DE10131648A1 - Internet process for ordering and paying for goods using web server process - Google Patents

Abstract

The customer (100) accesses the goods by using a web browser (120)that has facility for credit card handling and is linked to the suppliers server (110). This links to a finance system (400) that has an internet payment gateway (140). In operation the user orders goods over the internet followed by payment and then delivery.

Description

Die Erfindung betrifft ein Verfahren zum Betreiben eines Webservers sowie einen zugehörigen Webserver zur Durchführung eines Bezahlvorgangs im Internet. Insbesondere betrifft die Erfindung Bezahlvorgänge, in denen eine Bezahlanfrage von einem Käufer über das Internet entgegengenommen und ein Bezahlverfahren über ein Payment Gateway abgewickelt wird. Die Erfindung eignet sich bevorzugt in Zahlungssystemen, in denen das Kassensystem und der Payment Gateway vom selben Full Service Payment Provider betrieben werden. The invention relates to a method for operating a web server and a associated web server for performing a payment transaction on the Internet. In particular concerns the invention payment processes in which a payment request from a buyer via the Internet accepted and a payment method via a payment gateway is handled. The invention is particularly suitable in payment systems in which Cash register system and the payment gateway operated by the same full service payment provider become.

Die sichere Abwicklung von Bezahlvorgängen bildet die Grundlage des E-Commerce. Bei Angebot und Nachfrage von Waren und Dienstleistungen über einen Internetshop sind sowohl Händler als auch Käufer daran interessiert, dass der Bezahlvorgang sicher abgewickelt wird. Wenn ein Händler die Ware zur Auslieferung übergibt, möchte er bereits im Vorfeld die Sicherheit haben, dass die Ware auch bezahlt wird. Die Käufer legen Wert darauf, dass ihre Daten vertraulich behandelt und sicher übertragen werden. The secure processing of payment processes forms the basis of e-commerce. at Supply and demand for goods and services through an internet shop Both retailers and buyers are interested in making the payment process secure is handled. If a dealer hands over the goods for delivery, he would like to Be assured in advance that the goods will also be paid for. Buyers value that your data will be treated confidentially and transmitted securely.

Es wurden daher im Stand der Technik bereits eine Vielzahl von sicheren Bezahlverfahren entwickelt, die sich auch als Zahlungssysteme im Internet verwenden lassen. Neben den Standardbezahlverfahren Rechnung oder Nachnahme sowie den Möglichkeiten der elektronischen Lastschrift und des Mobile Payment sind dies insbesondere die Kreditkartenzahlung via SSL, die GeldKarte® und die Kreditkartenzahlung via SET®. A large number of secure payment methods have therefore already been used in the prior art developed that can also be used as payment systems on the Internet. In addition to the Standard payment methods invoice or cash on delivery as well as the possibilities of These are the electronic direct debit and mobile payment Credit card payment via SSL, GeldKarte® and credit card payment via SET®.

Die Kreditkartenzahlung via SSL wird im Folgenden unter Bezugnahme auf Fig. 1 erläutert. Wie der Figur entnehmbar ist, sind der Käufer 100 und der Händler 110 über das Internet miteinander verbunden. Der Browser 120 des Käufers 100 kann auf den Webserver oder das Shopsystem 130 des Händlers 110 zugreifen. Der Käufer 100 stellt seine Produkte in den Warenkorb und schließt den Bestellprozess ab. Credit card payment via SSL is explained below with reference to FIG. 1. As can be seen from the figure, the buyer 100 and the dealer 110 are connected to one another via the Internet. The browser 120 of the buyer 100 can access the web server or the shop system 130 of the dealer 110 . The buyer 100 places his products in the shopping cart and completes the ordering process.

SSL (Secure Socket Layer) ist eine Verschlüsselungstechnologie, die den sicheren Datentransfer zwischen Webbrowsern und Webservern ermöglicht. SSL stellt ein kryptographisches Protokoll von Netscape Communications dar, das mit symmetrischen Schlüsseln zur Datenübertragung und mit dem asymmetrischen RSA-Verfahren zur Authentifizierung arbeitet. Es stellt sicher, dass die Daten unverändert übertragen werden, des weiteren wird eine Authentifizierung des Webservers durchgeführt. SSL (Secure Socket Layer) is an encryption technology that ensures secure Data transfer between web browsers and web servers enabled. SSL is setting cryptographic protocol from Netscape Communications, which uses symmetric keys for Data transmission and with the asymmetrical RSA procedure for authentication is working. It ensures that the data is transferred unchanged, furthermore authentication of the web server performed.

Das Shopsystem 130 des Händlers 110 veranlasst, dass vom Internet Payment Gateway 140 ein Java-Applet in den Webbrowser 120 des Käufers 100 geladen wird. Darin werden dem Käufer 100 die Zahlungsdaten angezeigt. Wenn die Daten stimmen, veranlasst der Käufer 100 mit der Eingabe der Kreditkartendaten und über Bestätigung per Mausklick die Bezahlung. Dann liest das Internet Payment Gateway 140 die Bestell- und Zahlungsdaten über eine SSL-verschlüsselte Verbindung ein. The shop system 130 of the merchant 110 causes the Internet payment gateway 140 to load a Java applet into the web browser 120 of the buyer 100 . The payment data are displayed to the buyer 100 in this. If the data is correct, the buyer 100 initiates payment by entering the credit card data and confirming with a click of the mouse. The Internet Payment Gateway 140 then reads in the order and payment data via an SSL-encrypted connection.

Nach Überprüfung der Bestelldaten verifiziert das Internet Payment Gateway 140 die vom Käufer 100 eingegangenen Daten mit denen des Händlers 110. Bei Übereinstimmung der Bestelldaten autorisiert das Internet Payment Gateway 140 die Kreditkarte beim Acquirer 150, also der Kreditkartenakzeptanzstelle des Händlers, d. h. die Gültigkeit der Karte, der Verfügungsrahmen und eventuelle Sperrungen werden überprüft. Nach erfolgreicher Autorisierung sendet das Internet Payment Gateway 140 die Freigabenachricht an den Käufer 100 und den Händler 110. After checking the order data, the Internet Payment Gateway 140 verifies the data received from the buyer 100 with that of the merchant 110 . If the order data match, the Internet Payment Gateway 140 authorizes the credit card at the acquirer 150 , that is the merchant's credit card acceptance point, ie the validity of the card, the availability limit and any blockings are checked. After successful authorization, the Internet Payment Gateway 140 sends the release message to the buyer 100 and the merchant 110 .

Der Bezahlvorgang mittels GeldKarte im Internet wird unter Bezugnahme auf Fig. 2 näher erläutert. Bei der von der Deutschen Kreditwirtschaft institutsübergreifend verwendeten GeldKarte wird auf einem Chip eine im voraus zu bezahlende Zahlungseinheit gespeichert, mit der Waren und Dienstleistungen quasi vom Chip bezahlt werden können. Bevor mit der GeldKarte bezahlt wird, muss der Karteninhaber die Karte an einem Ladeterminal auffüllen. Der Händler benötigt eine Händlerkarte, die die Verbindung zum Geschäftsgirokonto enthält, das bei dem kartenausgebenden Kreditinstitut geführt wird. Diese Händlerkarte muss der Händler der GeldKarte-Akzeptanzstelle bzw. dem Payment-Gateway-Betreiber für die Inbetriebnahme und Durchführung für Internet-Zahlungen überlassen. The payment process using a money card on the Internet is explained in more detail with reference to FIG. 2. In the case of the GeldKarte used by the Deutsche Kreditwirtschaft across institutions, a prepaid payment unit is saved on a chip, with which goods and services can be paid for by the chip. Before paying with the GeldKarte, the cardholder must fill up the card at a loading terminal. The merchant needs a merchant card that contains the connection to the business checking account that is held with the card-issuing bank. The merchant must hand over this merchant card to the GeldKarte acceptance point or the payment gateway operator for commissioning and implementation for Internet payments.

Für das Auslesen der GeldKarte beim Käufer 100 ist ein Chipkartenleser erforderlich, der mit unterschiedlichen Schnittstellen für Personalcomputer erhältlich ist. Ferner benötigt der Käufer 100 eine spezielle Software, eine sogenannte GeldKarte-Anwendung 200. Der Händler 110 benötigt neben seinem Webserver/Shopsystem 130 mit der Shopsoftware für den Bestellprozess ein GeldKarte-kompatibles Kassensystem 210 mit einer sogenannten GeldKarte-Kassette für den Zahlungsprozess. To read the GeldKarte from buyer 100 , a chip card reader is required, which is available with different interfaces for personal computers. Furthermore, the buyer 100 needs special software, a so-called money card application 200 . In addition to his web server / shop system 130 with the shop software for the ordering process, the merchant 110 needs a cash card-compatible cash register system 210 with a so-called money card cassette for the payment process.

