Правила и ограничения

В этой статье описаны правила и ограничения, которые касаются как любого типа карты (общие), так и каждого в отдельности.

Общие

Клиент (clientId)

Карта (cardTokenId) выпускается для определённого клиента и имеет привязку к конкретному счёту — без предварительного создания clientId и accountId выпустить карту и управлять ей не удастся.

Идентификатор карты (cardTokenId)

Управление картой происходит с помощью cardTokenId — идентификатора, который сопоставляется с конфиденциальными данными карты. Он используется практически во всех запросах, связанных с управлением банковской картой.

Изображение карты в интерфейсе

Партнёр самостоятельно отрисовывает изображение карты. Платформа лишь предоставляет платёжные реквизиты, которые могут быть встроены в изображение.

Корректность данных клиента

Партнёр отвечает за корректность переданных о клиенте данных. ФИО, адрес и другая информация, необходимая для оформления заказа на выпуск карты, проверяется партнёром самостоятельно.

Срок действия карты

Срок действия карты устанавливается в рамках продукта (productId). Для виртуальных или пластиковых карт можно установить разный срок действия.

Пример

Все виртуальные карты, выпущенные для productId partnerProductName, имеют срок действия 1 год. Все пластиковые карты, выпущенные для productId partnerProductName, имеют срок действия 5 лет.

Чтобы установить срок действия карт обратитесь к вашему курирующему менеджеру.

Платёжная система

Платёжная система, которая будет обслуживать карты, задаётся в рамках заказа виртуальной или пластиковой карты.

Платформа поддерживает системы VISA и МИР.

Чувствительные данные (PAN и CVV)

• Получить PAN и CVV можно только для виртуальной карты.
• Чтобы получать/обрабатывать/хранить PAN и CVV карты, сервисы партнёра, которые будут это осуществлять, должны отвечать стандартам безопасности данных индустрии платежных карт. Партнёру необходимо предоставить сертификат — свидетельство о соответствии стандарту PCI DSS.
• Чтобы предоставить клиенту PAN и CVV карты, партнёр может воспользоваться способом, не требующим сертификации — см. «Получение данных с помощью формы».

Получение данных с помощью формы

• Партнёру необходимо передать BaaS список доменов, на которых будет расположен экран или страница с JavaScript-кодом. В ином случае получить реквизиты карты с помощью формы не удастся.
• После отображения реквизитов на форме клиент может скрыть их, нажав на соответствующую кнопку (примерный вид формы см. в разделе «Демонстрационная страница»). В целях безопасности партнёру рекомендуется самостоятельно закрывать страницу через 10-15 минут с момента вывода данных, в случае отсутствия активности.

PIN-код

• PIN-код должен состоять из четырёх цифр и не должен содержать четыре одинаковые цифры подряд или арифметическую прогрессию: 4242 — допустимо, 4444/2345/5432 — недопустимо.
• Изменение PIN-кода возможно только из интерфейса — с помощью API. В банкомате изменить PIN-код не удастся — у QIWI нет собственных банкоматов.

Блокировка карты

Блокировка является необратимым действием — карта блокируется навсегда.

Для управления виртуальной картой

Аутентификация клиента

Заказ на выпуск карты не может быть создан без предварительной аутентификации клиента.

Имя владельца карты (embossedName)

Если партнёр планирует отображать в интерфейсе имя владельца карты, ему следует самостоятельно произвести транслитерацию фамилии и имени клиента для заполнения этого поля. Платформа не хранит и не возвращает эту информацию.

Для управления пластиковой картой

Раздел в процессе написания. Скоро мы опубликуем здесь полезную информацию.