering van installateurs. Ook dient te worden nagegaan hoe ongecoördineerde “patches” en upgrades van systemen en processen kunnen worden voorkomen. Ten slotte wordt aanbevolen om ketenoplossingen als geheel te laten certificeren, met name door zelfcertificering, en om deze certificering verplicht te laten stellen door acquirers. Bij het verschijnen van deze rapportage is een groot deel van de aanbevelingen opgepakt. 3. Storingsescalatie bij een neutrale partij beleggen. Om de identificatie en afhandeling van incidenten te verbeteren is een neutrale partij nodig die
1 Zodra het versturen van betaalgegevens binnen het pinverkeer via (open) Internet mogelijk wordt, vermindert wellicht de noodzaak voor het opnemen van datacom in het ketenpakket.
4
ketenpartijen en schemes overstijgt. Deze partij identificeert incidenten vroegtijdig, laat incidenten afhandelen en communiceert op adequate wijze naar de relevante betrokkenen. Daarnaast zorgt zij voor continue verbetering door na iedere storing zowel het afhandelingproces als storingen te evalueren, en hieruit voortvloeiende verbeteracties te (laten) implementeren. Ook op dit gebied zijn ten tijde van het schrijven van dit rapport meters gemaakt.
5
1. Achtergrond 1.1 Inleiding De Stichting Bevorderen Efficiënt Betalen (SBEB) heeft als oogmerk het bevorderen van zo efficiënt en veilig mogelijk betalingsverkeer. Eén van de speerpunten is het stimuleren van elektronisch betalen en het terugdringen van het gebruik van contant geld. Uiteindelijk moeten Nederlanders een dusdanig groot vertrouwen hebben in het elektronische betalingsverkeer dat zij comfortabel met alleen een betaalpas op pad gaan. In deze visie zal het elektronisch betalingsverkeer steeds meer een utiliteitsfunctie krijgen, wat betekent dat er nog hogere eisen gesteld zullen worden aan beschikbaarheid en veiligheid van de pin-keten. Om het gebruik van pinnen ook voor kleine bedragen aan te moedigen en om kostenvoordelen te helpen realiseren voor veel ondernemers, wil de SBEB de migratie naar pinnen over breedband versnellen. Hierbij zijn twee problemen geïdentificeerd als cruciale barrières: storingsgevoeligheid in de pin-keten en problemen bij de installatie van breedbandpinnen. Over beide zaken zijn de klachten uit het veld het afgelopen jaar toegenomen. 1.2 Methodiek en deelnemende partijen Dit onderzoek is ketenbreed aangepakt met vertegenwoordigers van banken, retailers, processoren, resellers, terminalleveranciers, datacomleveranciers, schemeowners, de SBEB en DNB (zie hoofdstuk 6 voor een volledig overzicht van deelnemende partijen). Deze vertegenwoordigers zijn middels interviews en werksessies betrokken bij het tot stand komen van aanbevelingen. De aanbevelingen zijn vervolgens door betrokkenen besproken in zes kernteambijeenkomsten, waarna ze ter informatie en besluitvorming in de stuurgroep zijn gepresenteerd. McKinsey&Company heeft het onderzoek met analyses ondersteund en heeft daarnaast een ‘notarisrol’ vervuld, waarin zij gevoelige data geanonimiseerd en/of geaggregeerd heeft. Uit overwegingen van vertrouwelijkheid van bedrijfsgegevens is de informatie in dit rapport van een relatief hoog aggregatieniveau.
6
Het onderzoek is uitgevoerd in twee fases. 1. In fase 1 van het project zijn oplossingsrichtingen geformuleerd voor problemen in storingsgevoeligheid. Allereerst zijn de problemen rondom de installatie van breedband pinoplossingen en de (oplossing van) recente storingen onderzocht en grondoorzaken vastgesteld. Hiervoor is gebruikt gemaakt van data die door partijen direct is aangeleverd en resultaten van een telefonische enquête door marktonderzoeksbureau Stratus2. Deze enquête is gehouden onder 355 ondernemers in het Midden- en Kleinbedrijf, onder wie 138 ondernemers die gebruik maken van pin via een breedbandconnectie. Vervolgens zijn, op basis van gevonden problemen en grondoorzaken, bijpassende oplossingsrichtingen geformuleerd in werksessies en interviews. 2. In fase 2 van het project is de implementatie van de in fase 1 bepaalde oplossingsrichtingen nader uitgewerkt. Er zijn interviews gevoerd met de meest belangrijke ketenpartijen om na te gaan hoe de aanbevelingen uit fase 1 zijn opgepakt. Daarnaast is in werksessies met vertegenwoordigers uit de keten nader bekeken hoe drempels in het overstappen naar nieuwe aanbieders opgelost kunnen worden. Ten slotte is een handleiding opgesteld voor pinmigraties van Groot Winkel Bedrijven (GWB) met vertegenwoordigers van het GWB.
1.3 Context In het Nederlandse toonbankbetalingsverkeer is het elektronisch betalen sinds de introductie ervan in 1990 steeds dominanter geworden. Intussen staan bij alle grootwinkelbedrijven, bij 86% van de MKB detaillisten, bij ruim de helft van de horeca en bij diverse andere ondernemingen betaalautomaten (eind 2008 stonden er 234.393 betaalautomaten op 197.378 verkooppunten). In totaal verwerkten deze automaten bijna 1.8 miljard transacties met een waarde van EUR 74,5 miljard. Een vlekkeloos verloop van het elektronisch betaalverkeer is daarom van eminent belang. Tot 2005 was de transactieverwerking van het Nederlandse elektronische debit card betalingsverkeer in feite in handen van Interpay. Bij alle PIN transacties was zij verantwoordelijk voor het afsluiten van het betaalcontract met de ondernemer (acquiring), het technisch verwerken van de transacties (processing) en het communiceren met de processor van de uitgever van de betreffende betaalkaart (switching). Om marktwerking te bevorderen is op advies van de commissie Wellink door Interpay en de banken besloten op 1 januari 2005 het beheer van de 2 Zie voor meer details de separate publicatie van SBEB naar aanleiding van dit marktonderzoek
7
rules en regulations van PIN en Chipknip af te splitsen en onder te brengen in een nieuw op te richten organisatie, genaamd Currence. Currence werd vanaf dat moment eigenaar van het scheme PIN en stelt in die hoedanigheid eisen aan leveranciers in de pin-keten. Omdat op dit moment in Nederland verreweg het grootste aantal elektronische betalingen via PIN verloopt, is Currence in Nederland de belangrijkste partij op het gebied van certificering. Equens (het vroegere Interpay) fungeert als belangrijkste processor en switch. De banken zijn op dit ogenblik de belangrijkste acquirers voor PIN. Sinds juni 2007 is er in Nederland daadwerkelijk sprake van een markt met meerdere processoren en schemes: naast Equens heeft CCV de markt betreden als processor en er zijn momenteel 3 debit card schemes in Nederland: PIN, Maestro en V PAY. De nieuwe regels voor het Europees betalingsverkeer (SCF) bepalen net als de mededingingsautoriteiten dat betaalterminals volledige concurrentie tussen acquirers, processoren en schemes faciliteren. Om dit mogelijk te maken, is in Nederland een nieuw protocol geïntroduceerd: C-TAP. Dit protocol is oorspronkelijk ontwikkeld in België en aangepast aan het Nederlandse marktmodel. C-TAP faciliteert ook de migratie naar EMV (chipcards), wat eveneens een vereiste is voor compliance aan de SEPA regelgeving. Nieuwe terminals moeten volgens de certificeringregels van Currence via een protocol zoals het C-TAP-protocol kunnen communiceren. In de loop van 2007 en 2008 zijn steeds meer C-TAP-terminals in de markt geïnstalleerd. Deze overgang wordt voornamelijk gedreven door vervanging van oude terminals met aflopende certificaten en het versneld uitfaseren van fraudegevoelige terminals. 1.4 Leeswijzer In dit rapport wordt allereerst de huidige situatie rond storingen en installaties in kaart gebracht. Vervolgens wordt een analyse gemaakt van de grondoorzaken van de problemen. Daarna worden oplossingsrichtingen voorgesteld. Ten slotte wordt de voortgang van implementatie van deze oplossingsrichtingen beschreven. In dit rapport wordt ingezoomd op de huidige problemen. Dit betekent niet dat de pin-keten ‘at risk’ is. De problemen dienen echter wel te worden opgelost om de robuustheid van de pin-keten te vergroten en het vertrouwen in de keten te verbeteren. En daarmee verdere groei van elektronisch betalen mogelijk te maken.
