Versão 4 – 06 /201 6 Card... · Manual de Operações CONFIDENCIAL 3 Capítulo I –...
Transcript of Versão 4 – 06 /201 6 Card... · Manual de Operações CONFIDENCIAL 3 Capítulo I –...
Versão 4 – 06/2016
‘
Manual de Operações CONFIDENCIAL 2
Conteúdo
Capítulo I – Apresentação ............................................................................................ 3
Capítulo II – Regras Gerais........................................................................................... 3
Capítulo III – Afiliação de Afinidades\Cobrand ............................................................ 10
Capítulo IV – Regras de Uso da Marca ....................................................................... 12
Capítulo V – Instrumento de Pagamento .................................................................... 17
Capítulo VI – Risco e Segurança ................................................................................ 31
Capítulo VII – Infra-estrutura ..................................................................................... 54
Capítulo VIII – Autorização de Transações ................................................................. 57
Capítulo IX – Arquivos de Intercâmbio ........................................................................ 91
Capítulo X – Tipos de Instrumentos de Pagamento .................................................... 93
Capítulo XI – Conciliação, Compensação e Liquidação ............................................ 103
Capítulo XII – Resolução de Disputas ....................................................................... 108
Capítulo XIII – Tarifas ............................................................................................... 121
Capítulo XIV – Glossário ........................................................................................... 125
Capítulo XV – Anexos ............................................................................................... 128
‘
Manual de Operações CONFIDENCIAL 3
Capítulo I – Apresentação I - 1. Manual de Operações do Arranjo Good Card Pós
O Manual de Operações se aplica a Emissores e Credenciadores aderentes ao Arranjo Good Card Pós em todo o território brasileiro.
Este Manual tem como propósito detalhar o Regulamento do Arranjo Good Card Pós bem como fornecer informações técnicas e operacionais a serem seguidas pelos Emissores e Credenciadores.
Ao longo do Manual de Operações Good Card serão apresentadas as regras para o uso da marca, as quais deverão ser aplicadas em sua totalidade, as características dos Instrumentos de Pagamento e suas implicações, as regras para o gerenciamento de riscos e de segurança, e requerimentos para infraestrutura e conectividade, dentre outras informações relevantes.
Além destas instruções, são abordados, entre outros, requerimentos para a autorização de transações, troca de arquivos, conciliação, compensação e liquidação de transações, resolução de disputas e as regras para a aplicação de tarifas.
Este Manual de Operações poderá ser atualizado a qualquer tempo pela Good Card . As atualizações serão comunicadas aos participantes e deverão ser observadas por estes no prazo informado pela Good Card .
O Manual de Operações encontra-se estruturado em: Capítulos, Seções, Títulos, Itens e Sub-Itens, nessa ordem.
Capítulo II – Regras Gerais II-1. Introdução As regras a seguir complementam o Regulamento do Arranjo Good Card Pós e apresentam os procedimentos técnicos e operacionais aplicáveis aos participantes do Arranjo Good Card Pós.
Cada participante submete-se às condições estabelecidas neste Manual de Operações e deverá agir de boa fé perante a Instituidora e aos demais Participantes.
A não aderência aos padrões pode causar perdas e danos à Instituidora e aos demais participantes, sendo passível de penalidades, conforme capítulo XIII - 2.8. Penalidades por Não-Aderência.
‘
Manual de Operações CONFIDENCIAL 4
II-2. Direito de defesa
Qualquer participante acusado de ter violado as Regras do Manual de Operações Good Card e que lhe for imposta uma multa ou penalidade, tem o direito de solicitar a revisão da multa ou da penalidade ao Comitê de Gestão Operacional, através de e-mail para Backoffice da Good Card ([email protected]) ou correspondência, com a assinatura do representante legal da instituição, à Good Card , Rua Machado de Assis, 50 – Santa Lúcia - Campo Bom - RS – CEP 93700-000, no prazo máximo de 30 (trinta) dias após a data da notificação.
II-3. Comitê de Gestão Operacional
O Comitê de Gestão Operacional tem por objetivo reunir representantes de cada um dos participantes do Arranjo Good Card Pós para discutir alterações técnicas e operacionais a serem implantadas pela Good Card , de forma que todos os participantes estejam cientes das alterações e possam fazer as adequações que forem necessárias em seus sistemas. A Good Card convocará os representantes indicados por cada participante para participar das reuniões técnicas e operacionais, mediante o envio de convite com pelo menos 7 dias de antecedência.
Será composto de uma comissão Tripartite, sendo 1/3 (um terço) integrada por representantes da Good Card , 1/3 (um terço) por representantes dos emissores e, 1/3 (um terço) por representantes dos credenciadores. O mandato dos gestores do comitê será de 3 (três) anos.
A eleição ocorrerá sempre no mês de Abril, mediante convocação prévia de 30 (trinta) dias a todos os integrantes do arranjo.
‘
Manual de Operações CONFIDENCIAL 5
II - 3. Distribuição de Materiais aos participantes
Todas as tarifas e despesas associadas com a distribuição de materiais pela Good Card aos participantes são de responsabilidade destes. As tarifas e despesas são pagas na quitação das tarifas do sistema Good Card .
II - 4. Uso de Contratações Independentes
II - 4.1. Uso Proibido
A menos que expressamente autorizado pela Good Card , os participantes não têm permissão para utilizar serviços de contratações independentes para afiliar estabelecimentos ou obter acesso aos acordos comerciais destes com a empresa designada pela Good Card para afiliação dos mesmos.