Zunächst stellt der Käufer 100 seine Produkte mittels Internetbrowser 120 in den Warenkorb auf dem Webserver/Shopsystem 130 des Händlers 110. Der Käufer 100 schließt dann den Bestellprozess ab. Daraufhin veranlasst das Kassensystem 210 des Händlers 110, dass vom Internet Payment Gateway 220 ein Java-Applet in den Webbrowser 120 des Käufers 100 geladen wird. Darin werden dem Käufer 100 die Zahlungsdaten angezeigt, und wenn die Daten stimmen, legt der Käufer 100 die GeldKarte in das Chipkartenlesegerät ein und veranlasst die Bezahlung durch Bestätigung per Mausklick. Das Internet Payment Gateway 220 liest die Bestell- und Zahlungsdaten über eine SSL-verschlüsselte Verbindung ein und überprüft sicherheitshalber die Bestelldaten. Das Internet Payment Gateway 220 verifiziert die vom Käufer 100 eingegangenen Daten mit denen des Händlers 110 und veranlasst die Abbuchung auf der GeldKarte des Käufers 100 und die Gutschrift auf der Händlerkarte im Händlerterminal 230, wenn die Daten des Käufers 100 und Händlers 110 übereinstimmen. Nach erfolgreicher Buchung auf der Händlerkarte sendet das Internet Payment Gateway 220 die Freigabenachricht an den Händler 110. Dieser veranlasst dann die Auslieferung der Ware an den Käufer. First, the buyer 100 puts his products into the shopping cart on the web server / shop system 130 of the dealer 110 using an internet browser 120 . The buyer 100 then completes the ordering process. Thereupon, the checkout system 210 of the merchant 110 causes the Internet payment gateway 220 to load a Java applet into the web browser 120 of the buyer 100 . The payment data are displayed to the buyer 100 , and if the data is correct, the buyer 100 inserts the money card into the chip card reader and initiates the payment by confirmation with a click of the mouse. The Internet Payment Gateway 220 reads in the order and payment data via an SSL-encrypted connection and checks the order data for security reasons. The Internet Payment Gateway 220 verifies the data received from the buyer 100 with that of the merchant 110 and initiates the debiting on the buyer's money card 100 and the credit on the merchant card in the merchant terminal 230 if the data of the buyer 100 and merchant 110 match. After successful booking on the merchant card, the Internet Payment Gateway 220 sends the release message to the merchant 110 . This then arranges for the delivery of the goods to the buyer.

Das Zahlungssystem mit GeldKarte umfasst ferner Evidenzzentralen 240, die wesentliche Funktionen zur Gewährleistung der Systemsicherheit und bei der Abwicklung des Zahlungsverkehrs wahrnehmen. Daneben übernehmen sie Aufgaben bei der Verrechnung der verschiedenen Entgelte und bei der Reklamationsbearbeitung. Je nach ihrer Aufgabenstellung bei der Abwicklung des Zahlungsverkehrs agiert eine Evidenzzentrale als Händler- Evidenzzentrale oder als Karten-Evidenzzentrale, je nachdem ob die Evidenzzentrale von Händlerbanken oder einem Kartenherausgeber beauftragt worden ist. Eine Evidenzzentrale kann gleichzeitig Händler- und Karten-Evidenzzentrale sein. Die Evidenzzentralen übernehmen auch die Funktion einer Clearingzentrale, d. h. sie werden regelmäßig, z. B. einmal täglich, über die am Händlerterminal eingegangenen Zahlungen vom Internet Payment Gateway 220 informiert und veranlassen die Verbuchung an den Händler 110. The payment system with GeldKarte also includes evidence centers 240 , which perform essential functions to ensure system security and process payment transactions. In addition, they take on tasks in charging the various fees and processing complaints. Depending on its task in handling payment transactions, an evidence center acts as a merchant evidence center or as a card evidence center, depending on whether the evidence center has been commissioned by merchant banks or a card issuer. An evidence center can be a merchant and card evidence center at the same time. The Evidence Centers also take on the function of a clearing center. B. once a day, informed about the payments received at the dealer terminal by the Internet Payment Gateway 220 and initiate the booking to the dealer 110 .

Unter den einsetzbaren Bezahlverfahren ist das derzeit sicherste System für Händler und Käufer die Kreditkartenzahlung via SET. SET bezeichnet das Secure-Electronic- Transaction-Protokoll, das gemeinsam von Visa, MasterCard und weiteren führenden IT- Unternehmen entwickelt worden ist. SET ist ein offener Standard für eine sichere Kreditkartenzahlung über unsichere Netzwerke, wobei durch Kryptographie die Vertraulichkeit, Zahlungsintegrität und Händler- bzw. Kartenhalteridentität gesichert werden. Außerdem gewährleistet SET eine größtmögliche Kompatibilität auf allen Plattformen. Im Protokoll enthalten sind alle Aktionen eines Kaufvorgangs von der Bestellung bis zur Quittung und außerdem auch die Anmeldungsprozeduren für das Ausstellen von Zertifikaten. Among the payment methods that can be used is currently the safest system for retailers and Buyer's credit card payment via SET. SET denotes the Secure Electronic Transaction protocol, which is shared by Visa, MasterCard and other leading IT Company has been developed. SET is an open standard for a safe Credit card payments over insecure networks, whereby cryptography increases confidentiality, Payment integrity and merchant or cardholder identity are secured. Moreover SET ensures the greatest possible compatibility on all platforms. In the log all actions of a purchase process are included from the order to the receipt and also the registration procedures for issuing certificates.

Das Bezahlverfahren über Kreditkarte via SET wird mit Bezugnahme auf Fig. 3 näher erläutert. Der Käufer 100 verfügt neben einem Webbrowser 120 über eine gültige Kreditkarte und ein SET-Kundenzertifikat. Ferner verfügt der Käufer 100 über eine passwortgeschützte elektronische Geldbörse, die sogenannte Wallet 300. Die SET-Wallet 300 ist eine Browseranwendung, in der SET-Zertifikate abgerufen und aufbewahrt sowie Kreditkartendaten und durchgeführte SET-Transaktionen verwaltet werden können. Der Händler 110 benötigt zusätzlich zu seinem Webserver bzw. Shopsystem 130 ein SET-Kassensystem 310, das eine elektronische Händlerkasse darstellt, mit der alle notwendigen Zahlungsparameter zur Abwicklung des SET-Zahlungsvorgangs weitergeleitet werden und zudem das Händlerzertifikat verwaltet wird. Ferner benötigt der Händler einen Kreditkartenakzeptanzvertrag und ein SET-Händlerzertifikat. The payment method via credit card via SET is explained in more detail with reference to FIG. 3. In addition to a web browser 120, the buyer 100 has a valid credit card and a SET customer certificate. The buyer 100 also has a password-protected electronic wallet, the so-called wallet 300 . The SET Wallet 300 is a browser application in which SET certificates can be called up and stored, and credit card data and SET transactions carried out can be managed. In addition to his web server or shop system 130, the merchant 110 also needs a SET cash register system 310 , which is an electronic retail cash register, with which all the necessary payment parameters for processing the SET payment process are forwarded and the merchant certificate is also administered. The merchant also needs a credit card acceptance contract and a SET merchant certificate.

Zunächst stellt der Käufer 100 seine Produkte mittels Browser 120 in den Warenkorb auf dem Webserver/Shopsystem 130 des Händlers 110. Nach Abschluss des Bestellprozesses gehen beim Händler die Bestelldaten ein, und im Shopsystem 130 wird das SET- Kassensystem 310 angesprochen. Das Kassensystem 310 startet beim Käufer 100 die Wallet 300, die der Käufer 100 dann über die Eingabe des Passworts öffnet. First, the buyer 100 places his products in the shopping cart on the web server / shop system 130 of the dealer 110 using a browser 120 . After the completion of the ordering process, the order data is received by the dealer and the SET POS system 310 is addressed in the shop system 130 . The checkout system 310 starts the wallet 300 at the buyer 100 , which the buyer 100 then opens by entering the password.

Der Käufer 100 wählt dann in der Wallet 300 seine Kreditkarte aus. Das Kassensystem 310 zeigt dem Käufer 100 daraufhin den Namen und die Adresse aus dem SET-Zertifikat des Händlers an. Der Käufer 100 bestätigt die Zahlung, woraufhin die Zahlungsdaten mit dem Käuferzertifikat an das SET-Kassensystem 310 übermittelt werden. The buyer 100 then selects his credit card in the wallet 300 . The checkout system 310 then shows the buyer 100 the name and address from the retailer's SET certificate. The buyer 100 confirms the payment, whereupon the payment data with the buyer certificate are transmitted to the SET cash register system 310 .

Daraufhin leitet das Kassensystem 310 die Zahlungsdaten und die Zertifikate des Käufers 100 und des Händlers 110 an das Internet Payment Gateway 320 weiter, das die SET- Zertifikate von Käufer 100 und Händler 110 überprüft und die Kreditkarte beim Acquirer 330 autorisiert, d. h. es werden insbesondere die Gültigkeit der Karte, der Verfügungsrahmen und eventuelle Sperrungen überprüft. Nach erfolgreicher Autorisierung sendet das Internet Payment Gateway 320 die Freigabenachricht an den Käufer 100 und den Händler 110. The cash register system 310 then forwards the payment data and the certificates of the buyer 100 and the merchant 110 to the Internet Payment Gateway 320 , which checks the SET certificates of the buyer 100 and merchant 110 and authorizes the credit card at the acquirer 330 , ie in particular the The validity of the card, the availability limit and any blockages checked. After successful authorization, the Internet Payment Gateway 320 sends the release message to the buyer 100 and the dealer 110 .