8
2. Geobserveerde problemen Klachten uit het veld over (1) storingen en storingsoplossingen en (2) het installatieproces, zijn aanleiding geweest voor dit onderzoek. Deze problemen worden in dit hoofdstuk verder besproken. 2.1 Ontevredenheid over storingen en storingsoplossing Het aantal storingsmeldingen is in 2008 toegenomen, met name doordat de nieuw geïnstalleerde terminals met het C-TAP protocol relatief vaker storingen vertonen dan de Beanet terminals. Deze toename in storingen, gecombineerd met een beperkte aanspreekbaarheid van de verschillende ketenpartijen, heeft geleid tot klachten van retailers. 2.1.1 Toename storingen vanwege introductie van C-TAP terminals Voor het afhandelen van een transactie moeten terminal en processor met elkaar een verbinding kunnen maken. Dit vereist beschikbaarheid van zowel het datacomnetwerk als de host. Currence stelt een eis van 99.60% beschikbaarheid (binnen een afgesproken service window) voor een gecertificeerd datacomnetwerk, op basis van de door telecombedrijven gegarandeerde beschikbaarheid. De host dient een beschikbaarheid te hebben van 99.98% (primetime). Voor veel retailers is de afgesproken service window 6 dagen in de week gedurende 11 uur per dag (van 9:00 tot 20:00 uur). Dit betekent dat voor veel retailers tot 14 uur nietbeschikbaarheid per jaar binnen de huidige normering valt. Gedurende 2008 is het aantal storingsmeldingen bij deelnemende partijen met gemiddeld 10% toegenomen. Hierbinnen is een grote spreiding waargenomen. Drie aan dit onderzoek deelnemende grootwinkelbedrijven zagen zelfs een verdrievoudiging van het aantal storingen ten opzichte van het begin van het jaar. Grootwinkelbedrijven toonden zich dan ook zeer ontevreden over de stabiliteit van pinnen. Schema 1 laat bijvoorbeeld zien dat bij grote storingen er een duidelijke afname is van het aantal pinbetalingen is in Nederland ten opzichte van een normale dag. Hun relatief grote afhankelijkheid van pinbetalingen leidt tot significante kosten bij uitval van de pin-keten. Uit een telefonische enquête blijkt dat de ontevredenheid onder MKB-ers minder groot is. Toch is 10% van de MKB-ers
9
ontevreden over de storingsgevoeligheid: 9% ervaart vaker dan 1 maal per maand een pin storing en 50% rapporteert een gemiddelde storingsduur van minimaal een uur. SCHEMA 1
Grootschalige incidenten hebben significante impact op aantal verwerkte transacties
Incident 1
Incident 2
Incident 3
Miljoen transacties/dag
Miljoen transacties/dag
Miljoen transacties/dag
Normale dag
2,6
Incident dag
2,4
Normale dag
2,8
Incident dag
2,5
-8% Miljoen transacties/uur
Normale dag Incident dag
Normale dag
-10% Miljoen transacties/uur
Normale dag
Incident dag
Normale dag
Incident dag
Incident dag
0,4
0,4
0,4
0,3
0,3
0,3
0,2
0,2
0,2
0,1
0,1
0,1 0
0 0
5
10
15
20 24
Tijd op dag (in uren)
2,6
-11% Miljoen transacties/uur
0
2,9
0
5
10
15
20 24
Tijd op dag (in uren)
0
5
10
15
20
24
Tijd op dag (in uren)
Bron: Equens transactiegegevens
De toename van storingen is gelokaliseerd in C-TAP terminals (schema 2). Het aantal Beanet terminals dat in 2008 per maand ‘stoorde’ bedroeg 7%3 van het totale aantal Beanet terminals, vergeleken met 13% van het totale aantal C-TAP terminals. Deze storingen kunnen vooral worden gerelateerd aan de wijze waarop C-TAP is geïmplementeerd en in mindere mate aan installatiefouten veroorzaakt door de grote piek aan installaties in 20084. Ze kunnen niet worden toegeschreven aan andere vernieuwingen die gelijktijdig in de keten hebben plaatsgevonden zoals nieuwe hardware of toegenomen gebruik van het IP-protocol (schema 3), want:
3
4
De storingsgevoeligheid is gebaseerd op het aantal eerstelijns helpdeskmeldingen per terminal per maand – een percentage van 7% betekent dus dat er 7 meldingen zijn gedurende een maand per 100 terminals. Dit betekent dat er geen onderscheid gemaakt kan worden tussen één terminal die niet werkt en 10 terminals die niet werken als daarvoor slechts één helpdeskmelding is geweest. Installatieproblemen kunnen de stijging van het aantal storingen slechts gedeeltelijk verklaren. Hoewel er in 2008 relatief veel installaties hebben plaatsgevonden (~60.000 terminals) neemt 120 dagen na installatie, wanneer verondersteld wordt dat ‘installatieoverlast’ is opgelost, het aantal storingen van de C-TAP terminals slechts met 17% af. Daarmee blijft de storingsgevoeligheid van de C-TAP terminals 70% hoger dan bij Beanet terminals.
10
y
Onder Beanet lieten nieuwe geïntroduceerde hardwaremodellen een prestatie zien die vergelijkbaar is met andere Beanet hardwaremodellen.
y
Het IP netwerk voldeed aan de gestelde beschikbaarheideisen. Dit blijkt uit detailmetingen op locaties van een aantal wijdvertakte retailketens. Hierbij moet worden opgemerkt dat interne winkelnetwerken een rol kunnen spelen bij de toegenomen storingsgevoeligheid, bijvoorbeeld omdat fysieke aansluitingen niet voldoen of omdat routers niet volgens specificatie zijn ingesteld.
SCHEMA 2
Storingen zijn gelokaliseerd in C-TAP terminals Storingen per terminal voor meer dan 3 resellers of leveranciers over 2008 Percentage BeaNet
16 15 14 13 12 11 10 9 8 7 6
Totaal
16 15 14 13 12 11 10 9 8 7 6 5
Jan FebMar Apr Mei Jun Jul Aug Sep Oct Nov Dec
~10% 9%
Jan Feb Mar Apr Mei Jun Jul AugSep Oct NovDec
7%
C-TAP
16 15 14 13 12 11 10 9 8 7 6
13%
Jan FebMar Apr Mei Jun Jul AugSep Oct NovDec Bron: Storingsoverzicht van helpdeskadministraties
11
SCHEMA 3
De toename van storingen in 2008 is niet volledig toe te schrijven aan de drie andere grote vernieuwingen in de keten 1 Installatieoverlast verklaart deel storingen Aantal storingsmeldingen per terminal, geïndexeerd Gegevens grote helpdesk
2 Introductie van nieuwe hardware geen oorzaak Aantal storingmeldingen per terminal 2008, geïndexeerd naar C-TAP
3 Toename van pinnen over IPnetwerken geen oorzaak Beschikbaarheid netwerken (eisen en waarnemingen)
Voorbeeld duale terminal
C-TAP C-TAP
100
205 BeaNet
C-TAP na 120 dagen
51
-49%
169
Eisen Currence*
99,60
Gecertificeerd ADSL**
99,97
Overige terminals BeaNet
100 C-TAP
100
-17% BeaNet
56
-44%
* Beschikbaarheid binnen met de retailer afgesproken service window. Dit betekent dat voor een representatieve keten er ongeveer 13 uur niet beschikbaarheid zou zijn. ** Op basis van een retailketen met vestigingen verspreid over het hele land
2.1.2 Beperkte aanspreekbaarheid bij storingsoplossing De retailers vinden het lastig om in geval van storing hun weg te vinden in de keten. Dit wordt veroorzaakt door het grote aantal contractpartijen (acquirer, datacom provider, terminalleverancier en/of reseller). Bovendien kunnen ze de processor niet direct aanspreken, omdat retailers geen contractrelatie hebben met processoren (acquirers hebben de contractrelatie met processoren). Geïnterviewde grootwinkelbedrijven zijn zeer ontevreden over deze situatie. Ook MKB-ers zijn ontevreden: van de geënquêteerde MKB-ers is 12% ontevreden over het proces van storingsafhandeling en is 14% ontevreden over de tijd die het kost om een storing te verhelpen.
