Lista de comprobación del desarrollador

Utilice esta lista de comprobación para aminorar los errores de tarjetas de crédito y cumpla todas las normativas y políticas relacionadas con estas.

Prevenir errores de tarjetas de crédito y subsanarlos:

  1. Establezca una divisa predeterminada en función de las siguientes directrices para .
  2. Envíe el código correcto del tipo de tarjeta de crédito; por ejemplo, CA para Mastercard.
  3. Valide los números de tarjeta, los valores de seguridad y las fechas de caducidad para obtener los sufijos, formatos o números de caracteres correctos.
  4. Utilice la solicitud de tipos de pago para obtener tipos de tarjeta válidos.
  5. Utilice el ID de itinerario para volver a enviar una reserva que no se haya logrado efectuar a causa de una tarjeta de crédito rechazada con el fin de convertir un itinerario fallido en uno correcto.
  6. Utilice el campo presentationMessage localizado para informar al cliente de la razón por la que se ha producido un error con su tarjeta de crédito. Consulte la sección de errores con tarjetas de crédito para obtener más información.

Obligaciones contractuales

Todos los socios, mediante su contrato de afiliación, están obligados a cumplir todas las políticas de la PCI, las de la empresa de tarjetas de crédito y las de seguridad electrónica tal y como se estipule en cada una de estas áreas de responsabilidad.

Los fraudes y robos de identidad afectan a todas las personas de la cadena de establecimientos minoristas y a las empresas de tarjetas de pago, bancos, minoristas y clientes individuales cuyas identidades o cuentas bancarias se ponen en riesgo. El problema ha crecido con los años, especialmente, con el creciente número de minoristas que han implementado la tecnología inalámbrica, que implica nuevos riesgos. A medida que la tecnología avanza en su empeño de facilitar las operaciones de clientes y comerciantes por igual, los estándares de seguridad para el empleo de tarjetas de pago adquieren un carácter cada vez más imprescindible.

Usted tiene la responsabilidad de proteger la privacidad y los datos de los usuarios de su sitio web. El peso de esta responsabilidad ha llevado a las empresas de tarjetas de crédito a unirse y establecer un comité del sector de tarjetas de pago (Payment Card Industry, PCI por sus siglas en inglés) con el fin de crear una serie de directrices de seguridad comunes y aceptadas para aplicarlas en cualquier caso en que se manejen datos sensibles de consumidores. Estas directrices están diseñadas para evitar que los minoristas y sus clientes sean víctimas de robo de identidad y para garantizar que los datos de las tarjetas de crédito estén protegidos y se manejen apropiadamente.

Breve guía sobre las mejores prácticas de la PCI:

  • Crear y mantener una red segura: Esto incluye la instalación de cortafuegos y una política de contraseñas seguras.
  • Proteger los datos personales de los titulares de las tarjetas: Esto Implica la implementación de cifrado de datos en cualquier red pública.
  • Mantener un programa de gestión de la vulnerabilidad de la red: Esto implica la actualización regular de las aplicaciones de software antivirus y otro software de seguridad.
  • Aplicar medidas rigurosas de control del acceso: Requiere la asignación de un ID único a cada empleado que tenga acceso a la red.
  • Supervisar y verificar las redes con regularidad: Implica la supervisión y el seguimiento de todos los accesos a los datos de los titulares de las tarjetas.
  • Mantener una política de seguridad de la información: Adherirse a todo lo anterior y documentar la política como parte de los procedimientos estándar de funcionamiento tecnológico.
  • No guardar la información sobre tarjetas de crédito si no se cuenta con un certificado PCI.
  • Obtenga más información sobre los estándares de seguridad de la PCI y sobre cómo lograr un certificado PCI en http://www.pcisecuritystandards.org/.

¿Tiene EAN certificado PCI y cumple sus estándares?