Die erwähnten Bezahlverfahren sind für sich genommen bereits sichere und für Käufer und Händler zufriedenstellende Internetzahlsysteme, sie unterscheiden sich jedoch nicht nur in den technischen Voraussetzungen sondern auch im Ablauf des Bezahlvorgangs und in den für Käufer wie Händler relevanten Sicherheits- und Komfortmerkmalen. The payment methods mentioned are already secure in themselves and for buyers and Retailers have satisfactory Internet payment systems, but they do not only differ in the technical requirements but also in the course of the payment process and in the safety and comfort features relevant to buyers and dealers alike.

Das Bezahlverfahren Kreditkarte via SSL ist insbesondere für Spontankäufe im Internet geeignet, da es auf Käuferseite einfach bedienbar ist und der Käufer im Rahmen seines Kreditkartenlimits in beliebiger Höhe einkaufen kann. Sicherheit wird durch 128-Bit- Verschlüsselung gewährleistet, und es bestehen die weiteren Vorteile, dass auf Händlerseite die vorhandenen Autorisierungs- und Clearingstrukturen genutzt werden können und weder beim Käufer noch beim Händler eine Zertifizierung erforderlich ist. Die Kreditkartendaten sind für den Händler nicht transparent. Allerdings besteht keine Zahlungsgarantie für den Händler von Seiten der Acquirer. Andererseits ist für den Käufer die Existenz des Händlers nicht nachvollziehbar. The credit card payment method via SSL is especially for spontaneous purchases on the Internet Suitable because it is easy to use on the buyer side and the buyer within the scope of his Can buy credit card limits of any amount. Security is provided by 128-bit Encryption ensures, and there are other advantages to that The existing authorization and clearing structures can be used by the dealer and neither the buyer nor the dealer needs certification. The Credit card details are not transparent to the merchant. However, there is no payment guarantee for the dealer on the part of the acquirers. On the other hand, the existence of the Dealer not understandable.

Das Bezahlverfahren mittels GeldKarte zeichnet sich insbesondere dadurch aus, dass keine Zahlungsausfälle wegen unzureichender Bonität des Karteninhabers auftreten können, da das Zahlungsmittel vorausbezahlt ist und Zahlungen unmittelbar wirksam werden. Die Gutschrift erfolgt auf Händlerseite direkt, und der Käufer und Karteninhaber kann bis maximal 400,00 DM anonym einkaufen. Sicherheit wird wieder durch 128-Bit-Verschlüsselung gewährleistet, und die vorhandenen Clearingstrukturen auf der Händlerseite können genutzt werden. The payment method using a GeldKarte is characterized in particular by the fact that no payment defaults can occur due to insufficient creditworthiness of the cardholder, as the means of payment is prepaid and payments take effect immediately. The Credit is made directly on the merchant side, and the buyer and cardholder can until Buy a maximum of 400.00 DM anonymously. Security is back through 128-bit encryption guaranteed, and the existing clearing structures on the dealer side can be used.

Bei dem Bezahlverfahren Kreditkarte via SET ist die Unversehrtheit und Nichtveränderbarkeit der übermittelten Daten durch digitale Signaturen garantiert, und durch Zertifizierungen kann jeder Händler, jeder Käufer sowie der Payment-Gateway-Betreiber eindeutig identifiziert werden. Der Käufer kann im Rahmen seines Kreditkartenlimits in beliebiger Höhe einkaufen, und der Händler erhält Zahlungsgarantie aufgrund der Signatur der Transaktion durch das Käuferzertifikat. Vorhandene Autorisierungs- und Clearingstrukturen können auf Händlerseite wiederum genutzt werden, wobei die Datensicherheit durch 128-Bit- Verschlüsselung gewährleistet wird. Die Kreditkartenzahlung via SET bietet im Vergleich zur Kreditkartenzahlung via SSL insbesondere für Händler ein höheres Maß an Sicherheit. In the credit card payment process via SET, the integrity and Non-changeability of the transmitted data guaranteed by digital signatures and by certifications Every retailer, every buyer as well as the payment gateway operator can be unique be identified. The buyer can use any amount within his credit card limit shop and the merchant receives payment guarantee based on the signature of the transaction through the buyer's certificate. Existing authorization and clearing structures can be based on Dealer side can be used in turn, with data security through 128-bit Encryption is guaranteed. The credit card payment via SET offers in comparison a higher level of security for credit card payments via SSL, especially for merchants.

Keines der erwähnten Bezahlverfahren konnte im Internetzahlverkehr bislang die konkurrierenden Bezahlverfahren vollständig verdrängen. Aufgrund der unterschiedlichen Merkmale eignen sich zudem einzelne Bezahlverfahren für bestimmte Zahlvorgänge besser als andere, die wiederum in anderen Gebieten zu bevorzugen sind. Es muss daher davon ausgegangen werden, dass auch künftig eine Vielzahl von verschiedenen Bezahlverfahren im Internet-Zahlungsverkehr parallel bestehen bleiben. So far, none of the payment methods mentioned have been able to do so in Internet payments to completely replace competing payment methods. Because of the different characteristics Individual payment methods are also better suited for certain payment transactions than others that are preferred in other areas. So it has to be it is assumed that a large number of different payment methods will continue to be used in the future Internet payments will remain in parallel.

Dieser Umstand führt jedoch insbesondere auf Händlerseite zu der Notwendigkeit, eine Vielzahl von Bezahlverfahren anzubieten und die nötigen technischen Vorrichtungen einzurichten und zu unterhalten. Dies ist für die Händler mit einem nicht unbeträchtlichen technischen Aufwand verbunden. Insbesondere benötigt der Händler im Stand der Technik Hard- und Software zur Bearbeitung von Transaktionen entweder im Shop oder mittels einer eigens hierfür programmierten Administrationsoberfläche. Aufgrund der Vielzahl verschiedener Bezahlverfahren ist der Händler zudem gezwungen, seine Anwendungen auf eine Vielzahl von Providern abzustimmen, was insbesondere die Umsetzung mehrerer verschiedener Datenschnittstellen zur Folge hat. However, this fact leads to the need, especially on the dealer side, for one Offer a variety of payment methods and the necessary technical devices to set up and maintain. This is for the dealers with a not inconsiderable technical effort connected. In particular, the dealer in the prior art needs hardware and software for processing transactions either in the shop or using a Administration interface specially programmed for this. Because of the variety various payment methods, retailers are also forced to use their applications on one Large number of providers to coordinate, in particular the implementation of several different data interfaces.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Webservers als Kassensystem zur Durchführung eines Bezahlvorgangs im Internet anzugeben, sowie einen zugehörigen Webserver, die auf Händlerseite einen verringerten technischen Aufwand zur Unterstützung verschiedener Bezahlverfahren erfordern. The invention is therefore based on the object of a method for operating a Specify web server as cash register system for carrying out a payment process on the Internet, and an associated web server, which on the dealer side has a reduced technical Require effort to support various payment methods.

Diese Aufgabe wird durch die in den unabhängigen Ansprüchen angegebene Erfindung gelöst. This object is achieved by the invention specified in the independent claims solved.

Die Erfindung stellt eine einfache Paymentschnittstelle an alle marktgängigen Shopsysteme zur Verfügung und ermöglicht somit ein komplettes Outsourcing der Abwicklung von Bezahlvorgängen für den Händler. Der erfindungsgemäße Webserver stellt somit in vorteilhafter Weise ein einziges Kassensystem für eine Vielzahl von Bezahlverfahren dar, so dass sich die verfügbaren und marktgängigen Bezahlverfahren über nur einen Paymentprovider bündeln lassen. The invention provides a simple payment interface to all common shop systems available and thus enables a complete outsourcing of the processing of Payment processes for the retailer. The web server according to the invention thus represents advantageously represents a single checkout system for a variety of payment methods, so that the available and marketable payment methods through only one payment provider bundle.

Neben dem Umstand, dass der Händler nahezu keinen technischen Aufwand zur Unterstützung einer Vielzahl von Bezahlverfahren zu leisten hat, ist das erfindungsgemäße Internetbezahlsystem vorteilhaft, da es für den Händler komfortabel und bequem, einfach und benutzerfreundlich handzuhaben ist und zudem preisgünstig angeboten werden kann. In addition to the fact that the dealer has almost no technical effort to The support according to the invention is to support a large number of payment methods Internet payment system advantageous as it is convenient and easy, simple and convenient for the merchant is easy to use and can also be offered inexpensively.

Die Erfindung ist zudem vorteilhaft, da sie einfach zu implementieren ist. Der Händler braucht die Anpassung seines Shopsystems lediglich einmal vorzunehmen und kann fortan alle vom Paymentprovider angebotenen Bezahlverfahren unterstützen. Zudem kann der Händler seinen Kunden auch zukünftige Bezahlverfahren anbieten, wobei hierfür eine erneute Anpassung des Shopsystems nicht erforderlich ist. The invention is also advantageous because it is easy to implement. The dealer needs to adjust his shop system only once and can from now on support all payment methods offered by the payment provider. In addition, the Merchants also offer their customers future payment methods, one for this readjustment of the shop system is not necessary.

Bevorzugte Ausgestaltungen der Erfindung sind in den Unteransprüchen angegeben. Preferred embodiments of the invention are specified in the subclaims.