12
2.2 Ontevredenheid bij MKB over installatie Voor installatie van pinnen over breedband moet een breedband datacomverbinding worden aangelegd en een terminal worden geïnstalleerd. Bij grootwinkelbedrijven wordt dit in het algemeen met eigen ondersteuning opgepakt, is uitvoerig testen ingecalculeerd en leidt het installatieproces (daardoor) in mindere mate tot problemen. Bij MKB-ers is tussen de 5%-10% ontevreden tot zeer ontevreden over het installatie- en migratieproces. Problemen die MKB-ers ondervinden zijn niet ‘first time right’ installatie, variabele levertijd en niet goed afgestemde processen met onnodige processtappen: 2.2.1 Niet “First Time Right” installatie Uit een enquête onder MKB-ers blijkt dat de installatie gemiddeld in ongeveer 80% van de gevallen in één keer goed gaat. Dit betekent dat 1 op de 5 installaties niet in één keer goed gaat. Bovendien, gemeten over alle installaties die goed gaan, komen er gemiddeld 2 installateurs per installatie langs. Indien een installateur langskomt, varieert dit van 1,2 keer voor een terminalinstallateur tot 2,8 keer voor een datacominstallateur. 2.2.2 Variabele levertijden De levertijd van de breedbandconnectie en terminal is variabel en weinig gecoördineerd: in 60% tot 70% van de installaties bij MKB wordt een breedbandverbinding binnen 20 kalenderdagen geleverd, maar in 17% van de gevallen is de levertijd meer dan 40 dagen. Voor terminals geldt dat eveneens 60 tot 70% binnen 20 kalenderdagen wordt geleverd; hier loopt 8% uit tot 40 dagen. 2.2.3 Niet goed afgestemde processen met onnodige processtappen In de praktijk is het proces niet altijd goed afgestemd. Bij 21% van de installaties zitten er meer dan 10 dagen tussen de installatie van de breedbandconnectie en de installatie van de terminal. Daarnaast bevat het proces een aantal onnodige processtappen. Retailers vermelden de volgende problemen in het installatieproces (schema 4): 1. Er is vaak een tweede bezoek aan de bank nodig om het acquiring contract definitief af te sluiten. Dit wordt veroorzaakt doordat de ondernemer eerst naar de bank gaat, maar daar constateert dat hij voor het afsluiten van een contract een terminal ID nodig heeft, welke hij van de terminalleverancier krijgt. 2. Voor administratieve verwerking bij de processor worden de gegevens van het acquiring-contract via het hoofdkantoor van de bank naar de processor gestuurd.
13
Lokale bankkantoren zijn vaak niet goed van deze procedure op de hoogte, wat vertraging kan opleveren. 3. De retailer moet codes die hij van de processor krijgt doorsturen naar de terminalleverancier. Het is niet altijd duidelijk voor de retailer dat hij een rol heeft in dit proces, wat vertraging kan opleveren. 4. De datacominstallateur levert alleen een werkende ADSL-lijn. Hij kan niet testen of de pin-dienst ook geactiveerd is. 5. De terminalleverancier wacht met inplannen van de terminalinstallatie op bericht van de ondernemer dat de breedbandverbinding is aangelegd. Gebrek aan proactieve coördinatie belet dat de afzonderlijke activiteiten zo snel mogelijk na elkaar plaatsvinden. 6. Terminal initialisatie vindt plaats na administratieve verwerking door de processor. Daarom is de pindienst tijdelijk onbeschikbaar wanneer van terminal en processor gewisseld wordt. (Per scheme kan de merchant slechts bij 1 processor tegelijk aangemeld staan). 7. In de router moet de routerconfiguratie juist worden ingesteld, waaronder de ‘Quality of Service’ (prioriteitsstelling) voor pinnen. Dit blijkt in de praktijk niet altijd (juist) ingesteld te zijn. Knelpunten 1-3 kunnen in de praktijk opgelost worden door samenwerking tussen bank, terminalleverancier en processor, maar dit wordt slechts door een deel van de banken op een deel van hun installaties toegepast.
14
SCHEMA 4
Het installatieproces bestaat uit veel stappen waarin de ondernemer zelf moet zorgen voor coördinatie en een werkende eindoplossing
Eigen installateur Bank (Acquiring) processor Terminalleverancier Dataleverancier
Breedband installatie
Bestellen breedband
Terminalinstallatie
Bestellen terminal
Installeren breedband FTR* = 75%
Laden terminal met codes en testen
4
5 6
Installeren terminal FTR* = 90%
Afronding werkende pinoplossing FTR* = 69% 7
Acquiring en processing
Opvragen informatie, openen rekening, aanvragen pincontract
1
Finaliseren Adminipinstratief 2 verwerken contract contract en codes
3
* FTR = First-time-right percentage
15
3. Grondoorzaken 3.1 Grondoorzaken van toename in het aantal storingen De introductie van C-TAP leidde tot veel storingen en legt daarmee de verminderde robuustheid van de keten bloot. Deze wordt veroorzaakt door complexiteit in de keten en het ontbreken van een eindverantwoordelijke partij. Dit zijn twee structurele grondoorzaken. C-TAP zelf is niet het probleem: de introductie van CTAP, zowel de implementatie ervan als de gerelateerde piek aan installaties, was ‘slechts’ de katalysator van de toename in storingen. Het oplossen van de C-TAP problemen alleen is dan ook niet voldoende voor het creëren van een robuustere keten. Er zijn structurele maatregelen nodig die ervoor gaan zorgen dat toekomstige grote wijzigingen in de keten minder of liever geen impact hebben op de storingsgevoeligheid van de keten. Het Nederlandse betaalverkeer wordt dermate afhankelijk van de pin-keten dat storingen op het niveau dat we zagen in 2008 voor alle betrokkenen in de keten onwenselijk zijn. 3.1.1 De introductie van C-TAP als katalysator van meer storingen Bij de opschaling van het aantal C-TAP terminals kwamen veel storingen aan het licht. Uit detailanalyse van de meldingen bij een grote helpdesk bleken de verschillen tussen Beanet en C-TAP storingen te kunnen worden verklaard door een aantal bekende en specifieke problemen rond de introductie van C-TAP (schema 5). Dit betrof storingen rond (1) autorisatiecodes, (2) netwerk of host en (3) security.
16
SCHEMA 5
Verdeling van additionele storingen uit C-TAP ten opzichte van BeaNet
Verdeling van additionele C-TAP storingen (ten opzichte van Beanet) over meldingscategorieën Eerstelijns helpdesk, %
Overige 12
Hard- of software 2 Security
9 45% Autorisatiecodes
33 Netwerk of host
Bij storingen rond autorisatiecodes zijn er ongelijke codes (terminal en merchant ID’s) bij host, terminal, TMS en/of acquirer, waardoor identificatie niet succesvol is en er dus geen transacties kunnen plaatsvinden. Netwerk en/of host storingen worden gemeld als er geen netwerk of host beschikbaar is, maar mogelijk ook als terminal en host niet synchroon de transactie doorlopen. Bij ‘security’ gerelateerde storingen blokkeert de terminal en gooit zijn codes uit veiligheidsoverwegingen weg. De toename hiervan is veroorzaakt door een gevoeliger afgestelde terminal (bijvoorbeeld het afslaan van een terminal door een reset tijdens een transactie). Dit laatste probleem is volgens experts al grotendeels opgelost. Daarnaast is de storingsgevoeligheid bekeken vanuit het oogpunt van de host (schema 6). Hieruit blijkt dat uitval tijdens de verwerking van een C-TAP transactie 4 keer hoger is dan van een Beanet transactie, voornamelijk veroorzaakt door syntax fouten.
