신용카드 가이드
파트너 계약을 맺은 모든 파트너는 각 책임 영역에서 요구하는 대로 PCI, 신용카드 회사, 전자 보안 정책에 따라야 합니다.
계약 의무 사항
기업은 해당 사용자의 개인정보와 고객 데이터를 보호할 책임이 있습니다. 신용카드 회사는 이러한 책임감으로 연합하여 PCI(Payment Card Industry) 협회를 설립하였습니다. PCI에서는 민감한 소비자 데이터를 다루는 모든 사용자를 위해 일반적이며 수용 가능한 보안 지침을 수립하였습니다. 이러한 지침은 소매업체와 고객의 ID 도난 피해를 방지하고 신용카드 데이터를 보호하여 적절히 처리할 수 있도록 설계되었습니다.
Rapid에서는 통합용 PCI AOC(Attestation of Compliance)를 요청할 수 있습니다. AOC를 제공하거나 통합이 AOC 요구 사항을 충족하는지 확인하려면 다음 링크에서 PCI 보안 표준 기관의 질문지를 작성하면 됩니다.
https://www.pcisecuritystandards.org
PCI 모범 사례 요약 가이드
- 보안 네트워크 구축 및 유지 관리: 방화벽 설치 및 보안 비밀번호 정책이 포함됩니다.
- 카드 소유자의 개인정보 보호: 공용 네트워크 전반의 데이터 암호화 구현 작업을 수반합니다.
- 네트워크 취약성 관리 프로그램 유지 보수: 바이러스 백신 프로그램 및 기타 보안 소프트웨어 애플리케이션에 대한 정기적인 업데이트가 포함됩니다.
- 강력한 액세스 제어 조치 구현: 네트워크 액세스 권한이 있는 직원마다 고유 ID를 할당해야 합니다.
- 정기적인 네트워크 모니터링 및 테스트: 카드 소유자 데이터에 대한 모든 액세스를 모니터링하고 추적합니다.
- 정보 보안 정책 유지 관리: 위의 모든 지침을 따르며 IT 표준 운영 절차의 일환으로 정책을 문서화합니다.
- PCI 인증서 없이 어떠한 결제 카드 정보도 저장해서는 안 됩니다.
- 요청을 처리하고 전송하는 동안 중요한 데이터가 여전히 네트워크와 서버를 통과하기 때문에 결제 카드 정보를 저장하지 않더라도 PCI를 준수해야 합니다.
- PCI 보안 표준에 대해 자세히 살펴보고 PCI 인증을 받는 방법을 알아보려면 http://www.pcisecuritystandards.org 페이지를 참조하시기 바랍니다.
Rapid는 PCI를 준수하고 PCI 인증을 받았나요?
그렇습니다. 저희는 설립, 구현, 모니터링, 검토, 유지 관리 및 모든 Rapid 관리 시스템 개선에 필요한 준수 사항과 인증 표준을 모두 충족하며 초과 달성하고 있습니다. 또한 엄격한 연례 감사를 실시하여 매년 인증을 갱신하고 있습니다.
모든 예약 요청에 필요한 CVC 번호
CVC 번호(CSV, CVV2, CVN, CID, CVC2라고도 함)는 API 예약 요청을 할 때 creditCardIdentifier로도 나타냅니다. 이 값은 그림처럼 카드 뒷면에서 확인할 수 있습니다.
CVC 값이 예약 요청에 전송되지 않으면 카드 프로세서가 구매를 거절하며 선불 예약 건이 실패합니다.
PCI 규정 준수에 따라 거래 및 결제 완료 시 CVC 값을 저장해서는 안 됩니다.
카드 번호 잘림과 관련된 필수 요구 사항
영수증, 웹페이지 또는 이메일에 결제 카드 번호 표시
- 카드 번호의 마지막 4자리 숫자만 표시하거나 아예 표시하지 않습니다.
- 카드의 유효 기간을 표시하지 않습니다.
- PCI 보안 표준과 일치하지 않는 방식으로 결제 카드 번호, 만료일, 이름 또는 주소를 저장하지 않습니다(PCI 보안 표준: http://www.pcisecuritystandards.org/).
- PCI 보안 표준에 대해 미심쩍은 부분이 있는 경우 카드 데이터를 절대 저장해서는 안 됩니다.
결제 카드 정보와 관련하여 PCI에서 요구하는 모든 규정을 위반하는 파트너를 대상으로는 결제 카드 정보의 오용에 대해 위반된 소스로부터 바로 벌금이나 위약금이 부과됩니다. 모든 파트너 계약에는 PCI 규정 준수가 필수입니다.
Rapid는 파트너 웹사이트의 콘텐츠 오용에 대해 책임지지 않습니다. 파트너 계약에 명시된 것처럼 모든 파트너는 Rapid, 타사 법인, 법률 등에서 제공하는 다음 규칙과 요구 사항을 모두 따라야 할 책임이 있습니다.