II - 4.2. Uso Autorizado
Os emissores e credenciadores podem utilizar serviços independentes para o processamento das transações, originadas nos estabelecimentos afiliados pelos credenciadores, mediante autorização da Good Card .
Podem ainda contratar o serviço de EPS (Empresa Prestadora de Serviço) para as atividades de prospecção, coleta de documentos, sinalização e treinamento de estabelecimentos comerciais.
II - 5. Contrato com Processadores para a Autorizaç ão
Cada Emissor e Credenciador deverá ter assegurada a execução de todas as atividades relativas ao papel da Processadora, podendo estas atividades fazer parte de sua estrutura interna ou em estrutura terceirizada.
É facultado aos Emissores e Credenciadores contratar uma Processadora para realizar o processamento das suas transações. A contratação deve ser feita por escrito, detalhando os serviços que o processador deve fornecer. O contrato deve ser atualizado adequadamente para refletir as condições técnicas e operacionais aplicáveis no Arranjo Good Card Pós. O contrato deve incluir as seguintes cláusulas:
• A processadora recebeu, compreendeu e concorda em aderir a todos os padrões aplicáveis pela Good Card ;
• A processadora deve manter o emissor a par dos endereços de todos os seus escritórios;
• Em caso de discrepância entre qualquer item do contrato e os padrões Good Card , os padrões Good Card têm precedência;
‘
Manual de Operações CONFIDENCIAL 6
• Perante a Good Card , a responsabilidade pelos serviços de processamento serão sempre do Emissor ou Credenciador contratante;
• O Emissor ou Credenciador deve manter a processadora sempre devidamente atualizada acerca das condições técnicas e operacionais aplicáveis ao Arranjo Good Card Pós.
Cada processadora contratada nos termos deste item deve ser homologada e certificada junto à Good Card .
O contrato é automaticamente encerrado se a Good Card cancelar o registro da processadora, ou se o participante por qualquer razão deixar o Arranjo Good Card Pós.
A processadora reconhece que a Good Card é a proprietária exclusiva das marcas Good Card e concorda em não contestar a propriedade das marcas Good Card , por quaisquer razões. A Good Card pode, a qualquer época, imediatamente e sem aviso prévio, proibir a processadora de usar qualquer de suas marcas, não importando o motivo.
O Emissor ou Credenciador não deve permitir que a processadora movimente fundos, faça ou receba pagamentos, ou pratique quaisquer atos manipulando fundos do emissor a quem presta serviços.
O Emissor ou Credenciador deve obter o compromisso expresso da processadora de não divulgar, comercializar, ceder ou de qualquer forma transferir para terceiros qualquer informação de usuários finais, da transação ou que de natureza for, que vier a ter acesso em razão dos serviços prestados para o emissor ou credenciador, devendo para tanto tomar todos os cuidados para guarda e proteção dos mesmos.
II - 6. Papéis e Responsabilidades do Emissor
O Emissor deve analisar os usuários finais que pretendam aderir ao sistema e determinar os limites a serem concedidos. No Contrato do Usuário Final deve constar que o Instrumento de Pagamento não deve ser usado para propósitos ilegais, incluindo compras ou serviços proibidos pela Legislação em vigor.
São ainda atribuições do Emissor:
• Realizar atendimento ao Usuário Final, mantendo canais de comunicação disponíveis 24 horas por dia e 7 dias por semana;
• Submeter previamente a Good Card aprovação de todos os materiais físicos dos instrumentos de pagamento, material de divulgação, dentre outras informações vinculadas ao layout físico dos instrumentos de pagamento, quando estiver explícita a marca Good Card no material.
• Completar o repasse das transações junto à instituição credenciadora;
‘
Manual de Operações CONFIDENCIAL 7
• Realizar o processo de faturamento e cobrança dos usuários finais dos instrumentos de pagamento Good Card ;
• Realizar o financiamento das compras realizadas com os instrumentos de pagamento Good Card , de acordo com a sua política interna;
• Assumir os riscos de crédito, de inadimplência, de fraude e operacional dos usuários finais dos instrumentos de pagamento com a Good Card ;
• Arcar com os custos de customização, comunicação, emissão, distribuição, processamento e processo de comercialização dos instrumentos de pagamento;
• Responsabilizar-se pelo processamento das transações realizadas com instrumentos de pagamento, o qual poderá ser feito pelo próprio emissor ou por empresa por ele contratada, desde que previamente homologada pela Good Card ;
• Responsabilizar-se pela contratação, instalação e ativação de links de comunicação, principal e contingência, entre a sua processadora e a Good Card ;
• Personalização e emissão dos instrumentos de pagamento contemplando todos os aspectos técnicos, operacionais e de segurança, conforme os capítulos V- Instrumento de Pagamento e VI – Risco e Segurança deste Manual.
• Participar ativamente dos programas de segurança da Good Card , seguindo os padrões estabelecidos por ela, desenvolvendo seus mecanismos internos de controle e segurança, e colaborando com a Good Card sempre que solicitado;
• Assumir os riscos de fraude decorrente do não recebimento do Instrumento de Pagamento pelo Usuário Final, pela aprovação de propostas e/ou adesão falsas, pela clonagem do Instrumento de Pagamento, pelo não cancelamento do Instrumento de Pagamento quando comunicado pelo Usuário Final, sobre perda ou roubo e outros métodos fraudulentos que possam surgir;
• Participar sempre que solicitado de homologações e testes. Manter um ambiente de homologação ativo, com instrumentos de pagamento de teste operacionais para execução de testes.
II - 7. Papéis e Responsabilidades da Credenciadora
A credenciadora deve assumir o compromisso de afiliar os estabelecimentos comerciais, seguindo as regras definidas pela Good Card , realizando a análise do cadastro necessária para a afiliação na rede Good Card .