17
SCHEMA 6
Tijdens transactieverwerking bij de processor vertoont C-TAP vier keer zoveel uitval als Beanet
BeaNet C-TAP
Percentage niet-geautoriseerde transacties*
0,99% Verkeerde PIN-code** 0,24 0,76
Bedrag te hoog 0,91 0,11
Pas niet geaccepteerd 0,12
x4 0,04 Storingen 0,16
* Rapportage Equens-host, januari-juni 2008 ** Op C-TAP-host worden meerdere PIN-pogingen als deel van 1 transactie geregistreerd
18
3.1.2 Storingsgevoeligheid van de huidige pin-keten Het ontbreken van een structuur om de complexiteit beheersbaar te houden en van een eindverantwoordelijke in de pin-keten veroorzaakt een verminderde robuustheid5 en daarmee de verhoogde storingsgevoeligheid. Toegenomen complexiteit Vroeger beheerde Interpay nagenoeg de hele keten, maar met de opsplitsing van Interpay is een veelheid van partijen en technische oplossingen in de markt gekomen. (schema 7). Dit leidt in theorie tot ongeveer 12,500 mogelijke permutaties in de keten (10 acquirers, 25 terminals, ~25 gecertificeerde breedbandproducten, en 2 processors) nog afgezien van de op maat gemaakte kassakoppeling. In de Interpay-tijd zat de variatie alleen op het niveau van de terminals (15 types) en datacom (9 aanbieders). Bovendien was het grootste deel van de keten in één hand. Een keten die één product of oplossing levert, beperkt bij voorkeur het aantal mogelijke combinaties en daarmee het aantal mogelijke fouten. Een voorbeeld hiervan is ‘digitale televisie’, waar product, datacom en settop box samen in één aanbod zijn georganiseerd (schema 8). Daarnaast is het datacomplatform technisch complexer geworden met de migratie naar IP: voorheen was met de ’standaard’ PSTN of ISDN-oplossing een ‘dedicated’ lijn gegarandeerd. Tegenwoordig wordt voornamelijk IP als basis gekozen. Dit platform is een gedeelde infrastructuur, die ook andere applicaties zoals internet, telefoon en eventueel ook alarm ruimte biedt of zou moeten bieden. Hierdoor ontstaat additionele complexiteit zoals bij het instellen van de router.
5 De grondoorzaken zijn naar hun aard algemeen en niet te herleiden tot of toepasbaar op individuele gevallen
19
SCHEMA 7
Het grote aantal mogelijke permutaties, waaruit de ondernemer zelf een keuze maakt, vergroot storingsgevoeligheid Acquirer
Terminal
Datacom
Processor
Switch
• Alleen variatie in keuze Alphyra
Interpaytijdperk Interpay
CCV
KPN
Interpay
van terminals (totaal ~~15 permutaties) • 1 dedicated datacomverbinding • Acquiring, processing en switching in 1 hand (Interpay) • Certificering terminal door zelfde partij waardoor per saldo de keten end-to-end gecertificeerd was
Interpay
EFT systems
~ 1 acquirer
Huidige situatie
× 15 terminals
× 10 Datacom leverancier
CCV
KPN
ING
Equens
ABN Amro
Banksys
Infopact
Rabo bank
Payzone
BT
~ 10 acquirers
× 1 processor
× 1 switch
=
Equens
• Variatie op alle ketenonderdelen (totaal ~12.500 permutaties) • Keuzes geïnitieerd door ondernemer • Datacom via gedeelde infrastructuur • Certificering op ketenonderdelen
CCV
× 25 terminals × ~ 25 gecertifi- × (p.m. kassaceerde koppelingen) breedbandproducten
2 processors
~ 150 permutaties
× 1 switch
=
~ 12,500 permutaties
SCHEMA 8
Voorbeeld van markt met minder complexiteit door ketenaanbiedingen: digitale televisie “Acquirer”
“Terminal”/ ”Router”
“Telco”
“Processor” (levering dienst)
Digitenne (KPN)
Abonnement KPN 1 standaardpakket + evt. uitbreiding
Digitenne ontvanger + smartcard
Ethersignaal via KPN
Voorgeschreven set TV-kanalen in pakket
Digitale TV (UPC)
Abonnement UPC 4 pakketten + evt. andere diensten
UPC mediabox + smartcard
Signaal via kabel UPC
Set TVpakketten + video on demand
Digitale TV (Canal Digitaal)
Abonnement* 5 pakketten + 5 optie paketten + 2 combi
Keuze in satelliet box/schotel + (evt) smartcard
Signaal via satelliet canal digitaal (Astra)
Thema TV pakketten + free-to-air TV
Digitale TV (ZIGGO)
Abonnement ZIGGO 3 pakketten
Keuze uit aantal ontvangers/ decoders**
Signaal via Kabel ZIGGO
1 basis pakket zender + evt. interactieve TV
Eenvoudige keuze • Beperkt aantal pakketten over hele keten 1 aanspreekpunt • 1 helpdesk bij storingen • 1 installateur of plug & play met helpdeskondersteuning
* Geen smartcard betekent ontvangst van alleen free-to-air programmering ** Alleen service op door ZIGGO gecertificeerd ontvangers
20
Geen eenduidige eindverantwoordelijkheid De pin-keten wordt niet door één eindverantwoordelijke gecoördineerd. Dit uit zich in het ontbreken van invulling van een aantal rollen: •
Data over kwaliteit en storingsgevoeligheid binnen de keten is niet of nauwelijks beschikbaar. Er wordt bijvoorbeeld beperkte tot geen storingsinformatie in de terminals vastgelegd, uitgelezen en geanalyseerd. Dit belemmert het verkrijgen van een goed beeld van de oorzaken van storingen en daarmee de continue verbetering van prestaties van de pinoplossing.
•
Storingsafhandeling over de keten is niet eenduidig belegd, waardoor retailers niet weten welke partij ze waarop moeten aanspreken. Informatievoorziening en incidentoplossing schieten in hun ogen tekort. Vanaf eind 2008 heeft Currence stappen genomen tot oplossing hiervan door het opzetten van een escalatieteam waarin de belangrijkste partijen vertegenwoordigd zijn, en het ontwikkelen van een centraal meldsysteem voor storingen (genaamd CONNECT).
•
Certificering en monitoring, voorheen de logische verantwoordelijkheid van de ene geïntegreerde partij, zijn nu belegd bij onder meer de C-TAP autoriteit, Currence en de processoren. Binnen deze structuur zijn oplossingen in de markt toegelaten die beperkt getest zijn.
3.1.3 Structurele karakter van de storingsgevoeligheid De introductie van C-TAP is een grootschalige vernieuwing waarbij kinderziektes verwacht konden worden. Deze specifieke problemen dienen op korte termijn te worden opgelost. Hiermee worden de structurele grondoorzaken echter niet opgelost en blijft de keten kwetsbaar voor veranderingen zoals nieuwe (internationale) toetreders op de markt, de wens tot vergaande marktwerking, grootschalige vernieuwingen en/of versies en ketenoverschrijdende problemen als fraude. Om tot een substantieel robuustere keten te komen, zullen bovenstaande grondoorzaken aangepakt moeten worden. Dit betekent niet dat de opsplitsing van Interpay teruggedraaid zou moeten worden of dat deze opsplitsing onzorgvuldig of onjuist is vormgegeven, maar wel dat met de recente ervaringen een verbetering van het model tot stand gebracht moet worden.