Enthält die Bezahlanfrage eine Versionsnummer der Schnittstelle, so wird hierdurch in vorteilhafter Weise eine beliebige Änderbarkeit der Kassensystemschnittstelle ohne zwingenden Anpassungsaufwand bei den Shopsystemen der Händler ermöglicht. Somit können Händler die Schnittstelle in einer bisherigen Version weiterverwenden und bei der vorherigen Version verbleiben, während andere Händler bereits die geänderte Version nutzen. If the payment request contains a version number of the interface, this means that in advantageously any changeability of the POS system interface without imperative adjustment effort in the shop systems of the dealers. So you can Dealers continue to use the interface in a previous version and at the previous version remain, while other retailers are already using the changed version.

Enthält die Bezahlanfrage eine Bestellnummer, so wird hierdurch der Händler in vorteilhafter Weise in die Lage versetzt, im Back-Office oder über Antwort-URL-Seiten Statusinformationen bzw. Rückmeldungen zu erhalten, die er einzelnen Transaktionen zuordnen kann. If the payment request contains an order number, the dealer will be in advantageously enabled in the back office or via response URL pages Receive status information or feedback, which he can assign to individual transactions.

Enthält die Bezahlanfrage einen Authentifizierungscode unter Einbeziehung eines dem Käufer nicht bekannten Händlerschlüssels, so wird hierdurch in vorteilhafter Weise die Fälschungssicherheit von Transaktionen erhöht, da sich eine zusätzliche Überprüfungsmöglichkeit ergibt, die nur dem Händler und dem Kassensystem offensteht. Does the payment request contain an authentication code including one? Buyers not known dealer key, so this will be advantageous Counterfeit protection of transactions increases as there is an additional Verification possibility results that is only open to the retailer and the cash register system.

Wird vom Händler eine Antwort-URL angegeben, die eine Internetseite angibt, die dem Käufer bei Abschluss des Bezahlvorgangs angezeigt wird, und wird diese Antwort-URL vom Webserver um eine Transaktionsnummer erweitert, so wird der Händler hierdurch in vorteilhafter Weise in die Lage versetzt, den Abschluss des Bezahlvorgangs einer Transaktion zuzuordnen. If the retailer provides a response URL that specifies a website that the Will appear when the buyer completes the payment, and will receive this response URL from Web server expanded by a transaction number, the trader is thereby in advantageously able to complete the payment process of a transaction assigned.

Wird diese Antwort-URL um einen Authentifizierungscode, insbesondere unter Einbeziehung eines geheimen Händlerschlüssels, erweitert, so wird hiermit die Fälschungssicherheit in vorteilhafter Weise erhöht. If this response URL is an authentication code, especially under Inclusion of a secret dealer key, expanded, so the counterfeit security is hereby advantageously increased.

Diese dynamischen Antwortseiten, die bei jeder Bezahlung übergeben werden können, erlauben dem Händler in vorteilhafter Weise, jederzeit seine aktuellsten Produkte einzustellen oder dem Käufer weitere Informationen zukommen zu lassen. These dynamic answer pages that can be handed over with every payment, allow the dealer to put his latest products at any time in an advantageous manner or to provide the buyer with further information.

Umfasst der Webserver ferner das Payment Gateway, ergibt sich hierdurch in vorteilhafter Weise, dass sowohl das Kassensystem als auch das Payment Gateway vom selben Paymentprovider betrieben werden kann, der dann als Full Service Payment Provider auftritt. Hierdurch wird die Betriebssicherheit und Verarbeitungsgeschwindigkeit erhöht und es läßt sich ein hohes Sicherheitsniveau für den gesamten Transaktionsfluß realisieren. Andererseits werden die anfallenden Kosten reduziert und den Händlern ein System von erhöhtem Komfort geboten, da die Händler alle Lösungen aus einer Hand erhalten. Als Full Service Payment Provider können vorteilhafterweise technische Dienstleistungen wie z. B. der Abruf eines SET-Zertifikats und das Einspielen in das Internet-Kassensystem übernommen werden. Das Gesamtsystem ist ferner in der Lage, Daten für weiterverarbeitende Systeme beispielsweise auf Acquirerseite aufzubereiten. If the web server also includes the payment gateway, this advantageously results Way that both the POS system and the payment gateway from the same Payment provider can be operated, which then acts as a full service payment provider. This increases the operational reliability and processing speed and leaves it realize a high level of security for the entire transaction flow. On the other hand, the costs incurred are reduced and the dealers a system of increased Comfort is offered because the dealers receive all solutions from a single source. As a full service Payment providers can advantageously provide technical services such as B. the call a SET certificate and import into the Internet cash register system become. The overall system is also able to store data for further processing systems for example on the acquirer side.

In einer bevorzugten Ausgestaltung der Erfindung wird weiterhin in vorteilhafter Weise ein Back-Office-System für den Händler bereitgestellt, das dem Händler gestattet, jederzeit im Pollingverfahren die laufenden oder durchgeführten Transaktionen und deren Status sicher abzufragen. Ferner kann der Händler in einfacher und technisch unaufwendiger Weise beispielsweise die Weiterverarbeitung vorautorisierter Zahlungen veranlassen, Aufträge stornieren oder Gutschriften erteilen. In a preferred embodiment of the invention, an is also advantageously Back office system provided to the trader that allows the trader to operate at any time Polling procedures secure the current or executed transactions and their status query. Furthermore, the dealer can be done in a simple and technically uncomplicated manner For example, trigger the processing of pre-authorized payments, orders cancel or issue credit.

Die Erfindung wird nun unter Bezugnahme auf die beigefügten Zeichnungen näher erläutert, in denen: The invention will now become more apparent with reference to the accompanying drawings explains in which:

Fig. 1 ein Internetbezahlsystem zur Kreditkartenzahlung via SSL zeigt; Fig. 1 is an internet payment system for credit card payment via SSL shows;

Fig. 2 ein Internetbezahlsystem zur Zahlung mittels GeldKarte zeigt; Fig. 2 shows an internet payment system for payment by money card;

Fig. 3 ein Internetbezahlsystem zur Kreditkartenzahlung via SET zeigt; Fig. 3 is an internet payment system for credit card payment via SET shows;

Fig. 4 eine Ausgestaltung des erfindungsgemäßen Internetbezahlsystems zeigt; Fig. 4 shows a configuration of the Internet payment system according to the invention;

Fig. 5 ein Flussdiagramm eines Kaufprozesses ist; Figure 5 is a flowchart of a purchase process.

Fig. 6 ein Flussdiagramm des Bezahlprozesses gemäß einer bevorzugten Ausgestaltung der Erfindung ist; und Fig. 6 is a flowchart of the payment process according to a preferred embodiment of the invention; and

Fig. 7a und 7b Beispiele von Internetseiten im Back-Office zeigen. Fig. 7a and 7b examples of web pages in the back office show.

Die Erfindung wird im Folgenden in einem bevorzugten Ausführungsbeispiel unter Bezugnahme auf die Figuren näher erläutert. Wie Fig. 4 bereits anzusehen ist, bietet die Erfindung ein Kassensystem 400, das nicht Teil der Händlerhardware oder -software ist. Somit wird das Bezahlverfahren unabhängig von dem Webserver/Shopsystem 130 des Händlers 110 durchgeführt. The invention is explained in more detail below in a preferred embodiment with reference to the figures. As can be seen in FIG. 4, the invention provides a checkout system 400 that is not part of the merchant hardware or software. The payment method is thus carried out independently of the web server / shop system 130 of the dealer 110 .

Der Käufer 100 verfügt über einen Browser 120 sowie ggf. über eine GeldKarte-Anwendung 200 und/oder ein Wallet 300. Auf Händlerseite ist lediglich ein Webserver/Shopsystem 130 erforderlich. The buyer 100 has a browser 120 and possibly a money card application 200 and / or a wallet 300 . On the dealer side, only a web server / shop system 130 is required.

Das erfindungsgemäß als Webserver ausgestaltete, extern über das Internet angebundene Kassensystem 400 ist mit einem Internet Payment Gateway 140, 220, 320 verbunden und kann die in den Fig. 1 bis 3 gezeigten und oben diskutierten Bezahlverfahren abwickeln. The cash register system 400, which is designed as a web server and is externally connected via the Internet, is connected to an Internet Payment Gateway 140 , 220 , 320 and can handle the payment methods shown in FIGS. 1 to 3 and discussed above.

Das Kassensystem 400 basiert im bevorzugten Ausführungsbeispiel der Erfindung auf einem IBM-HTTP-Server auf der Grundlage eines der Betriebssysteme AIX, Linux, OS/390, OS/400, Sun Solaris, HP-UX oder Windows NT. Als Software kommt eine IBM-Payment- Manager-basierte Anwendung zum Einsatz. In the preferred exemplary embodiment of the invention, the cash register system 400 is based on an IBM HTTP server based on one of the operating systems AIX, Linux, OS / 390, OS / 400, Sun Solaris, HP-UX or Windows NT. An IBM Payment Manager-based application is used as software.

Der Kaufprozess in einem Internetbezahlsystem gemäß der Erfindung ist in Fig. 5 skizziert. Der Käufer 100 führt zunächst auf dem Webserver/Shopsystem 130 des Händlers 110 die Bestellung durch, d. h. er wählt im Internetshop die Waren oder Dienstleistungen aus (Schritt 500). Ist dieser Bestellprozess abgeschlossen, so wird der Bezahlprozess 510, der genauer in Fig. 6 dargestellt ist, durchgeführt. Anschließend liefert der Händler in Schritt 520 die Ware aus, wobei die Auslieferung beispielsweise in einem Softwaredownload bestehen kann. The purchase process in an Internet payment system according to the invention is outlined in FIG. 5. The buyer 100 first carries out the order on the web server / shop system 130 of the dealer 110 , ie he selects the goods or services in the Internet shop (step 500 ). Once this ordering process has been completed, the payment process 510 , which is shown in more detail in FIG. 6, is carried out. The dealer then delivers the goods in step 520 , the delivery being able to consist, for example, of a software download.

