Guia de cartão de crédito
Todos os parceiros, pelo contrato de parceiro, têm a obrigação de seguir todas as políticas do PCI, das companhias de cartão de crédito e de segurança eletrônica conforme determinado por cada uma dessas áreas de responsabilidade.
Obrigações contratuais
Empresas têm a responsabilidade de proteger a privacidade e os dados pessoais dos seus usuários. Sobrecarregada com essa responsabilidade, as empresas de cartão de crédito se uniram para estabelecer o conselho do Indústria de Cartões de Pagamento (PCI), para criar um conjunto comum e aceitável de diretrizes de segurança para qualquer um que processe dados confidenciais de clientes. Essas diretrizes foram criadas para proteger varejistas e clientes contra falsidade ideológica e garantir a segurança e o processamento adequado dos dados do cartão.
A Rapid pode solicitar um atestado de conformidade (Attestation of Compliance ou AOC) do PCI para a sua integração. Para apresentar um AOC ou para saber se a sua integração atende aos requisitos de um AOC, preencha este questionário do PCI Security Standards Council:
https://www.pcisecuritystandards.org
Guia resumido das recomendações do PCI
- Crie e mantenha uma rede segura: isso inclui a instalação de firewall e uma política de senha de segurança.
- Proteja os dados pessoais do titular: isso envolve a implementação da criptografia dos dados em qualquer rede pública.
- Mantenha um programa de gerenciamento de vulnerabilidade da rede: isso inclui atualizações regulares de software antivírus e de outros aplicativos de software de segurança.
- Implemente medidas robustas de controle de acesso: isso exige uma atribuição de ID exclusiva para cada funcionário com acesso à rede.
- Monitore e teste as redes com regularidade: isso significa monitorar e acompanhar todos os acessos aos dados do titular.
- Mantenha uma política de segurança de informações: cumpra todos os itens acima e documente a política como parte dos procedimentos operacionais padrão de TI.
- Não armazene nenhuma informação de cartão de pagamento sem um certificado do PCI.
- A conformidade com o PCI é necessária mesmo quando você não armazena informações de cartão de pagamento, já que dados confidenciais ainda passam pela sua rede e pelos seus servidores durante o processamento e a transmissão das solicitações.
- Para mais informações sobre os padrões de segurança do PCI e sobre como conseguir um certificado do PCI, acesse http://www.pcisecuritystandards.org.
A Rapid está em conformidade e é certificado pelo PCI?
Com certeza. Atendemos e excedemos todos os padrões de conformidade e de certificação para o estabelecimento, a implementação, o monitoramento, a revisão, a manutenção e o aprimoramento de todos os sistemas de gerenciamento do Rapid. Também passamos por uma auditoria anual rigorosa para renovar o nosso certificado.
Código de segurança do cartão obrigatório em todas as solicitações de reserva
O código de segurança do cartão, às vezes chamado de CSV, CVV2, CVN, CID ou CVC2, é referenciado como creditCardIdentifier
na realização de uma solicitação de reserva de API. Esse código fica no verso do cartão conforme ilustrado.
Se o código CSV não for enviado nas solicitações de reserva, o processador do cartão vai recusar a compra e não será possível fazer reservas pré-pagas.
NÃO armazene códigos CSV após a conclusão da transação e do processo de pagamento, conforme exigido para conformidade com o PCI.
Requisitos obrigatórios sobre o truncamento do número do cartão
Como mostrar números de cartão de pagamento em recibos, páginas da web ou e-mails
- Mostre APENAS os últimos 4 dígitos do número do cartão ou não mostre nenhum número.
- NÃO mostre a data de validade do cartão.
- NÃO armazene números de cartão de pagamento, data de validade, nome ou endereço de maneira inconsistente com os padrões de segurança do PCI: http://www.pcisecuritystandards.org/
- Se estiver em dúvida sobre os padrões de segurança do PCI, não armazene nenhum dado do cartão.
Qualquer parceiro que violar as determinações compulsórias do PCI sobre informações de cartão de pagamento vai incorrer em multas ou penalidades aplicadas de maneira direta pela fonte lesada pelo uso indevido das informações do cartão de pagamento. Todos os contratos do parceiro exigem a conformidade integral com todos os regulamentos do PCI.
A Rapid não é responsável por nenhum uso indevido de conteúdo no site do parceiro. Conforme consta no contrato do parceiro, cada parceiro é responsável por seguir todos os regulamentos e regras, incluindo os da Rapid e de terceiros, e as leis.
