Guía para tarjetas de crédito

Tal y como se indica en el contrato de colaboradores, todos los colaboradores deben cumplir todas las políticas de PCI, de empresas de tarjetas de crédito y de seguridad electrónica según lo estipulado en cada área de responsabilidad.

Obligaciones contractuales

Las empresas tienen la responsabilidad de proteger la privacidad y los datos personales de sus usuarios. El peso de esta responsabilidad ha llevado a las empresas de tarjetas de crédito a unirse y establecer un comité del sector de tarjetas de pago (Payment Card Industry, PCI por sus siglas en inglés) con el fin de crear una serie de directrices de seguridad comunes y aceptadas para aplicarlas en caso de que se manejen datos sensibles de los consumidores. Estas directrices están diseñadas para evitar que los minoristas y sus clientes sean víctimas de robo de identidad y para garantizar que los datos de las tarjetas estén protegidos y se gestionen de forma adecuada.

Rapid podrá solicitar un certificado de cumplimiento (Attestation of Compliance. AOC por sus siglas en inglés) de PCI para que usted se pueda integrar. Para suministrar un AOC, o para averiguar si tu integración cumple los requisitos de un AOC, rellena este cuestionario del Comité de normas sobre seguridad de PCI:

https://www.pcisecuritystandards.org

Breve guía sobre las mejores prácticas de PCI

  • Crear y mantener una red segura: incluye la instalación de cortafuegos y una política de contraseñas seguras.
  • Proteger los datos personales de los titulares de las tarjetas: implica la implementación del cifrado de datos en cualquier red pública.
  • Mantener un programa de gestión de la vulnerabilidad de la red: implica la actualización regular de las aplicaciones de software antivirus y otro software de seguridad.
  • Aplicar medidas rigurosas de control del acceso: requiere la asignación de un ID único a cada empleado que tenga acceso a la red.
  • Supervisar y verificar las redes con regularidad: implica la supervisión y el seguimiento de todos los accesos a los datos de los titulares de las tarjetas.
  • Mantener una política de seguridad de la información: acatar todo lo anterior y documentar la política como parte de los procedimientos estándar de funcionamiento tecnológico.
  • No guardar la información sobre tarjetas de pago si no se cuenta con un certificado de PCI.
  • Se necesita cumplir los estándares de PCI incluso si no almacenas información sobre la tarjeta de pago, ya que los datos sensibles, sin embargo, atraviesan tu red y los servidores durante el procesamiento y la transmisión de las solicitudes.
  • Puedes obtener más información sobre los estándares de seguridad de PCI y sobre cómo lograr un certificado de PCI en http://www.pcisecuritystandards.org.

¿Tiene Rapid un certificado de PCI y cumple sus estándares?

Por supuesto. Cumplimos con creces todos los estándares de observancia y certificación para establecer, implementar, supervisar, revisar, mantener y mejorar todos los sistemas de gestión de Rapid. También nos sometemos a una rigurosa auditoría anual para renovar nuestra certificación todos los años.

Valores de seguridad de la tarjeta obligatorios en todas las solicitudes de reserva

Al valor de seguridad de la tarjeta (a veces llamado "CSV", "CVV2", "CVN", "CID" o "CVC2") se le denomina creditCardIdentifier cuando se realiza una solicitud de reserva a través de la API. Se encuentra en la parte posterior de la tarjeta, tal y como se muestra.

Códigos de seguridad de la tarjeta

Si no se envía el valor CSV en las solicitudes de reserva, el procesador de la tarjeta rechazará la compra y las reservas de prepago no se realizarán.

NO guardes los códigos CSV después de haberse completado la transacción y el proceso de pago, tal y como lo requieren las normas de PCI.

Requisitos obligatorios en cuanto al truncamiento del número de la tarjeta

Visibilidad de los números de la tarjeta de pago en recibos, páginas web o correos electrónicos

  1. Deben mostrarse SOLO los 4 últimos dígitos del número de la tarjeta o no deben mostrarse en absoluto.
  2. NO debe mostrarse la fecha de caducidad de la tarjeta.
  3. NO deben guardarse los números de la tarjeta de pago, la fecha de caducidad, el nombre ni la dirección de una forma que no respete los estándares de seguridad de PCI: http://www.pcisecuritystandards.org/
  4. Si tienes alguna duda acerca de los estándares de seguridad de PCI, no guardes ningún dato de la tarjeta.

Si un colaborador incumpliera las obligaciones que PCI establece en lo referente a la información de la tarjeta de pago, podría ser objeto de sanciones o multas derivadas directamente de la parte perjudicada a causa del mal uso de dicha información. Todos los contratos de los colaboradores deben cumplir íntegramente las normas de PCI.

Rapid no se hace responsable del mal uso del contenido en los sitios web de los colaboradores. Como se estipula en los contratos de los colaboradores, cada colaborador es responsable de cumplir las normas y los requisitos que establezcan Rapid, otras entidades y las legislaciones vigentes.