Por supuesto. Cumplimos con creces todos los estándares de normas y certificación para el establecimiento, implementación, supervisión, revisión, mantenimiento y mejora de todos los sistemas de gestión de EAN. También nos sometemos a una rigurosa auditoría anual para renovar nuestra certificación todos los años.

Valores obligatorios de seguridad de la tarjeta en todas las solicitudes de reserva

Al valor de seguridad de la tarjeta (a veces llamado "CSV", "CVV2", "CVN", "CID" o "CVC2") se le denomina creditCardIdentifier cuando se realiza una solicitud de reserva a través de la API. Se encuentra en la parte posterior de la tarjeta, tal y como se muestra más arriba.

  • Si no se envía el valor CSV en una solicitud de reserva de prepago, el procesador de la tarjeta de crédito rechazará la compra y la reserva será fallida.

NO guarde los valores CSV después de haberse completado la transacción y el proceso de pago, tal y como requieren las normas de PCI.

Requisitos obligatorios relativos al truncamiento de las tarjetas de crédito de los clientes

Visibilidad de los números de tarjeta de crédito en recibos, páginas web o correos electrónicos.

  1. Deben mostrarse SOLO los 4 últimos dígitos del número de la tarjeta o no deben mostrarse en absoluto.
  2. NO debe mostrarse la fecha de caducidad de la tarjeta.
  3. NO deben guardarse números de tarjetas de crédito, fechas de caducidad, nombres y direcciones de maneras que no respeten los estándares de seguridad de PCI: http://www.pcisecuritystandards.org/
  4. Si tiene cualquier duda sobre estándares de seguridad de PCI, no guarde ningún dato sobre tarjetas de crédito.

Si un socio incumpliera las obligaciones que establece la PCI en lo referente a información sobre tarjetas de crédito, podría ser objeto de sanciones o multas derivadas directamente de la parte perjudicada por mal uso de dicha información.  Todos los contratos de los socios deben cumplir íntegramente las normas de la PCI.

EAN no se hace responsable del mal uso de contenido en los sitios web de los socios. Como se estipula en los contratos de afiliación, cada socio es responsable de cumplir las normas y los requisitos que establezcan tanto EAN como otras entidades o la legislación vigente.

SSL obligatorio en todas las páginas de Reserva, Confirmación, Itinerario y Cancelación

Proteja la transmisión de los pagos y de los datos que podrían permitir la identificación personal utilizando un certificado de seguridad con todos los formularios en los que se faciliten direcciones de correo electrónico, nombres, información de pagos, direcciones físicas, números de teléfono, etc.

Este es un requisito obligatorio en todos los casos sin excepción.

  • Todas las páginas de formularios de reserva, confirmación, itinerario y cancelación DEBEN protegerse con un certificado de confianza.
  • NO se debe volver a mostrar ningún número de tarjeta bancaria en ninguna de estas páginas una vez que el usuario haya introducido esta información.
  • NO se debe almacenar ningún número de tarjeta bancaria en la aplicación de ningún socio, porque esto constituye una vulneración de las políticas de tarjeta bancaria.
  • Dado que somos los anfitriones de la transmisión de datos desde su servidor a nuestros servidores, NOSOTROS somos los responsables de proporcionar el certificado. Su certificado no se utilizará en esta transmisión.
  • Si no nos envía su solicitud de reserva con el protocolo HTTPS, aparecerá un mensaje de excepción como el que se muestra a continuación:
verbose message = Reservation requests must be made through HTTPS; 
        
presentation message = Reservation requests must be made through HTTPS

Tabla de monedas y tarjetas de crédito

Utilice la tabla de monedas y tarjetas de crédito para reconocer los valores de monedas que se pueden procesar con cada tipo de tarjeta de crédito.

  • Los procesadores de tarjetas de crédito pueden añadir o eliminar en cualquier momento valores de sus sistemas de bases de datos.
  • Esta tabla se proporciona solo como referencia.
  • Utilice la solicitud de tipos de pago para obtener tarjetas de crédito válidas dinámicamente para la moneda nativa enviada en la que se va a realizar el cargo.