Der Bezahlprozess 510 beginnt zunächst mit der Übersendung 600 einer Bezahlanfrage vom Käufer 100 an das Kassensystem 400. Zu diesem Zwecke enthält die vom Webserver/Shopsystem 130 des Händlers 110 im Browser 120 des Käufers 100 dargestellte Webseite des Internetshops ein Formular, das beispielsweise einen Button "Bezahlen" aufweist. Ein Beispiel für den HTML-Code zur Umsetzung eines solchen Formulars ist nachfolgend dargestellt:


The payment process 510 first begins with the sending 600 of a payment request from the buyer 100 to the cash register system 400 . For this purpose, the website of the Internet shop displayed by the web server / shop system 130 of the dealer 110 in the browser 120 of the buyer 100 contains a form which has, for example, a "Pay" button. An example of the HTML code for implementing such a form is shown below:

Durch die Auswahl der Schaltfläche "Bezahlen" öffnet der aktive Browser 120 des Käufers 100 ein neues Browserfenster, das "Payment-Fenster", dem er als Startseite einen http- Request übergibt. Dieser Request enthält neben der Internetadresse (URL) des Paymentproviders, der das Kassensystem 400 unterhält, eine Reihe von Parametern, die mittels der POST-Methode übergeben werden. Dabei ist der Webserver 400 derart konfiguriert, dass alle Übertragungen einschließlich der http-Requests des Ports 80 durch eine SSL- Verschlüsselung von 128 Bit abgesichert sind. Eine Auflistung der obligatorischen wie optionalen Parameter ergibt sich aus der nachfolgenden Tabelle:




By selecting the "Pay" button, the active browser 120 of the buyer 100 opens a new browser window, the "payment window", to which he transfers an http request as the start page. In addition to the Internet address (URL) of the payment provider who maintains the cash register system 400 , this request contains a number of parameters which are transferred using the POST method. The web server 400 is configured such that all transmissions, including the http requests of port 80, are secured by 128-bit SSL encryption. The following table lists the mandatory and optional parameters:

Wie der Tabelle entnommen werden kann, enthält die Bezahlanfrage zwingend die folgenden Parameter: versionNumber, merchantNumber, orderNumber, amount, currency und MAC. As can be seen from the table, the payment request contains the following parameters: versionNumber, merchantNumber, orderNumber, amount, currency and MAC.

Die Versionsnummer versionNumber gibt die Version der Schnittstelle an und ändert sich beispielsweise bei technischen Weiterentwicklungen von Hard- oder Software oder der Aufnahme eines weiteren Bezahlverfahrens in das Kassensystem. Die Händlerkennung merchantNumber identifiziert den Händler eindeutig und wird einmal beim Einrichten eines Händlers in dem Kassensystem 400 von dem Paymentprovider festgelegt. Die Bestellnummer orderNumber wird vom Webserver/Shopsystem 130 des Händlers 110 vergeben und identifiziert den Vorgang je Händler eindeutig. Die Währungskennung currency wird vorzugsweise auf der Basis des ISO 4217 Currency Code ermittelt und ist in numerischer Form anzugeben. Der Authentifizierungscode MAC wird weiter unten näher beschrieben. The version number versionNumber indicates the version of the interface and changes, for example, in the event of further technical developments of hardware or software or the inclusion of another payment method in the POS system. The merchant identification number merchantNumber uniquely identifies the merchant and is set once by the payment provider when setting up a merchant in the cash register system 400 . The order number orderNumber is assigned by the web server / shop system 130 of the dealer 110 and uniquely identifies the process for each dealer. The currency identifier currency is preferably determined on the basis of the ISO 4217 Currency Code and is to be specified in numerical form. The authentication code MAC is described in more detail below.

Des weiteren kann die Bezahlanfrage verschiedene optionale Parameter enthalten, die der Händler 110 nach Belieben verwenden kann. Beispielsweise kann der Händler im Parameter orderDescription eine textuelle Beschreibung der Bestellung angeben, die zum Beispiel die Anzahl und Art der bestellten Artikel enthält. Ferner sind verschiedene Parameter vorgesehen, die der Händler mit Internetadressen belegen kann. Beispielsweise wird dem Käufer die durch Parameter cancelURL definierte Internetseite im Browserfenster angezeigt, wenn er einen laufenden Bezahlvorgang abbricht. Der Händler kann in diesem Parameter Daten codieren, beispielsweise im http-GET-Verfahren, um z. B. beim späteren Aufruf eine Zuordnung des Bezahlvorgangs zu einem Kauf zu ermöglichen. Dies kann sinnvoll sein, beispielsweise um die zugehörige Bestellung bzw. den Warenkorb zu löschen. Die durch serviceURL angegebene Internetseite wird dem Käufer im Browserfenster angezeigt, wenn er zu einer Transaktion "Service" wählt, um Dienstleistungen des Betreibers des Kassensystems 400 in Anspruch zu nehmen. Die durch successURL definierte Internetseite wird nach erfolgter Zahlung im ursprünglichen Browserfenster angezeigt. Der Händler 130 kann in diesem Parameter wiederum Daten codieren (http-GET), um zum Beispiel bei einem späteren Aufruf eine Zuordnung des Bezahlvorgangs zu einem Kauf zu ermöglichen. Der Aufruf dieser Internetseite kann auch als Auslöser für den Warenversand 520 dienen. Schließlich kann in dem Parameter failureURL eine Internetseite angegeben werden, die beim Auftreten von Fehlern im ursprünglichen Browserfenster des Käufers angezeigt wird. Der Shop kann wiederum in diesem Parameter Daten wie bereits beschrieben codieren, um z. B. bei einem späteren Aufruf eine Zuordnung des Bezahlvorgangs zu einem Kauf zu ermöglichen. Hierdurch kann der Händler 110 den Bestellvorgang intern abbrechen. Furthermore, the payment request may include various optional parameters that the merchant 110 can use as desired. For example, in the orderDescription parameter, the retailer can specify a textual description of the order, which contains, for example, the number and type of the items ordered. Various parameters are also provided, which the retailer can assign with Internet addresses. For example, the buyer will see the website defined by the cancelURL parameter in the browser window if he or she cancels an ongoing payment process. The dealer can encode data in this parameter, for example in the http-GET method, in order to e.g. B. to enable an assignment of the payment process to a purchase when called later. This can be useful, for example, to delete the corresponding order or shopping cart. The website indicated by serviceURL is displayed to the buyer in the browser window when he selects "Service" for a transaction in order to use the services of the operator of the cash register system 400 . The website defined by successURL is displayed in the original browser window after payment has been made. The merchant 130 can in turn encode data in this parameter (http-GET), for example to enable the payment process to be assigned to a purchase when called up later. Accessing this website can also serve as a trigger for the dispatch of goods 520 . Finally, a website can be specified in the failureURL parameter, which is displayed in the original browser window of the buyer when errors occur. The shop can in turn encode data in this parameter as already described, e.g. B. to enable an assignment of the payment process to a purchase when called later. This allows the dealer 110 to cancel the ordering process internally.

Codierung bedeutet in diesem Zusammenhang, dass der Händler die erwähnten URL- Parameter vorzugsweise auf Internetadressen richtet, die auf dem Webserver 130 des Händlers 110 liegen und durch deren Aufruf ein CGI-Skript gestartet wird, das die übergebenen Parameter verarbeitet und dem Käufer 100 anschließend eine dem Parameter entsprechende Rückmeldung liefert. Die URL-Parameter werden vorzugsweise in Verbindung mit Kreditkartenzahlungen via SET unterstützt, können aber in einem allgemeinen Ausführungsbeispiel auch in anderen Bezahlverfahren verwendet werden. In this context, coding means that the retailer preferably directs the URL parameters mentioned to Internet addresses that are located on the web server 130 of the retailer 110 and, when called up, starts a CGI script that processes the transferred parameters and then one for the buyer 100 provides feedback corresponding to the parameter. The URL parameters are preferably supported in connection with credit card payments via SET, but can also be used in other payment methods in a general exemplary embodiment.

In dem oben angegebenen Beispiel eines Formularcodes, der vom Webserver/Shopsystem 130 des Händlers 110 an den Browser 120 des Käufers 100 übermittelt wird, sind die obligatorischen Parameter versionNumber, merchantNumber, orderNumber, amount, currency und MAC enthalten. Hieraus ist ersichtlich, dass in dem gezeigten Beispiel die abzurechnende Summe 100 Euro beträgt. Neben den Pflichtparametern ist ferner der optionale Parameter successURL gesetzt, in dem vom Webserver/Shopsystem 130 zusätzlich der Parameter "param" mit dem Wert "123" codiert wurde. The above example of a form code that is transmitted from the web server / shop system 130 of the dealer 110 to the browser 120 of the buyer 100 contains the mandatory parameters versionNumber, merchantNumber, orderNumber, amount, currency and MAC. From this it can be seen that in the example shown the total amount to be settled is 100 euros. In addition to the mandatory parameters, the optional parameter successURL is also set, in which the web server / shop system 130 additionally codes the parameter "param" with the value "123".

