开发人员检查清单

使用该检查清单可减少信用卡失败情况,遵循所有信用卡规定和政策。

防止信用卡失败情况以及进行恢复:

  1. 根据下列指导原则设置默认货币。
  2. 发送正确的信用卡类型代码,例如 Mastercard 的 CA 码。
  3. 验证卡号、安全码和有效日期的后缀、格式或者字符长度是否正确。
  4. 使用付款类型请求获得有效卡类型。
  5. 针对被拒信用卡使用行程 ID 以重新提交失败预订,从而将失败行程转化为成功行程。
  6. 使用本地化的 presentationMessage 字段通知客户信用卡失败的原因。有关详情,请参阅信用卡错误

合同义务

根据联盟合同,所有合作伙伴都有义务遵循各个责任区域规定的所有 PCI、信用卡公司以及电子安全政策。

身份盗用和欺诈会影响到零售供应链中的每一方 — 付款卡公司、银行、零售商以及身份或银行帐户被盗用的各个客户。这个问题的影响逐年加大,特别是越来越多的零售商开始使用无线技术的趋势,开启了新一轮的挑战。随着向消费者和商家提供便利的相关技术不断发展,付款卡安全标准也变得越来越关键。

您肩负着保护网站用户的隐私及消费数据的责任。在此职责的驱使下,信用卡公司已经联合起来成立了付款卡行业 (PCI) 委员会,以便创建一系列可接受的通用安全指导准则,供所有人用来处理敏感的消费数据。这些指导准则旨在保护零售商及其客户免遭身份盗用的危害,同时确保合理保护和处理信用卡数据。

PCI 最佳做法快速指南:

  • 建立并维护安全网络:这包括安装防火墙和实施安全密码政策。
  • 保护持卡人个人数据:这使得在任何公共网络中实施数据加密成为必然。
  • 维护网络漏洞管理程序:这包括定期更新防病毒软件和其他安全防护软件应用程序。
  • 实施严格的访问控制措施:这要求向每位可访问网络的员工分配唯一 ID。
  • 定期监控和测试网络:这意味着需要监控并跟踪对持卡人数据的所有访问。
  • 维护信息安全政策:遵守以上所有要求,并将该政策记录为 IT 标准操作程序的一部分。
  • 请勿存储任何无 PCI 证书的信用卡信息。
  • 要了解有关 PCI 安全标准和获得 PCI 认证的详情,请访问 http://www.pcisecuritystandards.org/

EAN 是否遵守 PCI 并获得了认证?

当然。我们在建立、实施、监控、审核、维护及改进所有 EAN 管理系统时,都遵循甚至超越了这类合规性和认证标准。此外,我们每年都会进行严格的年审,以更新认证。

所有预订请求都需要的卡安全码

发出 API 预订请求时,信用卡安全码(有时称为 CSV、CVV2、CVN、CID、CVC2)指的是 creditCardIdentifier。可以在卡背面找到该安全码,如上图所示。

  • 如果发送的预订请求中不含 CSV 值,信用卡处理程序将拒绝交易,且所有预付款预订都将失败。

根据 PCI 合规性要求完成交易和付款流程之前,请勿保存 CSV 值。

有关客户信用卡截断的强制性要求

在收据、网页或电子邮件中显示信用卡卡号。

  1. 仅显示信用卡卡号的后 4 位不显示信用卡卡号
  2. 不显示信用卡到期日期
  3. 请勿通过与 PCI 安全标准不符的方式保存信用卡卡号、到期日期、姓名或地址http://www.pcisecuritystandards.org/
  4. 如果您对 PCI 安全标准有任何疑问,请勿保存任何信用卡数据

