Your EPS account

Sign in to view secure API documentation, update your account details, log support requests and much more.

Your email or password is incorrect. Please try again or reset your password.
If the issue persists please contact your EPS representative.

Forgot password?

Reset your password

Please enter your email address below. We will send password reset instructions to the email associated with your EPS account.

Thank you

An email has been sent to your account email address with further instructions on how to reset your password.

Back to sign in

Guía para tarjetas de crédito

Todos los socios, mediante su contrato de socio, están obligados a cumplir todas las políticas de PCI, las de la empresa de tarjetas de crédito y las de seguridad electrónica, tal y como se estipule en cada una de estas áreas de responsabilidad.

Obligaciones contractuales

Todos los socios, mediante su contrato de afiliación, están obligados a cumplir todas las políticas de PCI, las de la empresa de tarjetas de crédito y las de seguridad electrónica, tal y como se estipule en cada una de estas áreas de responsabilidad.

Las compañías tienen la responsabilidad de proteger la privacidad y los datos personales de sus usuarios. El peso de esta responsabilidad ha llevado a las empresas de tarjetas de crédito a unirse y establecer un comité del sector de tarjetas de pago (Payment Card Industry, PCI por sus siglas en inglés) con el fin de crear una serie de directrices de seguridad comunes y aceptadas para aplicarlas en caso de que se manejen datos sensibles de los consumidores. Estas directrices están diseñadas para evitar que los minoristas y sus clientes sean víctimas de robo de identidad y para garantizar que los datos de las tarjetas estén protegidos y se gestionen de manera adecuada.

EPS podrá solicitar un certificado de cumplimiento (Attestation of Compliance. AOC por sus siglas en inglés) de PCI para que usted se pueda integrar. Para suministrar un AOC, o para averiguar si su integración cumple los requisitos de un AOC, rellene este cuestionario del Comité de normas sobre seguridad de PCI: https://www.pcisecuritystandards.org/merchants/self_assessment_form.php

Breve guía sobre las mejores prácticas de PCI:

  • Crear y mantener una red segura: Incluye la instalación de cortafuegos y una política de contraseñas seguras.
  • Proteger los datos personales de los titulares de las tarjetas: Esto implica la implementación del cifrado de datos en cualquier red pública.
  • Mantener un programa de gestión de la vulnerabilidad de la red: Implica la actualización regular de las aplicaciones de software antivirus y otro software de seguridad.
  • Aplicar medidas rigurosas de control del acceso: Requiere la asignación de un ID único a cada empleado que tenga acceso a la red.
  • Supervisar y verificar las redes con regularidad: Implica la supervisión y el seguimiento de todos los accesos a los datos de los titulares de las tarjetas.
  • Mantener una política de seguridad de la información: Acatar todo lo anterior y documentar la política como parte de los procedimientos estándar de funcionamiento tecnológico.
  • No guardar la información sobre tarjetas de pago si no se cuenta con un certificado de PCI.
  • Se necesita cumplir los estándares de PCI incluso si usted no almacena información sobre la tarjeta de pago, ya que los datos sensibles, sin embargo, atraviesan su red y los servidores durante el procesamiento y la transmisión de las solicitudes.
  • Obtenga más información sobre los estándares de seguridad de PCI y sobre cómo lograr un certificado de PCI en http://www.pcisecuritystandards.org

¿Tiene EPS un certificado de PCI y cumple sus estándares?

Por supuesto. Cumplimos con creces todos los estándares de observancia y certificación para el establecimiento, la implementación, la supervisión, la revisión, el mantenimiento y la mejora de todos los sistemas de gestión de EPS. También nos sometemos a una rigurosa auditoría anual para renovar nuestra certificación todos los años.

Valores de seguridad de la tarjeta obligatorios en todas las solicitudes de reserva

Al valor de seguridad de la tarjeta (a veces llamado "CSV", "CVV2", "CVN", "CID" o "CVC2") se le denomina creditCardIdentifier (identificador de la tarjeta de crédito) cuando se realiza una solicitud de reserva a través de la API. Se encuentra en la parte posterior de la tarjeta, tal y como se muestra.

  •  Si no se envía el valor CSV en las solicitudes de reserva, el procesador de la tarjeta rechazará la compra y las reservas de prepago no se realizarán.

NO guarde los valores CSV después de haberse completado la transacción y el proceso de pago, tal y como lo requieren las normas de PCI.

Requisitos obligatorios en cuanto al truncamiento del número de la tarjeta

Visibilidad de los números de la tarjeta de pago en recibos, páginas web o correos electrónicos

  1. Deben mostrarse SOLO los 4 últimos dígitos del número de la tarjeta o no deben mostrarse en absoluto.
  2. NO debe mostrarse la fecha de caducidad de la tarjeta.
  3. NO deben guardarse los números de la tarjeta de pago, la fecha de caducidad, el nombre ni la dirección de una manera que no respete los estándares de seguridad de PCI:http://www.pcisecuritystandards.org/
  4. Si tiene alguna duda acerca de los estándares de seguridad de PCI, no guarde ningún dato de la tarjeta.

Si un socio incumpliera las obligaciones que PCI establece en lo referente a la información de la tarjeta de pago, podría ser objeto de sanciones o multas derivadas directamente de la parte perjudicada a causa del mal uso de dicha información. Todos los contratos de los socios deben cumplir íntegramente las normas de la PCI.