Der Authentifizierungscode MAC ("Message Authentication Code") dient zur Absicherung der Integrität, also von Unversehrtheit und Nichtveränderbarkeit der übermittelten Daten, und der Authentizität der Nachricht. Es wird hierzu der SHA-1-Algorithmus ("Secure Hash Algorithm") verwendet, der eine kompakte und sichere Repräsentierung einer Nachricht darstellt. Wenn eine zu verarbeitende Nachricht eine Länge kleiner als 2⁶⁴ Bits aufweist, erzeugt der SHA-1-Algorithmus eine Ausgabe von 160 Bit. The authentication code MAC ("Message Authentication Code") is used to ensure the integrity, that is, the integrity and unchangeability of the transmitted data, and the authenticity of the message. For this purpose, the SHA-1 algorithm ("Secure Hash Algorithm") is used, which represents a compact and secure representation of a message. If a message to be processed is less than 2 ⁶⁴ bits in length, the SHA-1 algorithm produces an output of 160 bits.

In der bevorzugten Ausgestaltung der Erfindung wird als Eingabedaten für den SHA-1- Algorithmus eine Konkatenation der obligatorischen wie optionalen Parameter und einem mit dem Händler vereinbarten Schlüssel verwendet. Im vorliegenden, oben gezeigten Beispiel besteht die Konkatenation aus:
versionNumber+merchantNumber+orderNumber+orderDescription+amount +-+currency+cancelURL+serviceURL+successURL+failureURL+Händlerschlüssel,
wobei letzterer beispielhaft als "A0" ausgewählt worden ist. In the preferred embodiment of the invention, a concatenation of the mandatory and optional parameters and a key agreed with the dealer is used as input data for the SHA-1 algorithm. In the example shown above, the concatenation consists of:
versionNumber + merchantNumber + orderNumber + orderDescription + amount + - + currency + cancelURL + serviceURL + successURL + failureURL + merchant key,
the latter being selected as "A0" by way of example.

In der beschriebenen Weise wird dem bevorzugten Ausführungsbeispiel die in Fig. 6 genannte Bezahlanfrage 600 aufgebaut. Die obligatorischen sowie die vom Händler ausgewählten und in seinem Formularcode enthaltenen optionalen Parameter werden bei Betätigung der Schaltfläche "Bezahlen" durch den Käufer 100 vom Browser 120 an das Kassensystem 400 übermittelt, das im Formular durch das Feld ACTION angegeben ist. Das Kassensystem 400 führt zunächst eine Überprüfung der Vollständigkeit der Pflichtparameter sowie der syntaktischen Korrektheit der obligatorischen wie optionalen Parameter durch. Das Kassensystem überprüft sodann das Vorhandensein eines zur Händlerkennung merchantNumber korrespondierenden Händlers in einer im Kassensystem 400 enthaltenen Datenbank. Ferner überprüft das Kassensystem die orderNumber auf Eindeutigkeit, um zu verhindern, dass vom Händler für verschiedene Bestell- und Bezahlvorgänge ein und dieselbe Bestellnummer vergeben worden ist. Schließlich berechnet das Kassensystem 400 aus den übergebenen Parametern sowie dem Händlerschlüssel, der dem Kassensystem 400 bekannt ist, einen Authentifizierungscode MAC und überprüft, ob das Ergebnis mit dem als Parameter enthaltenen Wert MAC übereinstimmt. Schlägt eine der Überprüfungen fehl oder werden vom Händler keine Bezahlverfahren unterstützt, ist der in Fig. 6 gezeigte Bezahlprozess beendet und es erfolgt eine Fehlerabwicklung durch das Kassensystem 400. In the manner described, the payment request 600 shown in FIG. 6 is constructed in the preferred exemplary embodiment. The compulsory and chosen by the trader and the "Pay" button by the buyer 100 are transmitted from the browser 120 to the POS system 400 when operated in its form code contained optional parameter that is specified on the form by the field ACTION. The cash register system 400 first checks the completeness of the mandatory parameters and the syntactical correctness of the mandatory and optional parameters. The till system then checks for the presence of a dealer corresponding to merchantNumber in a database contained in the till system 400 . In addition, the POS system checks the orderNumber for uniqueness in order to prevent the merchant from assigning the same order number to different order and payment processes. Finally, the POS system 400 calculates an authentication code MAC from the transferred parameters and the merchant key, which is known to the POS system 400 , and checks whether the result corresponds to the value MAC contained as a parameter. If one of the checks fails or if the merchant does not support any payment methods, the payment process shown in FIG. 6 is ended and the cash register system 400 processes errors.

Bei erfolgreicher Überprüfung setzt das Kassensystem 400 den Prozess mit Schritt 610 fort, d. h. das Kassensystem zeigt dem Käufer im "Payment-Fenster" eine HTML-Seite an, auf der die vom Händler unterstützten Bezahlverfahren aufgelistet sind. Der Käufer wählt eines der angebotenen Bezahlverfahren aus und bestätigt seine Wahl. Alternativ hierzu kann er den Vorgang auch abbrechen, woraufhin das Kassensystem 400 die gemäß Parameter cancelURL definierte oder eine anderweitig standardmäßig vorgesehene Internetseite aufruft. If the check is successful, the checkout system 400 continues the process with step 610 , ie the checkout system displays an HTML page to the buyer in the "payment window", on which the payment methods supported by the merchant are listed. The buyer selects one of the payment methods offered and confirms his choice. As an alternative to this, he can also abort the process, whereupon the cash register system 400 calls up the Internet page, which is defined according to the cancelURL parameter or is otherwise provided as standard.

Hat der Käufer 100 ein vom Händler 110 unterstütztes Bezahlverfahren ausgewählt, beispielsweise Kreditkartenzahlung via SET oder SSL, Zahlung mittels GeldKarte oder durch elektronische Lastschrift oder Mobile Payment, wird in Schritt 620 das ausgewählte Bezahlverfahren gestartet. Der weitere Ablauf hängt daher vom ausgewählten Bezahlverfahren ab. If the buyer 100 has selected a payment method supported by the merchant 110 , for example credit card payment via SET or SSL, payment by money card or by electronic direct debit or mobile payment, the selected payment method is started in step 620 . The further process therefore depends on the selected payment method.

Wurde das Kreditkarten-SET-Verfahren ausgewählt, so erfolgt der Aufruf der SET-Wallet 300 des Käufers 100 durch das Kassensystem 400. Der Käufer meldet sich mit seinem Loginnamen und Passwort bei der SET-Wallet 300 an und wählt diejenige Kreditkarte, mit der er bezahlen möchte, aus. Im Falle einer Kreditkarten-SSL-Zahlung oder einer Zahlung mittels GeldKarte wird ein Java-Applet geliefert, in dem der Käufer 100 seine Kreditkartendaten eintragen muss. Der Käufer wird aufgefordert, seine Kreditkartendaten bei SSL-Zahlung einzugeben, bzw. die GeldKarte in das Chipkartenlesegerät einzulegen. Abschließend bestätigt er per Mausklick die Zahlung (Schritt 630). If the credit card SET method was selected, the SET wallet 300 of the buyer 100 is called up by the cash register system 400 . The buyer logs in to the SET-Wallet 300 with his login name and password and selects the credit card with which he wants to pay. In the case of a credit card SSL payment or a payment using a money card, a Java applet is supplied in which the buyer 100 has to enter his credit card data. The buyer is requested to enter his credit card details when paying with SSL or to insert the GeldKarte into the chip card reader. Finally, he confirms the payment with a mouse click (step 630 ).

Das Kassensystem 400 generiert eine Autorisierungsanfrage und sendet die Zahlungsdaten, das Zertifikat des Käufers und das Zertifikat des Händlers an das Internet Payment Gateway 140, 220, 320 weiter. Das Internet Payment Gateway 140, 220, 320, das vorzugsweise vom Paymentprovider des Kassensystems 400 betrieben wird, prüft die SET- Zertifikate von Käufer und Händler und autorisiert die Kreditkarte beim Acquirer 330. Die Überprüfung schließt unter anderem die Prüfung der Gültigkeit der Karte, des Verfügungsrahmens und einer eventuell vorliegenden Sperre ein. Nach erfolgreicher Autorisierung bestehen zwei Möglichkeiten bei einer Kreditkartenzahlung: Sofortabbuchung oder Vorautorisierung. Bei Sofortabbuchung wird das Geld vom Händler sofort automatisch über das Kassensystem 400 gutgeschrieben, z. B. als Zug-um-Zug-Geschäft beim Download von Software. Bei Vorautorisierung erfolgt die Gutschrift für den Händler erst dann, wenn der Händler die Abbuchung im Kassensystem angestoßen hat, z. B. wenn er die bestellte Ware nicht komplett vorrätig hat, aber Teillieferungen und -abbuchungen veranlassen möchte. Bei Zahlungen mittels GeldKarte erfolgt generell die Gutschrift direkt auf der Händlerkarte. The cash register system 400 generates an authorization request and forwards the payment data, the certificate of the buyer and the certificate of the merchant to the Internet Payment Gateway 140 , 220 , 320 . The Internet payment gateway 140 , 220 , 320 , which is preferably operated by the payment provider of the cash register system 400 , checks the SET certificates of the buyer and the dealer and authorizes the credit card with the acquirer 330 . The check includes, among other things, checking the validity of the card, the availability limit and any blocking that may be present. After successful authorization, there are two options for a credit card payment: direct debit or pre-authorization. In the case of immediate debiting, the money is automatically credited by the dealer via the cash register system 400 , e.g. B. as a turn-by-turn business when downloading software. In the case of pre-authorization, the merchant is only credited when the merchant has initiated the debit in the POS system, e.g. B. if he does not have the ordered goods completely in stock, but would like to arrange for partial deliveries and debits. When paying with a GeldKarte, the credit is generally made directly on the merchant card.