21
3.2 Grondoorzaken moeizame installatie Als gevolg van bovengenoemde complexiteit en het gebrek aan één eindverantwoordelijke werkt ook het installatieproces niet optimaal. Het totaalproces behoudt veel onnodige stappen en het is moeilijk om partijen duidelijk aan te spreken. 3.2.1 Complexiteit: veel keuzemogelijkheden in een “low interest product” Retailers hebben zeer veel keuzemogelijkheden om hun pinoplossing in te richten: zij kunnen zelf een pakket samenstellen met vrijheid op gebied van acquirer (en eventueel processor), terminal, datacomleverancier en installateur. Om dit te vereenvoudigen zijn er eenvoudige oplossingen gecreëerd (slimme pinpakketten), maar ook daarvan bestaan er meer dan 25 die bovendien op het gebied van installatie en storingsverhelping in het algemeen minder ontzorgen dan wenselijk is. De MKB-er moet daarom veel keuzes maken (schema 9), maar heeft nauwelijks inzicht in zijn uitgangssituatie zoals de bestaande datacominfrastructuur (hoeveel lijnen zijn er beschikbaar, is er mogelijkheid tot (additionele) DSL, welke abonnementen horen daarbij, tegen welke kosten, etc.). Dit maakt het proces complex voor de MKB-er. Daarbij is pinnen bij aanschaf van een terminal een low interest product: ‘de ondernemer wil dat het werkt, zonder dat hij zich erin verdiept’. Dat betekent dat velen ook niet de moeite willen nemen zich erin te verdiepen. (schema 10).
22
SCHEMA 9
De ondernemer kent zijn specifieke uitgangssituatie niet en weet niet wat hij moet kiezen
De ondernemer weet zijn specifieke uitgangssituatie niet
De ondernemer weet niet wat hij moet kiezen/ welke acties hij moet initiëren
+
Datacom
• Z-ADSL + pinnen bestellen? • Migreren oude lijnen?
Alarm
• Migreren naar alarm over IP?
Acquiring
• Welke acquiring contracten regelen? / schemes kiezen?
• Aan wie terminal-ids doorgeven? Infrastructuur
• Welke bekabeling is nodig?
Terminal
• Terminal kiezen • Wel / geen kassakoppeling
SCHEMA 10
Pinnen over breedband is voor de ondernemer een low interest product 56% van de respondenten pint nog niet via breedband. Waarom niet? Geen interesse/ weet niet
42%
Levert geen geld op
21%
Ben er mee bezig
“Ik heb het laten installeren en voor de rest weet ik er niets van”
“Ik heb geloof ik een brief daarover (over breedband-pinnen) gehad, maar heb er niet over nagedacht”
12% “Geen idee of ik het met subsidie wel zou doen, want ik weet niet wat pinnen mij kost” 9%
Zie ertegen op
“Waarom ik niet over breedband pin? Ik kan me niet herinneren dat het me ooit aangeboden is”
Hoofdkantoor regelt dit
6%
Werkt niet met mijn apparaat
6%
Anders
Quotes van retailers tijdens enquête
4%
“Ja, met subsidie zou ik het misschien wel doen. Voor hoeveel? Tsja, geen idee, dat hangt ervan wat het zou opleveren”
“Als het apparaat vervangen moet worden dan gaan we over”
Bron: Telefonische enquête EIM, respondenten die nog niet pinnen via breedband, n=206; categorie “Anders” waar mogelijk hergecategoriseerd
23
3.2. Eindverantwoordelijkheid: leveranciers leveren alleen een deeloplossing De retailer integreert zelf verschillende deeloplossingen, omdat geen van de bij de installatie betrokken partijen zorgt voor een compleet werkende oplossing. De fysieke infrastructuur wordt door de terminalleverancier aangelegd tot de toonbank, en door de datacomleverancier tot de meterkast, maar tussen de toonbank en meterkast is er geen standaardoplossing. In 20% van de gevallen is dan een derde installateur nodig om dit deel te overbruggen.
24
4. Oplossingsrichtingen Voor een robuustere pin-keten is het nodig om (1) aanbod en aanbiederstructuur te versimpelen, (2) certificering te versterken en (3) storingsescalatie bij één neutrale partij te beleggen. 4.1 Versimpel aanbod en aanbiederstructuur Het aanbod en de aanbiederstructuur dienen vereenvoudigd te worden. Daarbij moet er (naast het huidige aanbod) een beweging komen naar ‘ketenaanbiedingen’ die helder en toegankelijk zijn voor het MKB. Voor het GWB en voor ondernemers die niet alles willen vervangen maar gebruik willen maken van een aantal componenten die hij al heeft, blijft de behoefte aan flexibele maatwerkoplossingen (schema 11). SCHEMA 11
Vereenvoudig de aanbiederstructuur met gecertificeerde ketenaanbiedingen voor het MKB en maatwerk voor het grootwinkelbedrijf Acquirer
Terminal
Datacom
Acquiring processor
Standaard aanbod
• Ondernemer kiest uit
Maatwerk
• Ondernemer koopt
standaard ketenaanbiedingen (met beperkte set keuzes per ketenonderdeel) • Keten is end-to-end gecertificeerd • 1 aanspreekpunt en eindverantwoordelijke voor ketenfunctionaliteit
ketenonderdelen apart in
• Ondernemer verantwoordelijk voor end-to-end certificatie en ketenfunctionaliteit • Beschikbaarheidrisico kan afgedekt worden door inkoop van gegarandeerde serviceniveaus of redundancy systemen
25
4.1.1 Ketenaanbieding voor de gehele pinbehoefte Voor retailers moet er een toegankelijk aanbod van complete pinoplossingen komen. Daarbij draagt één partij eindverantwoordelijkheid voor afspraken (of formele service level agreements) op het gebied van installatie, storingsduur en storingsoplossing. Aanbod Een ketenaanbieding bestaat idealiter uit één contract waarmee een werkende pinoplossing wordt gegarandeerd. Banken (acquirers) zouden hiervan de aanbieder kunnen zijn wanneer zij de overige ketenonderdelen integreren: terminal, processor, datacom en mogelijk de meest voorkomende kassakoppelingen. Dit aanbod zou zich in eerste instantie richten op het vereenvoudigen van het keuzeproces voor MKB, maar zou ook door het grootwinkelbedrijf afgenomen kunnen worden mits er geen maatwerk bij wordt gevraagd. Zodra het versturen van betaalgegevens binnen het pinverkeer via (open) Internet daadwerkelijk mogelijk is (een besluit in die richting is onlangs door Currence genomen), vermindert wellicht de noodzaak voor het opnemen van datacom in het ketenpakket. Overigens is het ook denkbaar dat de behoefte aan gecertificeerde IP-oplossingen blijft bestaan, vanwege hogere beschikbaarheidsgaranties, aansluiting door de leverancier op CONNECT en andere toegevoegde waarde. Randvoorwaarden De aanbieder is eindverantwoordelijk en de retailer/afnemer kan de aanbieder aanspreken indien deze niet naar verwachting presteert. Daarnaast zouden ook een aantal ‘checks and balances’ geïntroduceerd kunnen worden binnen de keten: •
Verplichte certificering van de keten door acquirers zou een garantie kunnen bieden voor minimum kwaliteit van de totale geïnstalleerde configuratie en beperkte storingsduur (zie ook paragraaf 4.2). Aanbieders kunnen daarnaast bijvoorbeeld premium pakketten met back-up faciliteit aanbieden, zoals netwerk back-up met GPRS, offline back-up of back-up met behulp van een alternatief scheme.
•
Het beoordelen van de kwaliteit van de installaties kan op twee manieren. Ten eerste door transparantie te creëren over de kwaliteit van de installateurs, bijvoorbeeld via (online) publicaties. Ten tweede dienen aanbieders zelf hun verantwoordelijkheid te nemen door het implementeren van een ‘lean’ installatieproces en door gebruik te maken van voor pin-installatie gecertificeerde installateurs.
26
•
Verplichte deelname aan een ketenbreed escalatieteam garandeert dat alle betrokken partijen een bijdrage leveren aan een adequate storingsoplossing. Deze verplichting kan het best worden opgelegd door Nederlandse acquirers aangezien Mastercard en Visa hieraan zelf geen eisen stellen.