São também atribuições da Credenciadora:
• Realizar o treinamento junto aos estabelecimentos comerciais afiliados das operações de transações dos produtos da Good Card ;
‘
Manual de Operações CONFIDENCIAL 8
• Realizar a distribuição aos estabelecimentos credenciados todo o material de divulgação da marca Good Card ;
• Orientar e fiscalizar o estabelecimento credenciado na correta sinalização da marca Good Card no estabelecimento, utilizando os materiais de divulgação fornecidos pela credenciadora. No caso de materiais criados pelo próprio estabelecimento cabe à credenciadora fiscalizar se estão nos padrões fornecidos pela Good Card ;
• Realizar atendimento e/ou suporte ao estabelecimento credenciado, mantendo canais de comunicação disponíveis 24 horas por dia e 7 dias por semana;
• A credenciadora fica responsável por fornecer o detalhamento das transações realizadas pelo emissor na rede credenciada Good Card que constarem na agenda de pagamento apresentada pela Good Card , bem como pela cobrança das mesmas;
• Participar ativamente dos programas de segurança da Good Card , seguindo os padrões estabelecidos por ela, desenvolvendo seus mecanismos internos de controle e segurança, e colaborando com a Good Card sempre que solicitado;
• Assumir riscos de fraude realizados em estabelecimentos comerciais afiliados junto ao credenciador.
II - 8. Fraudes e Corrupção
A Good Card não aceita ou compactua com a prática e a ocultação de atos de fraude e de corrupção, em todas as suas formas, inclusive suborno, extorsão, propina e lavagem de dinheiro. As suspeitas e denúncias de tais atos devem ser rigorosamente apuradas, e os procedimentos disciplinares previstos na legislação pertinente, devidamente aplicadas. Caso exista eminência e/ou comprovação de atividades suspeitas, fraude interna ou externa, ou qualquer outro evento que possa prejudicar a imagem da Good Card , o Emissor e ou Credenciador têm o compromisso de comunicar imediatamente à Good Card .
Neste sentido, o Credenciador e Emissor devem:
• Promover mecanismos eficazes e permanentes de controle e vigilância, visando minimizar o risco de lavagem de dinheiro e financiamento ao terrorismo, em todas as operações financeiras;
• Estabelecer o compromisso de desenvolver e manter sistemas de controle interno, normas, procedimentos, padrões e atividades orientados para a prevenção, detecção, denúncia e combate às práticas irregulares, inibindo o eventual uso dos produtos e serviços oferecidos para realização de lavagem de dinheiro;
• Utilizar mecanismos de prevenção contra fraudes internas, externas e corrupção, mantendo a comunicação tempestiva de ocorrências relacionadas e o tratamento rigoroso de evidências identificadas;
‘
Manual de Operações CONFIDENCIAL 9
• Criar políticas que visem assegurar a adequada prevenção e controle, incluindo procedimentos de detecção e denúncia de atividades que possam estar vinculadas à lavagem de ativos e/ou financiamento de atividades terroristas com o foco não apenas na identificação de fraudes, mas também de convivência com a prática de crimes;
• Criar mecanismos para Gerenciamento do Risco Operacional, com o objetivo de prevenir e detectar erro humano ou fraude, erros e fragilidades de sistemas no registro, monitoramento, contabilização de transações, de processos inadequados ou eventos externos que possam impactar na continuidade dos negócios.
• Devem ser adotados todos os esforços para a prevenção e manutenção contra fraudes e corrupção de forma ampla e efetiva. Para tanto, devem ser seguidas e aplicadas às seguintes premissas:
o Atuação proativa: ênfase nas atividades proativas de prevenção, frente às atividades reativas de detecção, investigação e punição;
o Transparência: ambiente de transparência e canais de relacionamento, internos e externos adequados para favorecer o relato de suspeitas razoáveis de cometimento de irregularidades, bem como para a formalização de denúncias;
o Confidencialidade: garantias institucionais de proteção dos direitos de todos os envolvidos em denúncias, observada a legislação em vigor;
o Diligência: investigação de todos os relatos e denúncias com brevidade para fins de eventual aplicação justa e proporcional de sanções, em conformidade com a legislação aplicável.
‘
Manual de Operações CONFIDENCIAL 10
Capítulo III – Afiliação de Afinidades\Cobrand Com o consentimento escrito da Good Card , um emissor poderá criar e emitir programas de Instrumento de Pagamento, por exemplo: programa de Afinidade e/ou Cobrand
III - 1. Propriedade e Controle de um Parceiro de A finidade ou Cobrand
Em caso de um Emissor possuir programa de Afinidade ou Cobrand, este deve gerenciar, controlar e fiscalizar este programa. Se alguma provisão de um Programa de Afinidade/Cobrand for violada, a Good Card pode requerer modificação do programa, tais como: repasse do programa a uma terceira parte, a suspensão ou encerramento do programa, multas, entre outros.
III - 2. Requerimentos de Participação
Antes da emissão dos Instrumentos de pagamento Afinidade/Cobrand, um Emissor deve submeter à Good Card as seguintes informações:
• Todo e qualquer contrato com o parceiro de Afinidade/Cobrand • Outras documentações relativas ao Programa Afinidade/Cobrand que
demonstrem as regras que serão cumpridas. • Formulário “Formulário de Solicitação de Credenciamento ” preenchido, no
caso do parceiro não pertencer à rede de estabelecimentos Good Card (Anexo 1).
O Emissor responderá isolada e integralmente pela liquidação financeira das transações realizadas pelo seu parceiro, respondendo de forma solidária pelas obrigações assumidas por este.