모든 예약, 확인, 일정, 취소 페이지에서 SSL 필수 사용
이메일 주소, 이름, 결제 정보, 실제 주소, 전화번호 등을 제공하는 모든 양식에 보안 인증서를 사용하여 결제 및 개인 식별 데이터의 전송을 보호합니다.
다음은 모두 필수 요건이며, 예외가 적용되지 않습니다.
- 모든 예약 양식, 확인, 일정 및 취소 페이지는 신뢰할 수 있는 인증서로 보호해야 합니다.
- 사용자가 이러한 페이지에 결제 카드 정보를 입력한 경우에는 결제 카드 번호가 다시 표시되지 않습니다.
- 결제 카드 번호를 파트너 앱에 저장해서는 안 됩니다. 이러한 행위는 은행 카드 정책에 위배됩니다.
- 저희는 파트너 서버에서 저희 서버로 데이터를 전송하는 호스트이기 때문에 인증서를 제공해야 할 책임이 있습니다. 파트너 인증서는 이 전송에 사용되지 않습니다.
- HTTPS 프로토콜을 사용하여 예약 요청을 보내지 못한 경우 예외 메시지가 표시됩니다.
신용카드 브랜드 패리티 관련 필수 요구 사항
이 규정은 신용카드 회사에서 적용합니다.
- 사이트에서 아래에 나열된 모든 항목을 준수하지 않는 경우 최소 20,000달러에서 최대 100,000달러에 이르는 상당한 액수의 미준수 벌금을 부담해야 할 수 있습니다.
- 신용카드 회사는 임의 감사를 실시하여 사이트에서 브랜드 패리티 규정을 준수하는지 확인합니다.
브랜드 패리티란 특정 결제 선택 옵션에 대한 선호도를 표현하지 않고, 동등한 다른 결제 옵션과 달리 이미지를 크거나 작게 표시하지 않음을 의미합니다.
사용자는 선택을 완료할 때까지 결제 옵션을 '빈' 항목으로 랜딩해야 합니다. 모든 결제 유형은 동일하게 제시되어야 합니다.
카드 브랜드 패리티 개요:
"한 결제 방법의 브랜드, 로고, 허용 마크 또는 심볼이 다른 결제 방법의 브랜드, 허용 마크, 로고 또는 심볼보다 더 크게 표시되거나 더 중요하게 보여서는 안 됩니다."
- 사이트의 결제 페이지에는 허용되는 결제 방법이 나와 있어야 합니다. 드롭다운 메뉴 자체는 허용되지 않습니다.
- 모든 드롭다운 메뉴나 라디오 버튼은 사전 선택할 수 없습니다. 이렇게 하면 특정 결제 유형에 대한 선호도가 명시적으로 드러나게 됩니다.
- 사용 가능한 결제 유형의 카드 로고를 같은 크기로 같은 위치에 포함합니다. 권장 레이아웃은 한 줄 또는 균등하게 분산된 표로 이루어진 구성입니다. 그래야 선호하는 결제 유형을 의도치 않게 드러내지 않을 수 있습니다.
- 아래에 보이는 대로 '신용카드'라는 용어보다 '결제 옵션'을 더 많이 사용합니다. 이는 직불/체크카드를 비롯한 다른 결제 유형보다 신용카드를 선호한다는 점을 은연 중에 표현하지 않도록 하기 위함입니다.
허용되는 형식 예
카드 유형은 사전 선택되지 않으며 모든 예는 빈 선택 항목으로 시작합니다. 사용자는 항상 빈 선택 항목으로 시작하는 페이지에 진입해야 합니다.
샘플 이미지:
결제 유형 요청 방법('승인된 결제 유형 가져오기')은 예약 요청에서 제출한 통화를 사용할 수 있는 카드를 반환합니다.
결제 입력 양식을 로드하기 전에 이 요청 메서드를 만들면 사용자가 해당 통화로 사용할 수 있는 적용 가능한 결제 방법을 선택할 수 있습니다.
payment-options응답에 반환된 카드 유형만 표시합니다.- 자세한 내용은 승인된 결제 유형 가져오기 설명서를 참조해 주세요.
허용되지 않는 표시 예
다음은 미리 결정한 선호 항목이나 사전 선택한 옵션을 표시하는 것으로 간주됩니다. 이렇게 되면 출시 요구 사항을 모두 통과하지 못합니다.
- 결제 유형의 이미지가 없는 드롭다운 목록
- 결제 유형이 2개의 별도 그래픽 디스플레이로 분리됨
- 지침 메시지가 그래픽 디스플레이에서 분리됨
- 신용카드 설명자에서 직불/체크카드가 허용되지 않음을 시사함
- 동급인 개체 크기가 같지 않음
- 그래픽 디스플레이가 선호도 순서인 것처럼 수직으로 나열됨