Ist die Abwicklung über das Internet Payment Gateway 140, 220, 320 in Schritt 640 abgeschlossen, wickelt das Kassensystem 400 in Schritt 650 die Bezahlung mit dem Käufer ab. Der Käufer erhält entweder in seiner SET-Wallet 300 oder im Java-Applet den Erfolg oder Nichterfolg seiner Zahlung angezeigt. Hierzu wird im "Payment-Fenster" die durch die Parameter successURL, failureURL oder cancelURL definierte Internetseite zum Abschluss des Bezahlvorgangs angezeigt. Wurde der entsprechende Parameter nicht vom Shop mit einem Wert belegt, verweist er auf eine statische, vom Paymentprovider des Kassensystems 400 bereitgestellte HTML-Seite. Bei einer erfolgreichen Transaktion wird die Internetadresse successURL aufgerufen. Bei nicht erfolgter Autorisierung oder bei aufgetretenen Fehlern erfolgt der Aufruf der Internetseite failureURL. Hat der Käufer den Bezahlvorgang abgebrochen, kommt es zum Aufruf von cancelURL. If the processing via the Internet payment gateway 140 , 220 , 320 is completed in step 640 , the cash register system 400 processes the payment with the buyer in step 650 . The buyer receives the success or failure of his payment either in his SET wallet 300 or in the Java applet. For this purpose, the website defined by the parameters successURL, failureURL or cancelURL is displayed in the "Payment Window" at the end of the payment process. If the corresponding parameter was not assigned a value by the shop, it refers to a static HTML page provided by the payment provider of the checkout system 400 . If the transaction is successful, the Internet address successURL is called. If authorization is not given or if errors occur, the failureURL website is called. If the buyer has canceled the payment process, cancelURL is called.

In einer bevorzugten Ausgestaltung der Erfindung werden die genannten URL-Parameter vom Händler-Shopsystem 130 mit Werten belegt. Das Kassensystem 400 erweitert diese URL-Parameter vor dem Aufruf um zwei Parameter: Die orderNumber der entsprechenden Transaktion sowie einen erneuten Authentifizierungscode MAC, der wiederum mittels des SHA-1-Algorithmus berechnet wird. Der erneute Authentifizierungscode MAC ergibt sich durch SHA-1-Codierung einer Konkatenation des entsprechenden URL-Parameters (successURL, failureURL oder cancelURL), der orderNumber und des Händlerschlüssels:
URL+orderNumber+Händlerschlüssel. In a preferred embodiment of the invention, the URL parameters mentioned are assigned values by the dealer shop system 130 . The cash register system 400 expands these URL parameters by two parameters before the call: the orderNumber of the corresponding transaction and a renewed authentication code MAC, which in turn is calculated using the SHA-1 algorithm. The renewed authentication code MAC results from SHA-1 coding of a concatenation of the corresponding URL parameter (successURL, failureURL or cancelURL), the orderNumber and the merchant key:
URL + orderNumber + merchant key.

Der Parameter successURL etc. kann auch um Statusinformationen ergänzt werden, um dem Händler unmittelbar und direkt diesbezügliche Informationen zukommen zu lassen. The parameter successURL etc. can also be supplemented with status information to provide the retailer with relevant information directly and directly.

Wird durch Aufruf der entsprechenden Internetseite auf dem Webserver/Shopsystem 130 des Händlers 110 ein CGI-Skript gestartet, kann der Händler 110 durch die Überprüfung des MAC sicherstellen, ob der Aufruf der Internetseite durch den Paymentprovider des Kassensystems 400 erfolgte oder von einem unberechtigten Dritten veranlasst wurde. If a CGI script is started by calling up the corresponding website on the web server / shop system 130 of the merchant 110 , the merchant 110 can check by checking the MAC whether the access to the website was made by the payment provider of the checkout system 400 or initiated by an unauthorized third party has been.

In einer bevorzugten Ausgestaltung der Erfindung unterstützt das Kassensystem 400 bei Zahlungen mit Kreditkarte via SET sowohl 2kp- als auch 3kp-Zahlungen. Bei 3kp- Zahlungen sind Käufer 100, Händler 110 und Internet Payment Gateway 320 im Besitz eines SET-Zertifikats. Bei 2kp-Zahlungen verwendet der Käufer 100 zwar eine SET-Wallet 300, hat aber kein eigenes Zertifikat installiert. In a preferred embodiment of the invention, the cash register system 400 supports both 2kp and 3kp payments for payments by credit card via SET. With 3kp payments, buyer 100 , merchant 110 and Internet Payment Gateway 320 are in possession of a SET certificate. For 2kp payments, buyer 100 uses a SET wallet 300 , but has not installed his own certificate.

Wie aus der vorhergehenden Beschreibung der Erfindung ersichtlich ist, wird der Händler vom Bezahlvorgang vollständig entlastet, kann aber gleichwohl eine Vielzahl von unterschiedlichen Bezahlsystemen anbieten, ohne hierfür die technischen Mittel bereitstellen zu müssen. Um dem Händler 110 gleichwohl die Kontrolle über den Bezahlvorgang zu ermöglichen, stellt in einer bevorzugten Ausgestaltung der Erfindung das Kassensystem 400 alle relevanten Daten über eine gesicherte Internetverbindung dem Händler 110 im Pollingverfahren zur Verfügung, so dass sich der Händler über bereits abgelaufene sowie derzeit ablaufende Vorgänge jederzeit informieren und in diese auch eingreifen kann. Beispielsweise kann der Händler jederzeit sicher abfragen, ob eine Transaktion erfolgreich abgeschlossen wurde. Hierzu benötigt der Händler lediglich einen handelsüblichen Browser, der die Interaktion mit dem Kassensystem 400 ermöglicht. As can be seen from the preceding description of the invention, the merchant is completely relieved of the payment process, but can nevertheless offer a large number of different payment systems without having to provide the technical means for this. In order to nevertheless enable the merchant 110 to control the payment process, in a preferred embodiment of the invention, the cash register system 400 makes all relevant data available to the merchant 110 in a polling process via a secure Internet connection, so that the merchant is informed about processes that have already expired and are currently taking place can inform and intervene at any time. For example, the trader can safely query at any time whether a transaction has been successfully completed. To do this, the retailer only needs a commercially available browser that enables interaction with the cash register system 400 .

Mittels dieser auch als Back-Office beschreibbaren Schnittstelle für den Händler wird der Händler in die Lage versetzt, Zahlungsverarbeitungen zu genehmigen, zu buchen, abzurechnen sowie Aufträge zu suchen und Berichte zu erstellen. Hierzu werden dem Händler nach Eingabe eines Passwortes Internetseiten dargestellt, die in tabellarischer Form alle notwendigen Informationen enthalten und einen Eingriff durch den Händler ermöglichen. Insbesondere kann der Händler bei Kauftransaktionen, die nicht automatisch initiiert sind (Sofortabbuchung), sondern lediglich vorautorisiert werden, die Genehmigung erteilen, d. h. den Auftrag per Hand buchen und freigeben. Auch für Teilbuchungen kann der Händler seine Genehmigung geben. Using this interface, which can also be described as a back office for the dealer Enables merchants to approve, book, and process payments invoicing, searching for orders and generating reports. For this, the dealer After entering a password, web pages are displayed, all in tabular form contain the necessary information and allow intervention by the dealer. In particular, the trader can use purchase transactions that are not automatically initiated (Immediate debit), but only be pre-authorized, grant approval, d. H. Book and release the order by hand. The dealer can also make partial bookings to give his approval.

Für das dem Händler im Back-Office präsentierte Informationsangebot sind in Fig. 7a und Fig. 7b Beispiele entsprechender Internetseiten gezeigt. Mit der in Fig. 7a gezeigten Internetseite erhält der Händler eine Aufstellung der aktiven Transaktionen, von denen er einzelne zur Bearbeitung auswählen kann. Für die ausgewählten Aufträge erscheint dann die in Fig. 7b gezeigte Seite mit detaillierten Angaben über den Status der Buchung, Genehmigung, Autorisierung, Authentifizierung und den Ablauf des Bezahlvorgangs. Entsprechende Internetseiten analog zu denen in Fig. 7a und Fig. 7b sind vorzugsweise auch für die anderen Back-Office-Optionen vorgesehen. For the merchant back-office information presented offer 7b Examples of appropriate web pages are shown in FIGS. 7a and Fig. Is. With the website shown in FIG. 7a, the trader receives a list of the active transactions, from which he can select individual ones for processing. The page shown in FIG. 7b then appears for the selected orders with detailed information about the status of the booking, approval, authorization, authentication and the course of the payment process. Corresponding Internet pages analogous to those in Fig. 7a and Fig. 7b are preferably provided also for the other back-office options.