III - 3. Base de Instrumentos de pagamento
O Emissor deve reportar separadamente as seguintes informações sobre o Programa de Afinidade/Cobrand:
• Número de Instrumentos de pagamento Emitidos • Número de Instrumentos de pagamento Ativados • Número de Instrumentos de pagamento Desbloqueados • Número de Instrumentos de pagamento Bloqueados • Número de Instrumentos de pagamento Cancelados • Quantidade de Transações Negadas
‘
Manual de Operações CONFIDENCIAL 11
• Soma dos Limites de Instrumentos de pagamento • Montante do Rotativo
Estas informações devem ser fornecidas mensalmente, até o 5º (quinto) dia útil do mês subsequente, no formato conforme o capítulo IX - 5 – Arquivos de Intercâmbio deste manual.
III - 4. Padrões de Comunicação aos Usuários finais de Instrumento de Pagamento A comunicação aos Usuários finais sempre que contiver a marca Good Card deverá respeitar os padrões contidos no capítulo IV-1.
III - 5. Afiliação de Estabelecimento
Todo Estabelecimento que aceitar Instrumento de Pagamento “Afinidade/Cobrand” deverá ser também credenciado pela Credenciadora autorizada na Good Card , conforme as políticas e condições vigentes.
No caso de solicitação de afiliação de novos estabelecimentos, enviar formulário “Formulário de Solicitação de Credenciamento ” (anexo 1), devidamente preenchido para o Backoffice da Good Card , ou processo eletrônico de solicitação de credenciamento.
‘
Manual de Operações CONFIDENCIAL 12
Capítulo IV – Regras de Uso da Marca IV - 1. A Marca Good Card
A marca Good Card é a reproduzida abaixo.
A bandeira Good Card é composta pelo logotipo “Good” em Branco inserido no centro do campo Azul na parte superior da bandeira. O logotipo Card em Azul inserido no campo Amarelo na parte inferior direita da bandeira.
A Bandeira Good Card deve:
• Aparecer à frente de todos os instrumentos de pagamento (conforme figura acima).
• O nome da Bandeira deve sempre aparecer em Inglês. • A marca deve sempre ser produzida em sua totalidade. • Ser contornada por uma borda contínua Branca. • Não pode ser obscura, distorcida, defeituosa ou recortada. • Ser usada na forma retangular com inclinação de 5 graus com as extremidades
superior esquerda e inferior direita curvadas e extremidades superior direita e inferior esquerda pontiagudas.
• Não pode ter marcas, linguagens, textos, nomes de comércios ou indústrias ou grafias que modifiquem seu layout.
• Deverá respeitar sempre as cores padrão abaixo descritas.
‘
Manual de Operações CONFIDENCIAL 13
IV-1.1. Padrão de Cores
A Good Card proverá a aprovação da arte para manufatura.
.1. Padrão de Cores
‘
Manual de Operações CONFIDENCIAL 14
IV - 1.2. Identificação em Estabelecimentos Comerciais
‘
Manual de Operações CONFIDENCIAL 15
‘
Manual de Operações CONFIDENCIAL 16
‘
Manual de Operações CONFIDENCIAL 17
Capítulo V – Instrumento de Pagamento Os Instrumentos de pagamentos oferecidos pela Good Card estão descritos abaixo:
• Instrumento de Pagamento Plástico: Usuário Final deverá utilizar em POS ou TEF. O Plástico deverá ser inserido nos equipamentos de leitura da tecnologia utilizada pelo Instrumento de Pagamento. O uso poderá ser presencial, isto é, a inserção do Instrumento de Pagamento no equipamento leitor, ou remota (mediante a inclusão dos dados solicitados diretamente no sítio eletrônico do emissor);
• Dispositivo mobile: sua utilização se dará mediante a identificação do Usuário Final diretamente no dispositivo, por meio de aplicativo eletrônico específico. O dispositivo será utilizado em celulares e tablets, de forma remota por meio de telefonia celular;
• Identificação biométrica: sua utilização se dará por meio da aproximação ou contato de digital do Usuário Final, pessoa natural, que estiver previamente armazenado no sistema para confronto de imagens. O uso será presencial, mediante a aproximação da digital, diretamente no equipamento leitor;
• Dispositivo transmissor e receptor (wireless; Tag): a sua utilização se dará mediante a aproximação do dispositivo transmissor ao equipamento leitor. Poderá ser exigida ou não senha de identificação do seu Usuário Final. O uso será presencial, mediante a aproximação do dispositivo ao equipamento leitor.
V - 1. Dispositivo Cartão Plástico (PVC)
Esta seção orienta a produção do Instrumento de Pagamento e a reprodução da marca Good Card . As especificações e variações de reprodução que não aparecem neste documento devem ser submetidas à aprovação da Good Card .
O nome do Emissor e/ou seu logotipo podem aparecer na frente ou no verso do Instrumento de Pagamento e nas cores originais da Instituição.
Se o Nome do Emissor aparecer no verso do Instrumento de Pagamento, deve ser precedido pelos dizeres “Este cartão foi Emitido Por (NOME DO EMISSOR)”.
V - 1.1. Aprovação do design do Instrumento de Pagamento
O Emissor do Instrumento de Pagamento deve submeter o desenho proposto de todos os cartões para a Good Card solicitando a aprovação, que deve ser feita formalmente:
• Antes da Produção • Cada vez que o desenho do Instrumento de Pagamento for alterado
‘
Manual de Operações CONFIDENCIAL 18
Deve ser remetido para o endereço da Good Card , prova física em plástico, para ser analisado e devolvido parecer ao emissor. O parecer positivo será devolvido por e-mail para o representante do emissor.