Een mogelijk knelpunt in bovenstaande oplossing is dat aanbieders weinig tot geen kassakoppelingen in hun ketenaanbieding opnemen vanwege de enorme fragmentatie van deze markt: er zijn niet alleen veel kassa’s in omloop, ze gebruiken vaak ook verschillende versies software. Op korte termijn is dit niet een groot probleem omdat de ‘gekoppelde markt’ onder MKB beperkt is. Om op termijn kassakoppelingen in het ketenaanbieding beter te faciliteren, zou een standaard communicatieprotocol ontwikkeld moeten worden voor kassakoppelingen. Indien de gehele keten zich achter één eenvoudig protocol schaart (beperkt tot noodzakelijke velden en foutafhandeling), zou dit voldoende aantrekkelijk kunnen zijn voor kassaleveranciers om dit in volgende softwareversies op te nemen. Stimulering van de vraag Om de introductie van ketenaanbiedingen te bevorderen moet aandacht worden besteed aan stimulering van de vraag door MKB, met name door het creëren van voldoende transparantie van de aanbiedermarkt. Dit kan worden bereikt met een aantal initiatieven: y Geven van duidelijke voorlichting aan MKB. Bijvoorbeeld in de vorm artikelen in magazines van brancheorganisaties en speciale brochures. y Opzetten van een onafhankelijke vergelijkingswebsite. Herdefiniëren van het ‘slimme pinpakketten’-label is hiervoor noodzakelijk. Voorstel is het label bij vaste terminals alleen toe te kennen voor gecertificeerde ketenaanbiedingen. Hierbij moeten duidelijke criteria worden opgesteld voor ketenaanbiedingen. y Inzetten van een informatiecampagne gericht op MKB-ers die aan vervanging of migratie van hun terminal toe zijn. Dit kan specifiek worden uitgevoerd door een verwijzing naar de vergelijkingswebsite toe te voegen aan de huidige brieven van Currence aan terminaleigenaars. y Inzetten van extra middelen (subsidie/penalties) om de migratie naar standaardaanbiedingen te versnellen. Dit kan ingezet worden als op termijn de vraag naar ketenaanbiedingen verdere stimulans nodig heeft. Aanpak belemmeringen overstap De retailer moet de mogelijkheid hebben om met niet al te veel moeite en risico’s over te stappen naar een nieuwe aanbieder. Om dit te verwezenlijken moet aandacht
27
worden besteed aan procesmatige belemmeringen die de overstap bemoeilijken. De hoogste overstapfrequentie en grootste procesbelemmeringen worden verwacht bij de overstap naar nieuwe terminal aanbieder en/of datacomaanbieder. Daarom is onderzocht hoe belemmeringen bij deze overstappen kunnen worden verminderd. Om overstapdrempels in de pin-keten te verminderen, lijkt zelfregulering een logische optie voor afspraken tussen marktpartijen, omdat de frequentie van overstappen relatief laag is, maar de maatschappelijke impact relatief hoog (mogelijk omzetverlies voor ondernemer) (schema 12). SCHEMA 12
Om te zorgen dat afspraken over procesmatige belemmeringen worden nagekomen, is zelfregulering nodig ILLUSTRATIEF, SCHATTINGEN Betaalketen MKB: lage frequentie, middelhoge impact (vanwege risico niet beschikbaarheid betaalketen)
Wetgeving
Hoog
Zelf-regulering Maatschappelijke impact
Middel
Internet (particulier)
Energie*
Nummerportabiliteit telefonie
Digitale TV
Laag
Marktwerking (geen regulering)
Laag (<100.000)
Middel (100.000 – 600.000)
Hoog (>600.000)
Frequentie (aantal overstappen per jaar)
* Zelf-regulering met Energy Data Services Nederland als ondersteunende dienstverlener voor energiebedrijven BRON: Websites NMa, EZ en OPTA
Bij het overstappen van terminal provider treden er vooral belemmeringen op in de uitwisseling van autorisatiecodes, waarbij de retailer nog vaak een onnodige rol speelt. Om dit op te lossen dienen afspraken tussen acquirers, processors en terminal leveranciers te worden gemaakt over uitwisseling van autorisatiecodes. Dit kan door oude terminal leveranciers van retailers verantwoordelijk te maken voor verstrekking van gegevens aan acquirers en processoren, zodat retailers deze gegevens zelf niet meer hoeven door te geven. En af te spreken dat acquirers en processors gegevens direct – zonder tussenkomst van retailers – verstrekken aan nieuwe terminalleveranciers. Vervolgens zou het volgen van deze afspraken
28
gestimuleerd moeten worden om te zorgen dat het grootste deel van de markt gedekt wordt. Ook bij overstap van datacomaanbieder kunnen verdere afspraken tussen marktpartijen de huidige belemmeringen van overstap verminderen. 1. Afspraken kunnen worden gemaakt tussen datacomaanbieders over het verkorten van de doorlooptijd tussen aanvraag en daadwerkelijke aansluiting van nieuwe breedbandaansluitingen. 2. Daarnaast kunnen er afspraken gemaakt worden om de niet-beschikbaarheid van pin-oplossingen te verminderen: y Verfijn de huidige afspraak tussen internetaanbieders over gegarandeerde nietbeschikbaarheid van internet voor MKB bij overstap naar een andere aanbieder. Deze afspraak zou minimaal in lijn moeten zijn met de gegarandeerde maximale 24 uur niet-beschikbaarheid die gegarandeerd wordt in de particuliere markt, opgesteld door Taskforce Overstapdrempels. Deze afspraak impliceert juiste onderlinge afspraken over afstemming van af- en aansluiting van internet. y Zorg dat er afspraken komen tussen processors en datacomaanbieders om ervoor zorgen dat al tijdens de datacominstallatie getest wordt of niet alleen internet, maar ook de pin-dienst functioneert . Dit is mogelijk wanneer de partijen gebruik gaan maken van een ‘echo-test’ applicatie die tijdens installatie de pin-verbinding naar de processor test. y Zorg voor een tijdelijke pinoplossing om niet-beschikbaarheid tijdens overstap te overbruggen door gebruik te maken van een tijdelijke, mobiele terminal.
4.1.2 Maatwerkoplossing In een ‘maatwerkoplossing’ combineert de retailer verschillende ingekochte oplossingen: datacom, terminal, kassa en acquiringcontracten. Daarmee wordt de retailer zelf verantwoordelijk voor het adequaat functioneren van de gekozen oplossing. Indien deze ‘end-to-end’ configuratie nog niet als keten is getest en gecertificeerd in een ketenaanbieding, dient de retailer verantwoordelijkheid te dragen voor de certificering. In de maatwerkoplossing kan de retailer zelf in kwaliteit variëren door back-up systemen (offline transactie autorisatie, back-up scheme, back-up network) te installeren of hogere kwaliteit diensten in te kopen (bijvoorbeeld premium pakket met hogere beschikbaarheid in telecom of processing).
29
Naar verwachting zullen Groot Winkel Bedrijven (GWB) voor maatwerkoplossingen blijven kiezen. Vanwege verschillen in professionaliteit bij GWB, de mogelijke substantiële impact van storingen, en het gevoel van gebrekkige controle over het pinmigratie proces, is er behoefte gebleken bij het GWB aan ondersteuning bij het voorbereiden en implementeren van deze maatwerkoplossingen. Om die reden is aanbevolen een handleiding uit te werken waarin dieper wordt ingegaan op het selectie- en installatieproces, de contouren van Service Level Agreements (SLA’s) en de randvoorwaarden waaraan een GWB zelf aan moet voldoen om een stabiele pin-keten te realiseren. In fase 2 van dit project is de handleiding opgesteld. Als extra service aan het GWB worden er ook voorbeeldcontracten verstrekt. 4.2 Versterk certificering van de keten Testen en certificeren in de keten kan uitgebreid en versterkt worden, maar de eindverantwoordelijkheid blijft logischerwijs bij schemes en acquirers liggen. 4.2.1 Aanvulling huidige certificering Certificering vindt plaats op component-, (sub)systeem-, eindgebruiker- en installateurniveau. Op al deze niveaus kan de certificering versterkt worden (zie schema 13). Daarbij moet ervoor worden gewaakt dat de kosten van certificering niet te hoog worden door de introductie van doublures. SCHEMA 13
Overzicht huidige certificatie – praktijk en implicaties
Componenten
(Sub)systeem
Type test
Functionaliteit
Veiligheid
• Kassa koppeling • Lokaal netwerk • Netwerk • Terminal • Host
9 Currence 9 C-TAP (FAT*) 9 C-TAP
9 Currence 9 Currence (PCI+) 9 Currence
• Host-terminal
9 Processors (NDT**)
• Host-netwerk
Eindgebruikers
9 Equens (koppeling)
9 C-TAP processor pilot (normaal gebruik)
9 Certificering
Observaties Géén certificering van kassakoppelingen; 1 Geen certificering van storingsregistratie / TMS
2
Geen certificering van kassakoppeling of winkelnetwerken binnen de subsystemen
Géén “voor3 geschreven” testscenario’s
* Functional Acceptance Test, uitgevoerd door Collis ** Non Disturbance Test, die een aantal non functional tests omvat
30
•
Op componentniveau zou de certificering van kassakoppelingen weer geïntroduceerd moeten worden. Verder zou certificering van terminals ook storingsregistratie moeten omvatten. Geadviseerd wordt om de foutenregistratie in terminals sterk te verbeteren, waarbij het centraal uitlezen van terminal storingen en het beheren en analyseren van deze informatie in het terminalmanagementsysteem (TMS) mogelijk wordt. Bij voorkeur wordt deze foutenregistratie door C-TAP gestandaardiseerd zodat ketenbrede analyses worden vereenvoudigd.