Claims (24)

1. Verfahren zum Betreiben eines Webservers (400) als Kassensystem zur Durchführung eines Bezahlvorgangs (510) im Internet, wobei das Verfahren die folgenden Schritte umfasst:
Entgegennehmen (600) einer Bezahlanfrage von einem Käufer (100) über das Internet, wobei die Bezahlanfrage wenigstens eine Händlerkennung (merchantNumber) sowie Kaufpreisdaten (amount, currency) enthält;
Ermitteln (610) der Bezahlverfahren, die vom durch die Händlerkennung identifizierten Händler (110) unterstützt werden;
Auswählen (610) eines der ermittelten Bezahlverfahren; und
Abwickeln (620, 630, 640) des ausgewählten Bezahlverfahrens über ein Payment Gateway (140, 220, 320). 1. A method for operating a web server ( 400 ) as a cash register system for carrying out a payment process ( 510 ) on the Internet, the method comprising the following steps:
Receiving ( 600 ) a payment request from a buyer ( 100 ) via the Internet, the payment request containing at least a merchant number (merchantNumber) and purchase price data (amount, currency);
Determining ( 610 ) the payment methods supported by the merchant ( 110 ) identified by the merchant identifier;
Selecting ( 610 ) one of the determined payment methods; and
Processing ( 620 , 630 , 640 ) of the selected payment method via a payment gateway ( 140 , 220 , 320 ). 2. Verfahren nach Anspruch 1, wobei als Bezahlverfahren die Kreditkartenzahlung via SET unterstützt wird. 2. The method according to claim 1, wherein the payment method is credit card payment via SET is supported. 3. Verfahren nach Anspruch 1 oder 2, wobei als Bezahlverfahren die Kreditkartenzahlung via SSL unterstützt wird. 3. The method according to claim 1 or 2, wherein the payment method Credit card payment via SSL is supported. 4. Verfahren nach einem der Ansprüche 1 bis 3, wobei als Bezahlverfahren die Zahlung mittels GeldKarte unterstützt wird. 4. The method according to any one of claims 1 to 3, wherein the payment method Payment by money card is supported. 5. Verfahren nach einem der Ansprüche 1 bis 4, wobei als Bezahlverfahren die Zahlung mittels elektronischer Lastschrift unterstützt wird. 5. The method according to any one of claims 1 to 4, wherein the payment method Payment by electronic direct debit is supported. 6. Verfahren nach einem der Ansprüche 1 bis 5, wobei als Bezahlverfahren die Zahlung mittels Mobile Payment unterstützt wird. 6. The method according to any one of claims 1 to 5, wherein the payment method Payment using mobile payment is supported. 7. Verfahren nach einem der Ansprüche 1 bis 6, wobei die Bezahlanfrage ferner eine Versionsnummer (versionNumber) der Schnittstelle zwischen Käufer (100) und Kassensystem (400) umfasst. 7. The method according to any one of claims 1 to 6, wherein the payment request further comprises a version number (versionNumber) of the interface between buyer ( 100 ) and cash register system ( 400 ). 8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die Bezahlanfrage ferner eine vom Händler (110) vergebene Bestellnummer (orderNumber) umfasst. 8. The method according to any one of claims 1 to 7, wherein the payment request further comprises an order number assigned by the dealer ( 110 ) (orderNumber). 9. Verfahren nach einem der Ansprüche 1 bis 8, wobei die Bezahlanfrage ferner einen Authentifizierungscode (MAC) enthält, der unter Einbeziehung eines dem Käufer (100) nicht bekannten Händlerschlüssels berechnet worden ist. 9. The method according to any one of claims 1 to 8, wherein the payment request further includes an authentication code (MAC), which has been calculated using a dealer key unknown to the buyer ( 100 ). 10. Verfahren nach Anspruch 9, wobei der Authentifizierungscode nach dem SHA-1- Algorithmus berechnet worden ist. 10. The method of claim 9, wherein the authentication code according to the SHA-1- Algorithm has been calculated. 11. Verfahren nach einem der Ansprüche 1 bis 10, wobei die Bezahlanfrage ferner eine Internetadresse (cancelURL, successURL, failureURL) enthält, die eine Internetseite angibt, die dem Käufer angezeigt wird, wenn er den Bezahlvorgang abgebrochen hat oder die Zahlung erfolgreich abgeschossen wurde oder die Zahlung nicht abgeschlossen werden konnte. 11. The method according to any one of claims 1 to 10, wherein the payment request further a Internet address (cancelURL, successURL, failureURL) that contains a website indicates which will be shown to the buyer if he has canceled the payment process or the payment was successfully completed or the payment was not could be completed. 12. Verfahren nach Anspruch 11, wobei die in der Bezahlanfrage enthaltene Internetadresse auf ein CGI-Skript verweist. 12. The method of claim 11, wherein the one included in the payment request Internet address points to a CGI script. 13. Verfahren nach Anspruch 12, weiterhin den Schritt umfassend:
Erweitern der in der Bezahlanfrage enthaltenen Internetadresse um eine Bestellnummer vor Aufruf der Internetseite. 13. The method of claim 12, further comprising the step of:
Extend the Internet address contained in the payment request by an order number before calling the website. 14. Verfahren nach Anspruch 12 oder 13, weiterhin den Schritt umfassend:
Erweitern der in der Bezahlanfrage enthaltenen Internetadresse um einen Authentifizierungscode (MAC), der unter Einbeziehung eines dem Käufer (100) nicht bekannten Händlerschlüssels berechnet wird, vor Aufruf der Internetseite. 14. The method of claim 12 or 13, further comprising the step of:
Extending the Internet address contained in the payment request by an authentication code (MAC), which is calculated taking into account a merchant key not known to the buyer ( 100 ), before the website is called up. 15. Verfahren nach Anspruch 14, wobei der erweiterte Authentifizierungscode mittels des SHA-1-Algorithmus berechnet wird. 15. The method according to claim 14, wherein the extended authentication code by means of of the SHA-1 algorithm is calculated. 16. Webserver zur Durchführung eines Bezahlvorgangs im Internet, umfassend:
Speichermittel zum Speichern von Händlerkennungen (merchantNumber) und zugehörigen Bezahlverfahrensdaten, die angeben, welcher Händler (110) welches Bezahlverfahren unterstützt;
Datenempfangsmittel zum Empfangen einer Bezahlanfrage von einem Käufer (100) über das Internet, wobei die Bezahlanfrage wenigstens eine Händlerkennung sowie Kaufpreisdaten (amount, currency) enthält; und
Steuermittel zum Ermitteln der Bezahlverfahren, die vom durch die Händlerkennung identifizierten Händler unterstützt werden, Auswählen eines der ermittelten Bezahlverfahren und Abwicklung des ausgewählten Bezahlverfahrens über ein Payment Gateway (140, 220, 320). 16. Web server for carrying out a payment transaction on the Internet, comprising:
Storage means for storing merchant number and associated payment method data indicating which merchant ( 110 ) supports which payment method;
Data receiving means for receiving a payment request from a buyer ( 100 ) via the Internet, the payment request containing at least a merchant identifier and purchase price data (amount, currency); and
Control means for determining the payment methods that are supported by the merchant identified by the merchant identification, selecting one of the determined payment methods and processing the selected payment method via a payment gateway ( 140 , 220 , 320 ). 17. Webserver nach Anspruch 16, eingerichtet zum Durchführen eines Verfahrens nach einem der Ansprüche 1 bis 15. 17. Web server according to claim 16, set up to carry out a method according to one of claims 1 to 15. 18. Webserver nach Anspruch 16 oder 17, wobei der Webserver ferner das Payment Gateway (140, 220, 320) umfasst. 18. Web server according to claim 16 or 17, wherein the web server further comprises the payment gateway ( 140 , 220 , 320 ). 19. Webserver nach einem der Ansprüche 16 bis 18, weiterhin umfassend:
Mittel zum Erstellen von Internetseiten, die es einem Händler (110) gestatten, den Status von Bezahlvorgängen abzufragen. 19. Web server according to one of claims 16 to 18, further comprising:
Means for creating web pages that allow a merchant ( 110 ) to query the status of payment transactions. 20. Webserver nach einem der Ansprüche 16 bis 19, weiterhin umfassend:
eine Zugriffseinrichtung für Händler (110), die dem Händler die Administration aktueller Bezahlvorgänge gestattet. 20. Web server according to one of claims 16 to 19, further comprising:
an access device for merchants ( 110 ) that allows the merchant to administer current payment processes. 21. Webserver nach Anspruch 20, wobei die Zugriffseinrichtung eingerichtet ist zum Durchführen von Teilbuchungen. 21. Web server according to claim 20, wherein the access device is set up for Make partial bookings. 22. Webserver nach Anspruch 20 oder 21, wobei die Zugriffseinrichtung eingerichtet ist zum Freigeben von Buchungen bei Vorautorisierung. 22. Web server according to claim 20 or 21, wherein the access device is set up to release bookings with pre-authorization. 23. Webserver nach einem der Ansprüche 20 bis 22, wobei die Zugriffseinrichtung eingerichtet ist zum Durchführen von Gutschriften. 23. Web server according to one of claims 20 to 22, wherein the access device is set up to carry out credits. 24. Webserver nach einem der Ansprüche 20 bis 23, wobei die Zugriffseinrichtung eingerichtet ist zum Stornieren von Zahlungsaufträgen. 24. Web server according to one of claims 20 to 23, wherein the access device is set up to cancel payment orders.