EPS no se hace responsable del mal uso del contenido en los sitios web de los socios. Como se estipula en los contratos de afiliación, cada socio es responsable de cumplir las normas y los requisitos que establezcan EPS, otras entidades y las legislaciones vigentes.

SSL obligatorio en todas las páginas de Reserva, Confirmación, Itinerario y Cancelación

Proteja la transmisión de los pagos y de los datos que podrían permitir la identificación personal utilizando un certificado de seguridad con todos los formularios en los que se faciliten direcciones de correo electrónico, nombres, información de pagos, direcciones físicas, números de teléfono, etc.

Este es un requisito obligatorio en todos los casos sin excepción.

  • Todas las páginas de formularios de reserva, confirmación, itinerario y cancelación DEBEN protegerse con un certificado de confianza.
  • Una vez que el usuario haya introducido la información, NO se deberá volver a mostrar ningún número de tarjeta de pago en ninguna de estas páginas.
  • NO se debe almacenar ningún número de tarjeta de pago en la aplicación de ningún socio, porque esto constituye una vulneración de las políticas sobre tarjetas bancarias.
  • Dado que somos los anfitriones de la transmisión de datos desde su servidor a nuestros servidores, NOSOTROS somos los responsables de proporcionar el certificado. Su certificado no se utilizará en esta transmisión. Si no nos envía su solicitud de reserva con el protocolo HTTPS, se producirá una excepción.

Requisitos obligatorios de la paridad de las marcas de tarjetas

Estas obligaciones las imponen las empresas de tarjetas de crédito.

  •  Si el sitio web no cumple TODOS los puntos que se enumeran a continuación, correrá el riesgo de incurrir en penalizaciones considerables por incumplimiento a partir de 20 000 $ y que pueden ascender rápidamente hasta 100 000 $.
  • Las empresas de tarjetas de crédito supervisan aleatoriamente los sitios web para comprobar si cumplen la paridad de las marcas.

La paridad de las marcas significa que no debe seleccionarse ni mostrarse una preferencia específica en las opciones de selección de pago y que no debe mostrarse ninguna opción de pago con imágenes de mayor tamaño o distinguirse de ningún modo respecto de las otras, ni de forma predeterminada ni por elección.

Cuando el usuario llegue a la página de opciones de pago, no debe haber ninguna preseleccionada. Asimismo, todas las opciones de pago deben presentarse de modo que no aparezca ninguna destacada respecto de las demás.

Del resumen de la paridad de las marcas de tarjetas

"Ninguna marca, logotipo, símbolo o signo de aceptación de un método de pago puede ser de mayores dimensiones ni aparentar ser de mayor tamaño o de mayor importancia que el resto de marcas, logotipos, símbolos o signos de aceptación".

  • Las páginas de pago de los sitios web deben mostrar listas de los métodos de pago aceptados; los menús desplegables no son aceptables de por sí.
  • Los menús desplegables o los botones de opción no pueden tener una preselección hecha. Ello indicaría explícitamente una preferencia por un tipo de pago específico.
  • Incluya los logotipos de las tarjetas de los tipos de pago disponibles usando el mismo tamaño y una distribución uniforme. La disposición preferida es una sola línea o una tabla donde aparezcan distribuidos de modo uniforme para evitar que se muestre de manera inadvertida una preferencia por algún tipo de pago.
  • Se prefiere el uso del término "Opciones de pago" en lugar de "Tarjetas de crédito", tal y como se indica a continuación, para evitar expresar de manera inadvertida una preferencia por las tarjetas de crédito respecto de las de débito o de otros tipos de pago.

Ejemplos de formato aceptable:

Nótese que no se ha preseleccionado ningún tipo de tarjeta y que todos los ejemplos comienzan sin una opción seleccionada. Cuando el usuario entre en la página, no debe haber NINGUNA OPCIÓN SELECCIONADA.

Imágenes de ejemplo:

Nótese que el método de solicitud de tipos de pago (getPaymentInfo) devuelve las tarjetas que se pueden usar en función de la divisa que se especificó en la solicitud de reserva.

  • Si se incluye la región en la solicitud de tipos de pago, se devolverán más opciones que si se omite.

Cuando se utiliza este método de solicitud antes de cargar el formulario de entrada de pago, los usuarios podrán seleccionar los métodos de pago aplicables que se puedan utilizar con esa divisa.

  1. SOLO muestre los tipos de tarjeta que devuelva PaymentTypesResult (resultado de los tipos de pago).
  2. Consulte la sección sobre solicitud de reservas <creditCardType> (tipo de tarjeta de crédito) para obtener información adicional.

Ejemplos de presentación inaceptable

Estos ejemplos contienen preferencias predeterminadas o preseleccionadas. No cumplen el requisito de lanzamiento.

  1. Lista desplegable sin imágenes de los tipos de pago
  2. Tipos de pago divididos en dos secciones gráficas separadas
  3. Mensajes de instrucciones separados en gráficos
  4. El descriptor de la tarjeta sugiere que no se aceptan tarjetas de débito/verificación
  5. Los tamaños de objetos comparables NO son iguales Gráficos ordenados verticalmente como si siguieran un orden de preferencia