Lista de verificação do desenvolvedor

Use essa lista de verificação para reduzir as falhas de cartão de crédito e siga integralmente a conformidade com as regras e políticas de cartão de crédito.

Como evitar e recuperar falhas de cartão de crédito:

  1. Defina a moeda padrão de acordo com as diretrizes a seguir.
  2. Envie o código do tipo de cartão de crédito correto, ou seja, CA para Mastercard.
  3. Valide os números do cartão, código de segurança e datas de expiração quanto ao sufixo, formato ou tamanho de caracteres apropriados.
  4. Use a Solicitação de tipos de pagamento para obter os tipos de cartão válidos.
  5. Use a ID de itinerário para reenviar uma reserva com falha relacionada a um cartão de crédito recusado para converter um itinerário com falha em um itinerário bem-sucedido.
  6. Use o campo presentationMessage localizado para informar ao cliente o motivo da falha com o cartão de crédito. Consulte Erros de cartão de crédito para obter detalhes.

Obrigações contratuais

Todos os parceiros, pelo contrato de afiliado, são obrigados a seguir todas as políticas do PCI, das empresas de cartão de crédito e de segurança eletrônica conforme determinado por cada uma dessas áreas de responsabilidade.

Falsidade ideológica e fraude afetam a todos na cadeia de suprimentos varejista — empresas de cartão de crédito, bancos, revendedores e clientes individuais cujas identidades ou contas bancárias são comprometidas. O problema tem piorado ao longo dos anos, especialmente com mais e mais revendedores implementando tecnologia sem fio, a qual cria um novo conjunto de desafios. Conforme a tecnologia continua promovendo a facilidade de uso para clientes e merchants, os padrões de segurança dos cartões de pagamento se tornam cada vez mais críticos.

Você tem a responsabilidade de proteger a privacidade e os dados dos clientes do seu próprio site. Sobrecarregada com essa responsabilidade, as empresas de cartão de crédito se uniram para estabelecer o conselho do Setor de Cartões de Pagamento (PCI), para criar um conjunto comum e aceitável de diretrizes de segurança para qualquer um que processe dados confidenciais de clientes. Essas diretrizes foram criadas para proteger os revendedores e seus clientes contra falsidade ideológica e garantir a segurança e o processamento adequado dos dados de cartão de crédito.

Guia resumido das melhores práticas do PCI:

  • Criar e manter uma rede segura: isso inclui a instalação de firewall e uma política de senha de segurança.
  • Proteger os dados pessoais do titular do cartão: isso envolve a implementação da criptografia dos dados em qualquer rede pública.
  • Manter um programa de gerenciamento de vulnerabilidade da rede: isso inclui fazer atualizações regulares de software antivírus ou de outros aplicativos de software de segurança.
  • Implementar medidas de controle de segurança de acesso rigorosas: isso exige uma atribuição de ID exclusiva para cada funcionário com acesso à rede.
  • Monitorar e testar regularmente as redes: isso significa monitorar e acompanhar todo o acesso aos dados do titular do cartão.
  • Manter uma política de segurança da informação: cumprir todos os itens acima e documentar a política como parte dos procedimentos operacionais padrão de TI.
  • Não armazenar qualquer informação de cartão de crédito sem um certificado do PCI.
  • Saiba mais sobre os padrões de segurança do PCI e como obter um certificado do PCI em http://www.pcisecuritystandards.org/.

A EAN está em conformidade e é certificada pelo PCI?

Certamente. Atendemos e ultrapassamos todos os padrões de conformidade e certificação para o estabelecimento, implementação, monitoramento, revisão, manutenção e melhoria de todos os sistemas de gerenciamento da EAN. Também fazemos uma auditoria anual rigorosa para renovar nossa certificação todos os anos.

Código de segurança do cartão obrigatório em todas as solicitações de reserva

O código de segurança do cartão de crédito (às vezes chamado de CSV, CVV2, CVN, CID, CVC2) é referenciado como creditCardIdentifier na realização de uma solicitação de reserva de API. Ele é encontrado no verso do cartão conforme ilustrado acima.

  • Se o código CSV não for enviado nas solicitações de reserva, o processador do cartão de crédito rejeitará a transação e qualquer reserva pré-paga não será feita.

NÃO armazene códigos CSV após a conclusão da transação e do processo de pagamento, conforme exigido para Conformidade com o PCI.

Requisitos obrigatórios relativos ao truncamento do cartão de crédito do cliente

Como exibir números de cartão de crédito em recibos, páginas da web ou e-mails.

  1. Exiba SOMENTE os últimos 4 dígitos do número do cartão ou não exiba nenhum número.
  2. NÃO exiba a data de expiração do cartão.
  3. NÃO armazene números de cartão de crédito, data de expiração, nome ou endereço de forma inconsistente com os padrões de segurança do PCI: http://www.pcisecuritystandards.org/
  4. Se estiver em dúvida sobre os padrões de segurança do PCI, não armazene quaisquer dados de cartão de crédito.

Qualquer parceiro que violar as determinações compulsórias do PCI sobre informações de cartão de crédito incorrerá em multas ou penalidades aplicadas diretamente pela fonte lesada pelo uso indevido de informações de cartão de crédito.  Todos os contratos do parceiro exigem a conformidade integral com todos os regulamentos do PCI.