任何合作伙伴如违反 PCI 要求的任何有关信用卡信息的指令,都将因滥用信用卡信息而直接受到所冒犯源的罚款或惩罚。所有合作伙伴合同均需完全遵循所有 PCI 规定。

EAN 对合作伙伴网站上的任何滥用内容行为概不负责。如您的合作伙伴合同中所述,每个合作伙伴均负责遵守 EAN、第三方实体和法律的所有规定和要求。

所有预订、确认、行程和取消页面要求的 SSL

使用维护电子邮件地址、姓名、支付信息、实际地址和电话号码等任何形式的安全证书来确保转账和个人可识别数据的安全。

应毫无例外地遵守以上内容。

  • 必须通过受信任的证书来确保所有预订表、确认单、行程和取消页面的安全。
  • 用户输入银行卡卡号后,该信息将不会在以上页面中再次显示。
  • 银行卡卡号不应存储在任何合作伙伴应用程序中,因为这样做违反了银行卡政策。
  • 由于我方是将数据从贵方服务器传输到我方服务器的主办方,因此我方负责提供证书。在此次传输的过程中,将不使用贵方证书。
  • 如通过 HTTPS 协议未能将您的预订请求成功发送给我们,则会出现以下异常消息:
verbose message = Reservation requests must be made through HTTPS; 
        
presentation message = Reservation requests must be made through HTTPS

信用卡与货币映射

使用货币与卡类型映射识别可以根据各自的信用卡类型处理的货币值。

  • 信用卡处理程序可以随时在其数据库系统中添加或移除值。
  • 该表格仅供参考。
  • 使用付款类型请求可针对已提交的可结算本币动态获得有效的信用卡。

如果要设置默认货币,请特别注意付款类型请求中返回的结果。

强制性信用卡品牌均势要求

提示:请遵循以下信息以满足最终发布要求并通过信用卡品牌均势站点审核。

这些强制性规定目前由信用卡公司执行。

  • 如果您的网站未遵守下方列出的所有条目,则会存在受到大额非合规罚款的危险,金额从 2 万美元起,会迅速升至 10 万美元。
  • 信用卡公司将随机审核网站的品牌均势合规性。


用户登录后,付款选项必须为“空”,直到用户做出选择。而且,系统必须平等地显示所有付款类型。

信用卡公司品牌均势概览

“任何付款方式的品牌、徽标、受理标识或符号的尺寸都不得大于其他品牌、受理标识、徽标或符号,且不得以任何方式显示得更大或看起来更为重要。”

  • 网站上的结算页面必须列出接受的付款方式,即本身并未接受任何方式的一个下拉菜单。
  • 不得预选任何下拉菜单或单选按钮。因为这明确地表示对某一特定付款类型的偏好。
  • 所包含的可用付款类型的信用卡徽标尺寸需相同,分布需统一。首选布局为一条直线或均匀分散的表格,以避免无意中显示偏好付款类型。
  • 最好采用“付款选项”而不是“信用卡”一词(如下所示),以避免无意中表现出信用卡优于借记卡/支票卡或其他付款类型的偏好。

可接受格式示例:

请注意,不得预选任何卡类型,且所有示例均以选择为空开始。 用户必须始终在选择为空的页面中输入内容。

示例图片:

请注意,付款类型请求方法(“getPaymentInfo”)将返回可与预订请求中要提交的货币结合使用的卡。

  • 在付款类型请求中包括“locale”将比在付款类型请求中忽略“locale”返回更多选项。

在加载付款输入表单之前设定此请求方法时,用户可以选择可与该货币结合使用的适用付款方式。

  1. 显示 PaymentTypesResult 返回的卡类型。
  2. 有关详情,请参阅预订请求 <creditCardType>
 

不可接受的显示示例

以下情况被视为预设偏好或预选选项。这些情况违反了发布要求。

  1. 不带付款类型图片的下拉列表
  2. 付款类型分成两张单独的图片显示
  3. 指示性消息在图片显示中分离开
  4. 信用卡描述内容指明不接受借记卡/支票卡
  5. 对等对象的尺寸不同
  6. 图片垂直排列显示,就像按偏好排序