SSL exigido em todas as páginas de reserva, confirmação, itinerário e cancelamento
Proteja a transmissão do pagamento e os dados de identificação pessoal usando um certificado de segurança em todos os formulários em que constem endereços de e-mail, nome, informações de pagamento, endereço físico, número de telefone etc.
Isso é exigido sem exceções.
- Todas as páginas de formulários de reserva, confirmação, itinerário e cancelamento DEVEM ser protegidas com um certificado confiável.
- NENHUM número de cartão de pagamento deve ser mostrado de novo em nenhuma dessas páginas depois que o cliente insere as próprias informações.
- NENHUM número de cartão de pagamento deve ser armazenado em qualquer aplicativo do parceiro porque isso é uma violação das políticas do cartão bancário.
- Já que hospedamos a transmissão dos dados do seu servidor para os nossos servidores, somos responsáveis por fornecer o certificado. O seu certificado não será usado nessa transmissão.
- Se a sua solicitação de reserva não for enviada para nós com o protocolo HTTPS, isso vai resultar em uma exceção.
Requisitos obrigatórios de paridade de marcas para cartão
Essas determinações estão sendo aplicadas pelas companhias de cartão de crédito.
- Caso o seu site não siga TODOS os itens indicados abaixo, há risco de você receber multas pesadas pela não conformidade a partir de US$ 20.000, podendo aumentar até US$ 100.000.
- As companhias de cartão de crédito fazem auditorias aleatórias de sites quanto à conformidade com a paridade de marcas.
A paridade de marcas significa que nenhuma preferência específica é mostrada nas opções de seleção de pagamento, e nenhuma opção de pagamento é mostrada com imagens ampliadas ou de menor qualidade em relação a qualquer outra.
O cliente deverá ser encaminhado às opções de pagamento com uma opção "em branco" até que uma seleção seja feita. Todos os tipos de pagamento deverão ser apresentados igualmente.
Resumo sobre paridade de marcas de cartão
"Nenhuma marca, logotipo, marca de aceitação ou símbolo de uma forma de pagamento pode ser maior nem, em hipótese alguma, ser mostrada em destaque ou aparentar maior importância do que qualquer outra marca, marca de aceitação, logotipo ou símbolo".
- As páginas de pagamento nos sites devem indicar as formas de pagamento aceitas. Um menu suspenso não é aceitável por si só.
- Nenhum menu suspenso ou botão de opção pode estar pré-selecionado. Isso indicaria de maneira explícita a preferência por uma forma de pagamento específica.
- Inclua os logotipos de cartão dos tipos de pagamento disponíveis em tamanho e distribuição iguais. O layout preferencial é uma linha única ou tabela com os elementos igualmente distribuídos para evitar a exibição inadvertida dos tipos de pagamentos preferenciais.
- O termo Opções de pagamento é preferível ao termo Cartão de crédito, conforme indicado abaixo, para evitar a preferência inadvertida dos cartões de crédito aos cartões de débito ou outros tipos de pagamento.
Exemplos de formatos aceitáveis
Nenhum tipo de cartão de crédito aparece pré-selecionado e todos os exemplos começam com uma seleção em branco. O cliente deve sempre entrar na página com uma opção EM BRANCO.
Imagens de exemplo:
O método de solicitação das formas de pagamento (Ver tipos de pagamento aceitos) retorna os cartões que podem ser usados com a moeda enviada na solicitação de reserva.
Ao usar esse método de solicitação antes de carregar o formulário de informações de pagamento, os clientes podem selecionar as formas de pagamento apropriadas a serem usadas com a moeda em questão.
- Mostre APENAS os tipos de cartão retornados na resposta das
payment-options
. - Consulte a documentação referente a ver os tipos de pagamento aceitos para mais informações.
Exemplos de apresentação inaceitável
São considerados casos de preferência predeterminada ou opção pré-selecionada. Nenhum destes atende aos requisitos de lançamento.
- Lista suspensa sem imagens das formas de pagamento.
- Formas de pagamento divididas em duas apresentações gráficas separadas.
- Mensagens de instruções separadas em apresentações gráficas.
- Descritor do cartão sugerindo que os cartões de débito não são aceitos.
- Objetos comparáveis com tamanhos diferentes.
- Apresentações gráficas dispostas de maneira vertical como se estivessem em ordem de preferência.