Virtuelle Kreditkarten und Transaktionsabwicklung für die Universität Rostock

Die Universität Rostock beabsichtigt die Vergabe einer Konzession für Zahlungsdienstleistungen im Bereich Firmenkreditkarten, insbesondere für Geschäftsreisen. Ziel ist die Etablierung digitaler, virtueller Zahlungsinstrumente anstelle von physischen Kreditkarten. Der Konzessionsnehmer soll sich primär über Disagios finanzieren, wobei für die Universität Rostock idealerweise keine Transaktionskosten entstehen. Es wird eine schnelle und sichere Zahlungsabwicklung in Echtzeit gefordert. Der Konzessionsnehmer soll einen Firmenaccount für Geschäftsreisen (Hotel, Bahn, Reisebüros, Flug, Mietwagen) bereitstellen, der in Buchungsportalen hinterlegt werden kann und von SCA (Strong Customer Authentification) befreit ist. Zudem sind virtuelle Einmalkreditkarten für einmalige oder wiederkehrende Zahlungen (Softwarebeschaffung, Vorkasse-Beschaffungen, Social Media) erforderlich, die alle gängigen Kreditkartenanbieter unterstützen. Die Verwaltung der Einmalkreditkarten soll zentral über eine webbasierte Anwendung erfolgen, mit Funktionen zur Überwachung, Erstellung, Verteilung und Kontrolle der Karten durch einen Administrator der Universität. Mitarbeiter sollen Einmalkreditkarten über die Anwendung anfordern können, wobei eine Genehmigung erforderlich ist. Es muss gewährleistet sein, dass nur autorisierte Zahlungen getätigt werden können, mit der Möglichkeit zur Festlegung eines Kreditrahmens und zur Einschränkung auf bestimmte Zahlungsempfänger. Eine sofortige Sperrung von Karten bei verdächtigen Aktivitäten soll möglich sein. Jeder Transaktion muss eine Kostenstelle und/oder Auftragsnummer zugeordnet werden können, wobei mindestens vier frei belegbare Datenfelder zur Verfügung stehen müssen. Die Managementanwendung soll die Erstellung von strukturieren Berichten ermöglichen, die die Ausgaben pro Datenfeld aufschlüsseln. Abrechnungen sind monatlich zu erstellen und innerhalb der ersten Woche des Folgemonats zu übersenden, wobei die USt. auszuweisen ist. Ein leicht zugänglicher Kundensupport sowie Schulungen und Unterstützung für Mitarbeiter sind erforderlich. Der Konzessionsnehmer muss die Einhaltung der Datenschutz- und Sicherheitsvorgaben (DSGVO, PCI DSS) gewährleisten, einschließlich Verschlüsselung, Zugangskontrollen, Datenminimierung, regelmäßiger Sicherheitsüberprüfungen, Betrugsprävention und Schulung der Mitarbeiter. Mit dem Angebot sind entsprechende Erklärungen und Nachweise zur Einhaltung der Datenschutzbestimmungen und IT-Sicherheit einzureichen. Der Vertrag wird vorerst für ein Jahr geschlossen, mit der Option auf Verlängerung um jeweils ein Jahr, maximal jedoch für vier Vertragsjahre.