信用卡指南

根據合作夥伴契約，每個合作夥伴都必須負起所有 PCI、信用卡公司，以及電子安全政策中所規定之責任範圍的責任。

契約義務

公司有責任保護其使用者的隱私及個人資料。在背負如此重責大任的情況下，信用卡公司聯合建立了支付卡產業 (PCI) 協會，以便為任何處理消費者敏感資料的人士建立一組通用且公認的安全準則。設計這些準則的目的，是為了防止零售商及其客戶成為身分遭冒用的受害者，並確保信用卡資訊獲得適當保護及處理。

Rapid 可能會針對您的整合要求 PCI 符合性聲明 (AOC)。若要提供 AOC 或進一步了解您的整合是否符合 AOC 要求，請完成 PCI 安全標準協會提供的問卷：

https://www.pcisecuritystandards.org

PCI 最佳做法簡短指南

• 建立和維護一個安全的網路：此操作包括防火牆安裝及安全密碼政策。
• 保護持卡人的個人資料：此操作必須在任何公眾網路實施資料加密。
• 維護網路漏洞管理計劃：此操作包括定期更新防毒軟體與其他安全軟體應用程式。
• 實施強健的存取控制措施：此操作需要為每位可以存取網路的員工指派唯一識別碼。
• 定期監控和測試網路：此操作會監控並持續追蹤所有持卡者資料的存取狀況。
• 維護資訊安全政策：進行上述所有操作，並在進行 IT 標準作業流程時記錄政策。
• 絕對不要在沒有 PCI 認證的情況下，儲存任何付款卡資訊。
• 即使您未儲存付款卡資訊，仍必須遵循 PCI 規範，因為敏感資料在處理與傳輸要求的過程中，仍會透過您的網路和伺服器傳遞。
• 您可以前往 http://www.pcisecuritystandards.org 深入了解 PCI 安全標準並取得 PCI 認證。

Rapid 是否遵守 PCI 規範並獲得認證？

當然。所有 Rapid 管理系統在建立、實施、監控、審核、維護及改善方面都符合，且超越所有合規性與認證標準。我們每年也都會接受嚴格的稽查以更新我們的認證。

所有預訂申請都必須提供卡片安全碼

提出 API 訂房要求時，信用卡安全碼 (也稱為 CSV、CVV2、CVN、CID、CVC2) 指的就是 creditCardIdentifier。這項資訊就印在卡片背面，如圖所示。

若 CSV 碼未與預訂申請一起送出，信用卡處理中心會拒絕此項購買，且線上付款預訂將會無效。

依照 PCI 規範的要求，請絕對「不要」將 CSV 值留在完成交易及付款流程以外的頁面。

關於卡號截斷的強制規定

在收據、網頁或電子郵件上顯示付款卡號

1. 只顯示卡號末 4 碼或完全不顯示。
2. 絕對不要顯示卡片的到期日。
3. 絕對不要採用與 PCI 安全標準 (http://www.pcisecuritystandards.org/) 不一致的方式，「不要」留下信用卡號、到期日、名稱或地址
4. 若您對 PCI 安全標準有任何疑慮，請不要留下任何信用卡資訊。

若合作夥伴違反任何 PCI 在付款信用卡資訊方面所要求的規定，受侵犯的來源將以不當使用付款信用卡資訊為由，直接對該合作夥伴課處罰金或罰款。所有合作夥伴的契約中都要求完全遵守所有 PCI 條例。

Rapid 無需為任何合作夥伴網站上的不當使用內容負責。如同合作夥伴契約中所聲明，每位合作夥伴都有責任遵守所有由 Rapid、第三方團體以及法律所規定的規則及要求。

所有訂房、確認、行程、取消頁面皆需使用 SSL

系統會使用安全憑證保護付款資料與可辨識的個人資料之傳輸安全。這類憑證可用於所有提供電子郵件地址、姓名、付款資訊、寄送地址、電話號碼的表單。

這是必要舉措，沒有例外。

• 所有訂房表單、確認、行程及取消頁面都「必須」使用受信任的憑證加以保護。
• 使用者輸入資料之後，這些頁面便「不會」再顯示付款卡卡號。
• 付款卡卡號「不可」儲存於任何合作夥伴應用程式內，因為這違反金融卡政策。
• 因為我們握有將您的伺服器資料傳輸至我方伺服器的主控權，所以由我們負責提供憑證。此傳輸程序將不會使用您的憑證。
• 若無法透過 HTTPS 通訊協定將訂房要求傳送給我們，將導致產生例外訊息。

強制的信用卡品牌等同度規定

信用卡公司已執行這些命令。

• 如果您的網站沒有遵守下列「所有」項目，您的網站很可能因未遵循法規而受到 $20,000 以上、$100,000 以下的罰款。
• 信用卡公司會針對品牌等同度合規性隨機考核網站。

品牌等同度指的是付款選項中不會只顯示特定廠商，也不會有任何一種付款方式比其他支付方式顯示更大的圖片或更少的平等性。

**在使用者選擇付款選項時，直到決定付款方式前，選項欄位必須是「空白」。**所有付款類型必須以平等的方式呈現。

節錄自 Card Brand Parity Outline (信用卡品牌等同度概述)：

「任何付款方式的品牌、商標或是可受理標誌或圖案均不得以大尺寸顯示，或是以任何方式放大，或看起來比其他品牌的可受理標誌、商標或圖案更重要。」

• 網站上的結帳頁面必須列出可接受的付款方式。不得使用下拉式選單。
• 任何下拉式選單或選項按鈕都不得有預設選項。因為這項做法很明顯地指出對特定付款類型的偏好。
• 包括卡片的可用付款類型商標都必須採用同樣的尺寸及分佈方式。我們建議您使用單行或平均分散表格排列的版面配置，以避免無意地突顯某個付款類型。
• 如同下方顯示，相較於「信用卡」，「付款選項」這個詞彙更適當，以避免無意地使信用卡比金融卡/支票卡或其他付款方式更為突出。

可接受的格式範例

請注意，任何卡片類型都不得為預設選項，且所有範例一開始皆為空白選項。當使用者進入頁面時，選項欄位應該一律為「空白」。

範例圖片：

請注意，付款類型要求方法 (「取得接受的付款類型」) 會傳回可用於在訂房要求中送出之貨幣的卡片。

若在載入付款填寫表單前使用此項要求方法，使用者就能選擇此貨幣適用的付款方式。

1. 系統只會顯示 payment-options 傳回的卡片類型。
2. 有關更多資訊，請參閱取得接受的付款類型文件。

不可接受的顯示方式範例

我們會將這些顯示方式視為預定的偏好選項或預設選項；這些方式都會導致啟動條件失敗。

1. 下拉式功能表中沒有付款類型圖片。
2. 付款類型分成兩張個別顯示的圖片。
3. 說明訊息在圖片中分散顯示。
4. 不得利用卡片敘述推薦使用金融卡/支票卡。
5. 同類物件的大小不一。
6. 圖片以垂直方式排列顯示，看起來就像偏好順序。