No caso de parecer negativo, será devolvido por e-mail ao emissor, as observações de não conformidade aos padrões da Good Card .
O emissor deverá fazer as devidas correções e submeter novamente a prova física à Good Card para nova análise e emissão do parecer.
V - 1.2. Requerimentos para Frente do Instrumento de Pagamento Good Card
Os requerimentos para frente do Instrumento de Pagamento são os seguintes:
• A Marca Good Card deve estar presente seguindo o padrão de cores estabelecidas conforme capítulo V - 1.1. e as medidas para impressão da marca conforme capítulo V-1.4.
• Área impressa, incluindo o Número do Instrumento de Pagamento, BIN (Número de Identificação do Emissor), Data de validade do Instrumento de Pagamento, Nome do Usuário Final, e identificação adicional de produto/afinidade/cobrand (quarta linha) (opcionalmente).
‘
Manual de Operações CONFIDENCIAL 19
Frente do Instrumento de Pagamento:
A – BIN, Número da conta/Instrumento de Pagamento
B – Data de Validade/Expiração, formato MM/AA
C – Nome do Usuário Final (Máximo de 22 dígitos, desde que não sobreponha à marca Good Card )
D – 4ª Linha utilizada para identificação adicional como exemplo: Nome da Empresa para os instrumentos de pagamento Corporativos (Máximo de 22 dígitos, desde que não sobreponha à marca Good Card ) (Opcional)
E – Logotipo Good Card
F – Chip (Observar abaixo as dimensões e posicionamento) (Opcional)
‘
Manual de Operações CONFIDENCIAL 20
V - 1.3. Requerimentos para o Verso do Instrumento de Pagamento
Os requerimentos para o verso do Instrumento de Pagamento são os seguintes:
A – Informativo: “Este cartão é de propriedade do emissor e deve ser devolvido mediante solicitação”.
B – Tarja Magnética de alta coersitividade.
C – Informativo: “Assinatura do Usuário Final – Não é válido sem assinatura” (Opcional para cartões com senha).
D – Valor de Verificação de Instrumento de Pagamento – CVV2.
E – Painel de Assinatura – Deve medir 80,5x11mm e conter o nome da marca Good Card repetidamente na forma diagonal (* Exemplo abaixo) (Opcional para cartões com senha).
F – Informativo: Site do Emissor. (Ex. www.goodcard.com.br)
G – Painel para o telefone da central de relacionamento do Usuário Final.
‘
Manual de Operações CONFIDENCIAL 21
V - 1.4. Especificações do Instrumento de Pagamento
Nota: Todas as medidas podem ter uma tolerância de + ou – 0.1mm. O PVC utilizado na confecção do Instrumento de Pagamento deve ter a espessura 0,76mm
‘
Manual de Operações CONFIDENCIAL 22
V - 1.5. Personalização do Plástico
V - 1.5.1. BIN
O Emissor do Instrumento de Pagamento deve solicitar um BIN (Bank Identification Number) padrão ISO 7812 à ABNT – Associação Brasileira de Normas Técnicas, ou, se possuir um, enviar solicitação de aprovação para utilização do BIN para a Good Card .
A Good Card poderá fornecer um BIN ao emissor, mediante acordo comercial entre emissor e bandeira.
O BIN é constituído pelos seis primeiros algarismos do número do Instrumento de Pagamento.
Os demais números são sequenciais estabelecidos pelo Emissor, sendo que o último número que é um dígito verificador.
V – 1.5.2. O número do Instrumento de Pagamento
O emissor deve atribuir um número a cada Instrumento de Pagamento, que pode ser usado para identificação do Usuário Final em seu sistema. O número do Instrumento de Pagamento (sempre com 16 posições) está dividido em:
V - 1.5.3. Personalização – Característica de Segurança
A personalização no plástico pode ser realizada de duas maneiras: Embossamento ou Transferência Térmica. Todas as letras e números impressos devem estar em alto relevo (caso de embossamento), de forma clara, nítidos e espaçados de maneira uniforme.
‘
Manual de Operações CONFIDENCIAL 23
V - 1.5.4. Data de Validade
O Instrumento de Pagamento Good Card deve possuir a data de validade impressa na parte frontal do Instrumento de Pagamento, no formato VAL. MM/AA. Opcionalmente, pode ser incluída a data de início de validade do Instrumento de Pagamento. Nesse caso, a impressão deve ser no formato VAL. DE MM/AA A MM/AA.
V - 1.5.5. Área disponível para o emissor (Frente do Instrumento de Pagamento)
O emissor pode utilizar toda a área frontal do Instrumento de Pagamento, limitada a área de identificação do emissor ou de terceiros com os quais mantém relação comercial, desde que não obstrua a utilização da área de personalização (posição e dimensões das linhas impressas) e que a marca Good Card esteja incluída na área frontal.
IV - 1.5.6. Área de impressão
A área de impressão contém os seguintes elementos:
Primeira linha:
• Número do Instrumento de Pagamento (obrigatório)
Segunda linha:
• Data de início de validade (opcional) • Data de validade (obrigatório)
Terceira linha:
• Nome do Usuário Final (obrigatório)
O nome do Usuário Final e/ou nome da Empresa não pode sobrepor a marca Good Card localizada no canto inferior direito. Deve-se observar o limite máximo de dígitos que são 22 para impressão do nome do Usuário Final (Terceira linha) e nome da empresa (Quarta linha).