Si va a fijar una moneda predeterminada, preste especial atención a los resultados que devuelva la solicitud de tipos de pago.

Requisitos obligatorios de la paridad de las marcas de tarjetas de crédito

SUGERENCIA: Tenga en cuenta la siguiente información para cumplir los requisitos de lanzamiento y superar las revisiones de los sitios web en lo referente a la paridad de las marcas de las tarjetas de crédito.

Estas obligaciones las imponen actualmente las empresas de tarjetas de crédito.

  • Si el sitio web no cumple TODOS los puntos que se enumeran a continuación, correrá el riesgo de incurrir en penalizaciones considerables por incumplimiento a partir de 20 000 $ y que pueden ascender rápidamente hasta 100 000 $.
  • Las empresas de tarjetas de crédito supervisan aleatoriamente sitios web para comprobar si cumplen la paridad de las marcas.


Cuando el usuario llegue a la página de opciones de pago, no debe haber ninguna preseleccionada. Y todas las opciones de pago deben presentarse de modo que no aparezca ninguna destacada respecto de las demás.

Del resumen de la paridad de las marcas de empresas de tarjetas de crédito

"Ninguna marca, logotipo, símbolo o marca de aceptación de un método de pago puede ser de mayores dimensiones ni aparentar ser de mayor tamaño o de mayor importancia que el resto de las marcas, logotipos, símbolos o señales de aceptación."

  • Las páginas de pago de los sitios web deben mostrar listas de los métodos de pago aceptados; los menús desplegables no son aceptables de por sí.
  • Los menús desplegables o los botones de opción no pueden tener una preselección hecha. Ello indicaría explícitamente una preferencia por un tipo de pago específico.
  • Incluya los logotipos de las tarjetas de los tipos de pago disponibles usando el mismo tamaño y una distribución uniforme. La disposición preferida es una sola línea o una tabla donde aparezcan distribuidos de modo uniforme para evitar que se muestre de manera inadvertida una preferencia por algún tipo de pago.
  • Se prefiere el uso del término "Opciones de pago" en lugar de "Tarjetas de crédito", tal y como se indica a continuación, para evitar expresar de manera inadvertida una preferencia por las tarjetas de crédito respecto de las de débito o de otros tipos de pago.

Ejemplos de formato aceptable:

Nótese que no se ha preseleccionado ningún tipo de tarjeta y que todos los ejemplos comienzan sin una opción seleccionada.  Cuando el usuario entre en la página, no debe haber NINGUNA OPCIÓN SELECCIONADA.

Imágenes de ejemplo:

Nótese que el método de solicitud de tipos de pago (getPaymentInfo) devuelve las tarjetas que se pueden usar en función de la moneda que se especificó en la solicitud de reserva.

  • Si se incluye la región en la solicitud de tipos de pago, se devolverán más opciones que si se omite.

Cuando se utiliza este método de solicitud antes de cargar el formulario de entrada de pago, los usuarios podrán seleccionar los métodos de pago aplicables que se puedan utilizar con esa moneda.

  1. SOLO muestre los tipos de tarjeta que devuelva PaymentTypesResult.
  2. Consulte la sección sobre solicitud de reserva <creditCardType> para obtener información adicional.
 

Ejemplos de presentación inaceptables

Estos ejemplos contienen preferencias predeterminadas o preseleccionadas. No cumplen el requisito de lanzamiento.

  1. Lista desplegable sin imágenes de los tipos de pago
  2. Tipos de pago divididos en dos secciones gráficas separadas
  3. Mensajes de instrucciones separados en gráficos
  4. El descriptor tarjeta de crédito sugiere que no se aceptan tarjetas de débito
  5. Los tamaños de objetos comparables NO son iguales
  6. Gráficos ordenados verticalmente como si siguieran un orden de preferencia