SSL obligatorio en todas las páginas de reserva, confirmación, itinerario y cancelación

Protege la transmisión de los pagos y de los datos que podrían permitir la identificación personal utilizando un certificado de seguridad con todos los formularios en los que se faciliten direcciones de correo electrónico, nombres, información de pagos, direcciones físicas, números de teléfono, etc.

Este es un requisito obligatorio en todos los casos sin excepción.

  • Todas las páginas de formularios de reserva, confirmación, itinerario y cancelación DEBEN protegerse con un certificado de confianza.
  • Una vez que el usuario haya introducido la información, NO se deberá volver a mostrar ningún número de tarjeta de pago en ninguna de estas páginas.
  • NO se debe almacenar ningún número de tarjeta de pago en la aplicación de ningún colaborador, porque esto constituye una vulneración de las políticas sobre tarjetas bancarias.
  • Dado que somos los anfitriones de la transmisión de datos desde tu servidor hasta nuestros servidores, nosotros somos los responsables de proporcionar el certificado. Tu certificado no se utilizará en esta transmisión.
  • Si no nos envías tu solicitud de reserva con el protocolo HTTPS, se producirá una excepción.

Requisitos obligatorios de competitividad de las marcas de tarjetas

Estas obligaciones las imponen las empresas de tarjetas de crédito.

  • Si el sitio web no cumple TODOS los puntos que se enumeran a continuación, correrás el riesgo de incurrir en penalizaciones considerables por incumplimiento a partir de 20 000 USD y que pueden ascender rápidamente hasta 100 000 USD.
  • Las empresas de tarjetas de crédito supervisan aleatoriamente los sitios web para comprobar si cumplen la paridad de las marcas.

La paridad de las marcas significa que no debe seleccionarse ni mostrarse una preferencia específica en las opciones de selección de pago y que no debe mostrarse ninguna opción de pago con imágenes de mayor tamaño o distinguirse de ningún modo respecto de las otras, ni de forma predeterminada ni por elección.

Cuando el usuario llegue a la página de opciones de pago, no debe haber ninguna preseleccionada. Todas las opciones de pago deben presentarse de modo que no aparezca ninguna destacada respecto de las demás.

Del resumen de la competitividad de las marcas de tarjetas:

"Ningún logotipo, marca, símbolo o signo de aceptación de un método de pago puede ser de mayores dimensiones ni aparentar ser de mayor tamaño o de mayor importancia que el resto de las marcas, los logotipos, los símbolos o los signos de aceptación".

  • Las páginas de pago de los sitios web deben mostrar los métodos de pago que aceptan. Un menú desplegable no es aceptable por sí solo.
  • Los menús desplegables o los botones de opción no pueden tener una preselección hecha. Ello indicaría explícitamente una preferencia por un tipo de pago específico.
  • Incluye los logotipos de las tarjetas de los tipos de pago disponibles usando el mismo tamaño y una distribución uniforme. La disposición preferida es una sola línea o una tabla donde aparezcan distribuidos de modo uniforme para evitar que se muestre de manera inadvertida una preferencia por algún tipo de pago.
  • Se prefiere el uso del término "Opciones de pago" en lugar de "Tarjetas de crédito", tal y como se indica a continuación, para evitar expresar de forma inadvertida una preferencia por las tarjetas de crédito respecto de las de débito o de otros tipos de pago.

Ejemplos de formato aceptable

Nótese que no se ha preseleccionado ningún tipo de tarjeta y que todos los ejemplos comienzan sin una opción seleccionada. Cuando el usuario entre en la página, no debe haber NINGUNA OPCIÓN SELECCIONADA.

Ejemplos de formato aceptable

Imágenes de ejemplo:

Nótese que el método de solicitud de tipos de pago ("Get Accepted Payment Types") devuelve las tarjetas que se pueden usar en función de la divisa que se especificó en la solicitud de reserva.

Cuando se utiliza este método de solicitud antes de cargar el formulario de entrada de pago, los usuarios podrán seleccionar los métodos de pago aplicables que se puedan utilizar con esa divisa.

  1. Muestra SOLO los tipos de tarjeta que se devuelva en la respuesta payment-options.
  2. Consulta la documentación sobre el método "Get Accepted Payment Types" para obtener más información.

Ejemplos de presentación inaceptable

Estos ejemplos contienen preferencias predeterminadas o preseleccionadas. No cumplen los requisitos de lanzamiento.

  1. La lista desplegable no contiene imágenes de los tipos de pago.
  2. Los tipos de pago están divididos en dos secciones gráficas independientes.
  3. Los mensajes de instrucciones están separados en secciones gráficas.
  4. El descriptor de la tarjeta sugiere que no se aceptan tarjetas de débito ni "check cards".
  5. Los tamaños de objetos comparables no son iguales.
  6. Las secciones gráficas se han ordenado verticalmente como si siguieran un orden de preferencia.

Ejemplos de presentación inaceptable

¿Te ha resultado útil esta página?
¿Cómo podemos mejorar este contenido?
�Gracias por ayudarnos a mejorar!