Devem-se abreviar os nomes priorizando Pré-Nome e último Sobre-Nome, sem cortes. Quando se tratar de FILHO ou JÚNIOR, grafar o Pré-Nome e o último Sobre-Nome (sem cortes), e no caso de não ser possível escrever FILHO ou JÚNIOR, abreviar para F. ou JR.
‘
Manual de Operações CONFIDENCIAL 24
Quarta linha:
• Nome da empresa ou nome fantasia, para instrumentos de pagamento corporativos, convênio, Afinidade e Cobrand (opcional).
V - 1.5.7. Painel de Assinatura – Características de segurança
Todos os instrumentos de pagamento devem possuir o painel de assinatura. Exceções podem ser autorizadas para aqueles instrumentos de pagamento que possuem senha para efetuar transações de compra.
Características:
• Conter o nome da marca “Good Card ” repetidamente de forma diagonal e na cor “Pantone Black” 30% C / 30% U.
• Estar localizado no verso do Instrumento de Pagamento. • Ter imprimido o número do Instrumento de Pagamento e o CVV2. • Não invadir a tarja magnética, nem a área impressa. • Deve medir 80,5 X 11mm a fim de acomodar a assinatura do Usuário Final
e o Valor de Verificação do Instrumento de Pagamento (CVV2). • Feito em papel especial que não permite que a assinatura seja apagada,
removida, etc. • O local também não permite que seja colada uma nova tarjeta sobre a
original.
V - 1.5.8. Área disponível para o Emissor (Verso do Instrumento de Pagamento)
O Emissor pode utilizar toda a área abaixo do Painel de Assinatura do verso do Instrumento de Pagamento. Não há restrição sobre a utilização da área de impressão no verso do Instrumento de Pagamento, não podendo apenas sobrepor a tarja magnética e painel de assinatura. É aconselhável que o emissor insira um texto informativo, como por exemplo: “O signatário autorizado só poderá utilizar este Instrumento de Pagamento de acordo com as condições de uso acordadas com (Emissor). Este Instrumento de Pagamento é de propriedade de (Emissor). Se for encontrado, favor entregar em (Endereço)”.
‘
Manual de Operações CONFIDENCIAL 25
V - 1.5.9. Instrumentos de pagamento de Afinidade ou Cobranding
Instrumentos de Pagamento de marcas compartilhadas de empresas, com fins lucrativos que oferecem, além dos tradicionais serviços, uma série de benefícios específicos aos Usuários finais, como bônus de desconto na compra de produtos.
V - 1.5.10. Nome Comercial ou Marca do Parceiro de Afinidade ou Cobrand
O nome do Parceiro, Afinidade ou Cobrand pode aparecer na área designada para a Identificação do Membro na frente do Instrumento de Pagamento, de uma maneira legível e clara.
V - 1.5.11. Dois ou Mais Parceiros Afinidade ou Cobrand
Se existirem mais de 2 parceiros Afinidade ou Cobrand, as marcas ou nomes comerciais podem ser mostrados na frente ou no verso do Instrumento de Pagamento, na área designada para a identificação do membro.
Se as marcas ou nomes comerciais estiverem no verso do Instrumento de Pagamento, a identificação do emissor deve ser no mínimo o mesmo tamanho que a identificação dos parceiros que se encontra no verso do Instrumento de Pagamento.
‘
Manual de Operações CONFIDENCIAL 26
V - 1.6. Codificação da Tarja Magnética
O Emissor deve codificar a tarja magnética no verso de todos os instrumentos de pagamento usando a tecnologia de alta coercitividade. A tarja magnética deve conter as trilhas 1 e 2 (a trilha 3 pode ser usada, a critério do Emissor):
Tarja magnética – Trilha 01
Exemplo (conteúdo): %B6035740000000001^FULANO DE TAL^051252000000000000000999123000000? 1Dados do Emissor = Código que identifica um grupo de instrumentos de pagamento que possuem o mesmo comportamento na captura de transações.
‘
Manual de Operações CONFIDENCIAL 27
Tarja magnética – Trilha 02
Exemplo (conteúdo): ;6035740000000001=05125200000099912399?
‘
Manual de Operações CONFIDENCIAL 28
Tabela de Códigos de Serviço
‘
Manual de Operações CONFIDENCIAL 29
Tabela de Códigos de Serviço
‘
Manual de Operações CONFIDENCIAL 30
V - 2. Dispositivo Mobile
Esta seção descreve as modalidades Mobile de captura utilizando aparelhos do tipo smartphones, tablets e dispositivos periféricos acoplados, utilizados na captura de transações de pagamento. As modalidades utilizadas por dispositivos Mobile quando disponibilizadas pela Good Card , nas redes de captura são:
• Por aproximação do dispositivo celular: Esta modalidade utiliza de tecnologia NFC (Near Field Communication), onde é feita a aproximação do aparelho celular em outro aparelho de captura, disponibilizado no estabelecimento comercial. Os dados do Usuário Final ficam armazenados e criptografados dentro do dispositivo móvel e são transmitidos pelo protocolo de comunicação utilizado na tecnologia NFC.
• Por troca de mensagens de texto: Esta modalidade utiliza do vínculo de número do celular do Usuário Final a uma conta de crédito vinculada a um emissor de Instrumento de Pagamento. Utiliza protocolo de comunicação SMS (Short Message Service), onde a mensagem de texto é criptografada entre o dispositivo do Usuário Final e o dispositivo utilizado pelo estabelecimento comercial. A mensagem deve ser confirmada pelo Usuário Final após o recebimento, para efetivação do pagamento.