•
De eindgebruikertest (pilots) moet een ‘end-to-end’ test worden op basis van door C-TAP vooraf gedefinieerde testcases in plaats van alleen regulier gebruik. In ketenaanbiedingen is het hier onmogelijk om (alle) kassakoppelingen mee te nemen tot de introductie van de standaard kassakoppelingen. In maatwerkoplossingen zal de eindgebruikertest altijd specifiek zijn en kan de kassakoppeling zonder problemen worden meegenomen.
•
Op subsysteem niveau zouden de aangeboden ketenaanbiedingen, eventueel inclusief de meest voorkomende kassakoppeling, gecertificeerd moeten worden. Enerzijds zouden alle componenten bij Currence gecertificeerd moeten worden, anderzijds dient de combinatie van componenten gecertificeerd te worden door C-TAP middels een end-to-end test (zie vorig punt). Op in het tweede en derde kwartaal kan de certificering van de combinatie van componenten nog plaatsvinden met de bestaande eindgebruikerstest (zie schema 14), eind dit jaar dient de nieuwe end-to-end test de norm te zijn. Deze aanpak is puur gericht op het verzekeren van het functioneren van de ketenoplossing. Aangezien de individuele elementen door Currence zijn getest, zou deze integratietest tot weinig of geen problemen moeten leiden
31
SCHEMA 14
Certificeer ketenoplossingen - Voorgestelde ambitie is om eind 2009 certificering* ketenoplossingen ingevoerd te hebben Timing
Scope certificering
Zwaarte certificering
• Terminal certificering
• Lab test (CTAP test bij Collis)
Huidige situatie
• Field test (certificering bij pilot)
• Keten: terminal + kassakoppeling + router Q3 2009
• Keten: terminal + Q4 2009
kassakoppeling + router
• Field test (bestaande test; certificering bij pilot)
• End-to-end test op basis van standaard test cases opgesteld door C-TAP
Consequentie van geen certificaat
• Van de markt (niet geaccepteerd door acquirers/processoren)
• Van de markt (niet geaccepteerd door acquirers/processoren**)
• Van de markt (niet geaccepteerd door acquirers/processoren**)
* Omvat hier certificering van zowel veiligheid als operationele werking ** Nederlandse acquirers kunnen dit onderling afspreken; Buitenlandse acquirers / processoren kunnen mogelijk door schemes gestimuleerd worden tot certificering van ketenaanbiedingen
•
Er moeten duidelijkere regels worden gesteld aan het doorvoeren van wijzigingen in componenten van de pinketen, zogenaamde ‘patches’ en upgrades. Voornamelijk over de coördinatie en de frequentie van deze wijzigingen. Dit kan worden meegenomen door de neutrale partij voor incidentescalatie (zie hoofdstuk 4.3).
•
Op installateurniveau wordt certificering van de installateurs aanbevolen om professionaliteit en veiligheid te verbeteren, gegeven het groeiende belang van de keten en de daarvoor benodigde ‘security’-eisen.
•
Om te zorgen dat maatwerkoplossingen, die door GWB zijn geïnstalleerd, optimaal functioneren, dient verplichte zelfcertificering door GWBs te worden ingevoerd. Hiervoor zou een door C-TAP te ontwikkelen end-to-end test gebruikt kunnen worden.
4.2.2 Eindverantwoordelijkheid certificering Eindverantwoordelijkheid voor certificering ligt – in lijn met EPC - bij schemes en in Nederland deels bij acquirers voor additionele eisen aan stabiliteit en veiligheid. Uitvoering van de testen ligt bij een aantal specifieke geaccrediteerde partijen waar voldoende capaciteit moet zijn om aan de vraag te kunnen voldoen. Uitzondering hierop zou de ‘end-to-end’ test kunnen zijn en certificering van het winkelnetwerk, waar ‘gecontroleerde zelfcertificatie’ ingericht zou kunnen worden onder controle
32
van acquirers. Dit zou dan vergelijkbaar worden met het APK model voor autokeuringen: een combinatie van zelfcertificering door een door de winkelketen geselecteerde testspecialist én steekproefsgewijze controle door acquirers. Alle afgegeven certificaten zouden openbaar gemaakt kunnen worden, via bijvoorbeeld een centrale website, waardoor inzichtelijk wordt welke ketenelementen en ketenaanbiedingen zijn gecertificeerd. 4.3 Laat een neutrale partij incidentenescalatie op zich nemen Naast regelmatige storingen heeft zich het afgelopen jaar ook een aantal grootschalige incidenten voorgedaan zoals de storing op oudejaarsdag. Om de identificatie en oplossing van dergelijke incidenten te verbeteren is een neutrale keten en scheme overstijgende partij nodig met de volgende rollen (schema 15): SCHEMA 15
Voor incident management is een neutrale partij nodig die ketenbreed zorgt voor identificatie, incidentafhandeling, evaluatie en communicatie Centrale aansturing door neutrale partij Centrale Identificatie acties en communicatie met achterban ketenpartijen
Incidentafhandeling
Evaluatie
• Mobiliseren escalatieteam • Probleem lokaliseren en oplossen met relevante achterban • Terugkoppelen per uur naar escalatieteam • Communiceren storingsbron en geschatte afhandeltijd naar achterban overige partijen
• Evalueren grondoorzaken • Identificeren en initiëren
• Waarschuwen en
• Melden van grootschalige
• Rapporteren over aantal en
instrueren voor storingsrisico’s • Communiceren instructies bij bekende storingen
incidenten via diverse kanalen (tel., portal, SMS) • Up-to-date houden portal met geschatte afhandeltijd
• Inrichten centraal meldsysteem (CMS) voor wijzigingen en storingen • Aggregeren en monitoren actuele tracking-informatie bij ketenpartijen • Aanvullen met continue metingen (steekproeven) • Escaleren van incidenten
Communicatie naar retailers en breed publiek
preventieve maatregelen
• Evalueren identificatie- en afhandelingproces
• Vastleggen verbeterpunten in draaiboeken
• Doorvoeren verbeterideeën bij achterban
• Rapporteren storingen duur van grote incidenten
• Rapporteren over afhandeling en verbeteringen
• Updaten van instructies
• Identificatie: inrichten van een centraal meldsysteem, verkrijgen/aggregeren van bestaande relevante informatie over storingen, wijzigingen en gepland onderhoud. Dit kan bijvoorbeeld via bestaande monitoringtools van processors en datacom aanbieders, de in paragraaf 4.2 genoemde storingsinformatie uit het terminal management systeem, de bezettingsgraad van call-centers van terminalleveranciers, en met continue metingen op basis van een steekproef (met ‘pingen’of meetapparatuur of door afspraken met een groep retailers te maken over melding van storingen gedurende een periode).