A EAN não é responsável por qualquer uso indevido de conteúdo no site do parceiro. Conforme consta no contrato do parceiro, cada parceiro é responsável por seguir todos os regulamentos e regras, segundo a EAN, terceiros e as leis.

SSL exigido em todas as páginas de Reserva, Confirmação, Itinerário e Cancelamento

Proteja a transmissão do pagamento e os dados de identificação pessoal usando um certificado de segurança em quaisquer formulários em que constem endereços de e-mail, nome, informações de pagamento, endereço físico, número de telefone, etc.

Isso é exigido sem exceções.

  • Todos os formulários de reserva e todas as páginas de confirmação, itinerário e cancelamento DEVEM estar protegidas por um certificado de segurança.
  • NENHUM número de cartão bancário deve ser exibido novamente em nenhuma dessas páginas depois que o cliente inseriu suas informações.
  • NENHUM número de cartão bancário deve ser armazenado em qualquer aplicativo do parceiro, porque isso é uma violação das políticas do cartão bancário.
  • Já que hospedamos a transmissão dos dados do seu servidor para os nossos servidores, NÓS somos responsáveis por fornecer o certificado. O seu certificado não será usado nesta transmissão.
  • Falha no envio de seu pedido de reserva para nós com o protocolo HTTPS resultará em uma mensagem de exceção conforme abaixo:
verbose message = Reservation requests must be made through HTTPS; 
        
presentation message = Reservation requests must be made through HTTPS

Mapa de cartão de crédito e moeda

Use o Mapa de tipo de cartão e moeda para reconhecer os valores monetários que podem ser processados em cada tipo de cartão de crédito.

  • Os processadores de cartão podem adicionar ou remover valores a qualquer momento nos seus sistemas de banco de dados.
  • Essa tabela é fornecida somente como referência.
  • Use a Solicitação de tipos de pagamento para obter dinamicamente os cartões de crédito válidos para a moeda nativa cobrável enviada.

Se você configurar uma moedapadrão, preste muita atenção aos resultados na Solicitação de tipos de pagamento.

Requisitos obrigatórios de paridade de marca para cartão de crédito

DICA: siga as informações abaixo para passar nos Requisitos de lançamento finais e revisões de site para paridade de marca para cartão de crédito

Essas determinações estão sendo aplicadas atualmente pelas empresas de cartão de crédito.

  • Caso seu site não siga TODOS os itens listados abaixo, correrá o risco de receber multas pesadas pela não conformidade a partir de US$ 20.000, aumentando rapidamente para US$ 100.000.
  • As empresas de cartão de crédito fazem aleatoriamente auditorias de sites quanto à conformidade com a paridade de marca.


O cliente deverá ser encaminhado às opções de pagamento com uma opção "em branco" até que uma seleção seja feita. Além disso, todos os tipos de pagamento deverão ser apresentados igualmente.

Resumo sobre paridade de marca de empresas de cartão de crédito

"Nenhuma marca, logotipo, marca de aceitação ou símbolo de uma forma de pagamento poderá ser maior nem, em hipótese alguma, ser exibida em destaque ou aparentar maior importância do que qualquer outra marca, marca de aceitação, logotipo ou símbolo."

  • As páginas de check-out nos sites devem listar as formas de pagamento aceitas - um menu suspenso não é aceitável sozinho.
  • Quaisquer menus suspenso ou botões de opção não podem ser pré-selecionados. Isso indicaria explicitamente a preferência por um tipo de pagamento específico.
  • Inclua os logotipos de cartão dos tipos de pagamento disponíveis em tamanho e distribuição iguais. O layout preferencial é uma linha única ou tabela com os elementos igualmente distribuídos para evitar a exibição inadvertida dos tipos de pagamentos preferenciais.
  • O termo "Opções de pagamento" é preferível ao termo "Cartão de crédito", conforme indicado abaixo, para evitar a preferência inadvertida dos cartões de crédito aos cartões de débito ou outros tipos de pagamento.

Exemplos de formato aceitável:

Observe que nenhum tipo de cartão de crédito aparece pré-selecionado e que todos os exemplos começam com uma seleção em branco.  O cliente deve sempre entrar na página com uma opção EM BRANCO.

Imagens de exemplo:

Observe que o método de solicitação de tipos de pagamento ("getPaymentInfo") retorna aqueles cartões que podem ser usados com a moeda sendo enviada na solicitação da reserva.

  • A inclusão de "locale" na solicitação de tipos de pagamento retornará mais opções do que omissão desse elemento da solicitação de tipos de pagamento.

Ao usar esse método de solicitação antes de carregar o formulário de informações de pagamento, os clientes poderão selecionar as formas de pagamento aplicáveis a serem usadas com a moeda em questão.

  1. Exiba SOMENTE os tipos de cartão retornados em PaymentTypesResult.
  2. Consulte a Solicitação de reserva <creditCardType> para obter informações adicionais.
 

Exemplos de exibição inaceitável

Esses são considerados como preferência predeterminada ou opção pré-selecionada. Nenhum deles atende ao Requisito de lançamento.

  1. Lista suspensa sem imagens de tipos de pagamento
  2. Tipos de pagamento divididos em duas exibições gráficas separadas
  3. Mensagens de instruções separadas em exibições gráficas
  4. Descritor do cartão de crédito sugerindo que os cartões de débito não são aceitos
  5. Objetos comparáveis com tamanhos DIFERENTES
  6. Exibições gráficas organizadas verticalmente como se estivessem em ordem de preferência