• Por aplicativo instalado no dispositivo: Esta modalidade utiliza aplicação que deve estar instalada no dispositivo móvel. A aplicação é desenvolvida pela instituição conveniada com a Good Card , responsável pela captura das informações da transação. Necessário verificar junto à empresa de captura a compatibilidade do aparelho do Usuário Final, com a tecnologia utilizada no aplicativo de captura dos dados da transação.
Em todas as modalidades é necessário acesso a tecnologia de captura de dados, disponível nas operadoras de telefonia móvel. Este recurso deve ser contratado pelo Usuário Final e os dispositivos compatíveis com as tecnologias utilizadas pelas redes de captura devem ser observados pelos usuários finais, no momento da realização da transação.
V - 3. Identificação Biométrica
Modalidade que utiliza da identificação biométrica quando disponibilizado pela Good Card , para realização de transações em estabelecimentos credenciados na Good Card . Utiliza dispositivos de leitura de impressão digital, onde são comparadas as imagens das impressões da captura no momento da transação, com as imagens previamente cadastradas no autorizador do emissor de Instrumento de Pagamento. A partir da comparação destas imagens, em caso de sucesso, a transação é aprovada pelo emissor. Necessário que o estabelecimento possua o equipamento específico de captura de digital, conectado ao dispositivo utilizado para transmissão das informações da compra.
‘
Manual de Operações CONFIDENCIAL 31
V - 4. Dispositivo Transmissor e Receptor
Modalidade que utiliza de tecnologia RFID (Identificação por Rádio Frequência). Um sistema de RFID é composto, basicamente, de uma antena, um transceptor, que faz a leitura do sinal e transfere a informação para um dispositivo leitor, e também um transponder ou etiqueta de RF (rádio frequência), que deverá conter o circuito e a informação a ser transmitida. Esta informação contida na etiqueta RFID, transmite as informações necessárias para a realização da transação de compra, em estabelecimento comercial credenciado na Good Card . Necessário que o estabelecimento possua o equipamento específico de captura de RFID, conectado ao dispositivo utilizado para transmissão das informações da compra.
Capítulo VI – Risco e Segurança VI - 1. Procedimentos de Segurança do Instrumento d e Pagamento
VI - 1.1. Validade
O emissor deve estabelecer a validade de seus instrumentos de pagamento, contudo, não poderão ter uma validade superior a 5 anos da emissão.
VI - 1.2. Emissão de Instrumento de Pagamento Bloqueado
• No momento da emissão o Instrumento de Pagamento será considerado bloqueado no autorizador do emissor
• Uma etiqueta adesiva será colocada à frente do plástico com informações para que o Usuário Final entre em contato com o Emissor para desbloquear o Instrumento de Pagamento.
• O bloqueio permanecerá até o final da validade do Instrumento de Pagamento caso o Usuário Final não solicite o desbloqueio.
• Os Emissores que entregarem o Instrumento de Pagamento pessoalmente não necessitam bloquear o Instrumento de Pagamento, pois a identificação será feita no momento da entrega.
• É permitido o desbloqueio de instrumentos de pagamento em lote, em caso de remessas em grandes quantidades.
VI - 1.3. Envelope para postagem no Correio/Courier
• O envelope para postagem deve ser de material inviolável. • Desejável não conter nome, marca ou logotipo da empresa emissora do
Instrumento de Pagamento, prevenindo revelação do conteúdo.
‘
Manual de Operações CONFIDENCIAL 32
• Junto com o Instrumento de Pagamento, deve conter instruções de segurança e desbloqueio para o Usuário Final.
Os Emissores que entregarem pessoalmente, poderão envelopar o Instrumento de Pagamento em envelope comum com o logo da empresa.
VI - 1.4. Contrato de prestação de serviço com o Correio/Courier
• O Emissor que enviar o Instrumento de Pagamento via Correio/Courier, contratará diretamente o serviço de entrega com seguro.
• No contrato de prestação de serviços com o Correio/Courier, deverá constar o seguro contra Roubo ou Extravio do malote contendo instrumentos de pagamento.
• Caso ocorra fraude em um ou mais instrumentos de pagamento que foram Roubados ou Extraviados, o Correio/Courier deverá reembolsar ou descontar da próxima fatura um percentual previamente acordado.
• Deverá ser criado um procedimento para que o Correio/Courier comunique o Roubo ou Extravio do malote ao emissor do Instrumento de Pagamento.
• Os instrumentos de pagamento envolvidos no furto devem ser cancelados imediatamente após a comunicação dos Correio/Couriers, e novos instrumentos de pagamento serão emitidos para os Usuários finais.
VI - 1.5. Desbloqueio do Instrumento de Pagamento
• O Usuário Final deverá ter acesso a uma Central de Atendimento do emissor para executar o desbloqueio do Instrumento de Pagamento. A Central de Atendimento deverá ter um procedimento rígido para que o verdadeiro Usuário Final seja identificado através de perguntas que somente ele possa responder
VI - 1.6. Cancelamento ou Bloqueio do Instrumento de Pagamento por Não Recebimento, Perda, Roubo, Clonagem, Extravio, etc.
• O Emissor deve cancelar ou bloquear imediatamente o Instrumento de Pagamento, tão logo informado como Perdido, Roubado, Extraviado etc.
• O Emissor deve verificar às últimas despesas efetuadas com o Instrumento de Pagamento e se elas pertencem ao Usuário Final.
• Despesas efetuadas antes do comunicado são de responsabilidade do Usuário Final. Ele deve efetuar o pagamento.
‘
Manual de Operações CONFIDENCIAL 33
• Despesas após o comunicado ou Instrumento de Pagamento com seguro contra perda, Roubo, Furto e Sequestro, deve-se abrir uma pesquisa de fraude.