33
• Incidentafhandeling: oplossen van incidenten door alle relevante partijen via een ‘hotline’ bij elkaar te krijgen, het probleem te lokaliseren en op te lossen. Hierbij zou de neutrale partij ook de mogelijkheid moeten hebben om toestemming te geven voor aangekondigde ingrijpende wijzingen en gepland onderhoud door ketenpartijen Dit om eventuele toekomstige incidenten te voorkomen. • Communicatie: informatie over grote incidenten beschikbaar maken voor de operationele ketenpartijen. Ook kunnen belangrijke wijzigingen bij individuele spelers via dit platform vooraf gemeld worden, zodat hierop adequaat gereageerd kan worden. Hiervoor kunnen bijvoorbeeld ‘web portals’, call centers en/of SMS diensten ingezet worden. Daarnaast zou ook communicatie naar ondernemers over grootschalige incidenten onderdeel kunnen zijn van de in te richten informatievoorziening. • Evaluatie: monitoren en continu verbeteren van het identificatie- en afhandelingproces en rapporteren van duur en aantal incidenten naar de bij de neutrale partij aangesloten partners. Om te zorgen dat deze rollen effectief worden ingevuld voor de Nederlandse pinketen, is het van belang dat een kritische massa ketenpartijen aangesloten is bij het incidentenescalatie systeem en dat er actieve handhaving van de regels van lidmaatschap plaatsvindt. Een kritische massa aangesloten ketenpartijen kan worden bereikt als Nederlandse acquirers deelname aan de neutrale partij verplicht stellen voor zichzelf en ketenpartijen met wie zij werken. Bij buitenlandse acquirers (die zich niet in Nederland hebben gevestigd, maar wel in Nederland opereren) zouden schemes een rol kunnen spelen door deze acquirers aan te bevelen dat zij en hun ketenpartijen zich ook bij de voorgestelde neutrale partij aansluiten. Om te zorgen voor actieve handhaving van de regels van lidmaatschap, zouden duidelijke richtlijnen (boeteclausules, mogelijkheid tot intrekken lidmaatschap door neutrale partij) in het contract voor lidmaatschap van de neutrale partij voor storingescalatie moeten worden opgenomen. Ook zouden deze regels nauwlettend en actief moeten worden opgevolgd.
34
35
5. Voortgang implementatie oplossingen In voorgaande hoofdstukken is besproken welke problemen optreden met betrekking tot storingen in en installatie van pinketens, welke oorzaken hieraan ten grondslag liggen en welke oplossingsrichtingen gevolgd kunnen worden. In dit hoofdstuk wordt ingegaan op de voortgang in de implementatie van deze oplossingen ten tijde van het schrijven van dit rapport. Ketenaanbiedingen In fase 2 van het project zijn ketenpartijen geïnterviewd over hun voortgang met het introduceren van ketenaanbiedingen. Het merendeel van de partijen is in beweging gekomen, veelal in de vorm van oriënterende of contractvormende gesprekken. Eén partij heeft al medio mei 2009 een ketenaanbieding gelanceerd. Tegen het einde van dit kalenderjaar wordt nog een aantal ketenaanbiedingen verwacht. De op de markt gezette ketenaanbieding en de ketenaanbiedingen die in contractvormende gesprekken worden besproken, zijn in lijn met de aanbevelingen in dit rapport. Certificering Currence heeft sinds fase 1 van dit onderzoek voortgang geboekt in het uitbreiden en versterken van de certificering. In september 2009 heeft Currence de certificering van alle kassakoppelingen gerealiseerd door haar rules & regulations met resellers en terminalleveranciers aan te passen. Middels het door Currence opgezette centrale meldpunt voor storingen en wijzigingen (genaamd CONNECT, zie volgend punt), zal regie voor ‘patches’ en upgrades worden ingevoerd. Daarnaast is Currence bezig om in overleg met C-TAP de end-to-end test, certificering van ketenoplossingen, certificering van maatwerkoplossingen en zelfregulering van Groot Winkel Bedrijven te gaan vormgeven. Ten slotte zal Currence nog in 2009 nader onderzoek doen naar certificering van storingregistratie en certificering van installateurs. Neutrale partij voor incident management Currence heeft in overleg met enkele belangrijke partijen in de keten het centrale meldpunt CONNECT opgezet. Het bestaat uit rules & regulations, ondersteund door een systeem, die zorgen dat storingen en wijzigingen centraal worden gemeld en met relevante partijen gedeeld en besproken/afgehandeld. CONNECT wordt op het moment van schrijven getest in een pilot. Currence zal nader onderzoek doen naar uitbreiding van de functionaliteit van CONNECT, door mogelijkheden tot meer proactieve identificatie van storingen te bekijken (bijvoorbeeld door inzage in storingsregistratie kritische partijen en real
36
time meten). Daarnaast zal Currence een gestructureerde evaluatie invoeren om continue verbetering in te richten. Verder zal Currence afspraken maken over de onafhankelijke positie van de neutrale partij voor incidentescalatie met acquirers en schemes. Ook zal het de mogelijkheden bespreken om deelname aan CONNECT verplicht te laten stellen door Nederlandse acquirers en deelname te laten aanbevelen door schemes voor buitenlandse acquirers (op voorwaarde van formeel commitment van andere schemes)
Handleiding voor GWB In werksessies met vertegenwoordigers van retailers en interviews met terminalleveranciers en resellers, is een handleiding voor pinmigraties voor Groot Winkel Bedrijven (GWB) uitgewerkt. Deze zal onder andere via de website van de SBEB ter beschikking worden gesteld. Op deze website worden ook geanonimiseerde voorbeelden van contracten en SLA’s geplaatst.
37
6. BETROKKEN PARTIJEN Stuurgroep Henk van den Broek (vz) Stichting Bevorderen Efficiënt Betalen Boele Staal
Stichting Bevorderen Efficiënt Betalen/NVB
Mark Boeren
KPN
Piet Mallekoote
Currence
Ton van der Bruggen
Nederlandse Leveranciers Betaalsystemen/CCV
Antoon Kuijpers
Equens Nederland B.V.
Rogier de Kort
EFT Resellers/Fujitsu
Mark Buitenhek (vz)
Stichting Bevorderen Efficiënt Betalen/ING Retail
Kernteam Mark Buitenhek (vz)
Stichting Bevorderen Efficiënt Betalen/ING Retail
Gert Silva
Stichting Bevorderen Efficiënt Betalen/ABN Amro
Jan Kees van Kralingen
KPN
Hans Brits/Anneke Kosse DNB Peter Kleppe
Currence
Wim Fahrner
Nederlandse Leveranciers Betaalsystemen/QE
Jan Mooijman
Gecertificeerde datacomleveranciers/Infopact
Andy Makkinje/ Evelien Witlox
Equens Nederland B.V.
Jules Harms
EFT Resellers/Toshiba TEC
Marcel Roelants
Mastercard Europe
Michiel Wielhouwer
Visa Europe
38
Gijs Boudewijn
Nederlandse Vereniging van Banken
Ilya Bruggeman
Platform Detailhandel Nederland
Janwillem Burgering
Stichting Bevorderen Efficiënt Betalen
Program Management Office Miriam Osten
Stichting Bevorderen Efficiënt Betalen
Roel Popping
Stichting Bevorderen Efficiënt Betalen
Werkgroepen Jan Kees van Kralingen
Datacomleveranciers/KPN
Wim Fahrner
Nederlandse Leveranciers Betaalsystemen/QE
Martin Pot
Platform Detailhandel Nederland/Franchise operations
Jack Heij
Nederlandse Vereniging van Banken/Fortis
Andy Makkinje
Equens Nederland B.V.
Evelien Witlox
Equens Nederland B.V.
Peter Kleppe
Currence
Rommit Jorritsma
Currence
Simon Hansen
Platform Detailhandel Nederland/Bart Smit
Marielle Ivits
Nederlandse Vereniging van Banken/Rabobank
Jules Harms
EFT Resellers/Toshiba TEC
Marcel Roelants
Mastercard Europe
Mark Kamers
Mastercard Europe
Kees Bovee
Platform Detailhandel Nederland/Detailconsult
Fred Zaat
Vereniging Nederlandse Petroleum Industrie/adviseur
Michiel Wielhouwer
Visa Europe
Frank Schoonbeek
Equens Nederland B.V.
39
Gaston Aussems
C-TAP Authority
Wim Rombaut
C-TAP Authority
40