• O Emissor deve informar ao Usuário Final o valor total da fatura até aquele momento, considerando ou desconsiderando as despesas fraudulentas de acordo com cada caso.
• O Emissor deve providenciar uma nova reposição do Instrumento de Pagamento (em caso de perda, roubo ou clonagem).
• O emissor poderá contratar um seguro contra Perda, Roubo, Furto e Sequestro para minimizar as perdas com fraude e evitar reclamações dos Usuários finais.
VI - 1.7. Identificação Positiva
• Não é seguro fazer perguntas sobre dados cadastrais. • É seguro fazer perguntas simples e que somente o Usuário Final saiba
responder. Exemplos:
Instrumento de Pagamento recém-aprovado: (Utilizar a proposta para selecionar as perguntas)
• Qual empresa o Sr(a). trabalha? • Quanto tempo o Sr(a). trabalha nesta empresa? • Qual banco o Sr(a). possui conta corrente?
Instrumento de Pagamento antigo: (Utilizar a proposta e a conta do Instrumento de Pagamento para selecionar as perguntas)
• Qual foi o último estabelecimento que o Sr(a). usou o Instrumento de Pagamento?
• Qual estabelecimento o Sr(a). costuma utilizar com maior frequência o Instrumento de Pagamento?
• Sr.(a) possui despesas parceladas? Quais estabelecimentos? • Sr.(a) possui algum tipo de seguro descontado no Instrumento
de Pagamento? Qual?
VI - 1.8. Quando a Identificação for Negativa,
• A ligação poderá ser finalizada e um aviso pode ser enviado para a área de Prevenção à Fraudes
• A área de Prevenção à Fraudes, ao receber o aviso, além de tomar as ações necessárias de confirmação da transação junto ao usuário final, poderá contatar o RH do cliente a fim de confirmar junto ao usuário a utilização do cartão.
‘
Manual de Operações CONFIDENCIAL 34
VI - 1.9. Prevenção à Fraudes
• O Usuário Final poderá usar o seu limite de crédito pré-estabelecido de acordo com sua renda. (Procedimentos de Crédito)
• As despesas efetuadas mesmo dentro do limite de crédito serão monitoradas para Prevenção de Fraudes.
• O monitoramento será feito através de regras de comportamento de gastos. Essas regras alertarão a área de Prevenção à Fraudes.
• Nos casos de alertas direcionados para área de Prevenção à Fraudes, o RH do cliente poderá ser contatado para verificação e validação das transações.
• Caso seja o próprio cliente e ou/usuário usando o Instrumento de Pagamento, uma mensagem poderá ser colocada no sistema e o Instrumento de Pagamento será liberado para novas utilizações.
• Caso não seja o próprio que efetuou as transações, o Instrumento de Pagamento deverá ser cancelado imediatamente. Uma reposição do Instrumento de Pagamento e ações necessárias deverão ser providenciadas.
VI - 1.10. Uso indevido do Instrumento de Pagamento
• Caso seja detectado que o Usuário Final utilizou o Instrumento de Pagamento de forma indevida (1auto-fraude), a conta deverá ser cancelada e nenhum outro Instrumento de Pagamento deverá ser emitido ou reposto. As ações tomadas devem ser registradas em sistema interno.
• Os dados deverão ser registrados (sistema interno), para análise em caso de uma nova proposta de solicitação de Instrumento de Pagamento.
• O Usuário Final será cobrado normalmente sobre as despesas efetuadas.
1 A auto-fraude acontece quando o Usuário Final usa o seu Instrumento de Pagamento e depois informa
para a Administradora que o Instrumento de Pagamento foi Perdido, Roubado ou Extraviado.
VI - 1.11. Senha para Saque em ATM
A senha de cada Usuário Final deverá ser gerada pelo sistema e enviada ao Usuário Final do Instrumento de Pagamento pelo Correio/Courier. Em alguns processos, a senha poderá ser cadastrada no sistema através da URA ou WEB.
‘
Manual de Operações CONFIDENCIAL 35
VI - 1.12. Acessos ao sistema de gerenciamento dos Usuários finais de Instrumentos de pagamento
• O Emissor deve estabelecer os acessos restritos de cada setor, departamento, área de trabalho e de todos os funcionários.
• Nenhum funcionário poderá ter acesso de transações que não pertençam à sua área de atuação.
• Cada Departamento/Área deverá ter um controle de ID's e operações disponíveis para cada funcionário.
VI - 1.13. Manuais e Procedimentos
• Todos os manuais e procedimentos deverão ser guardados em local apropriado.
• Os funcionários terão acesso somente aos manuais e procedimentos de sua área específica.
• É expressamente proibido que um funcionário possa sair da empresa em poder de um manual ou procedimento.
• É necessário ter uma pessoa responsável pela guarda e manuseio dos manuais e procedimentos.
VI - 1.14. Manutenções Cadastrais
• Toda manutenção cadastral efetuada na conta do Usuário Final deve ser monitorada.
VI - 2.1. Armazenamento e Distribuição
• Os instrumentos de pagamento a serem impressos devem ser mantidos em segurança (cofre), para impedir extravio ou roubo.
• Os lotes encaminhados para impressão devem ser controlados. • O emissor deve bloquear os instrumentos de pagamento impressos e
não entregues para impedir sua utilização, desbloqueando-os por solicitação do Usuário Final ao recebê-los, ou em lote em caso de grandes quantidades.
VI - 2.2. Recomendações para o Local de trabalho
A área ou departamento de impressão é considerada como área independente e deve ser fisicamente separada do restante de outras áreas da empresa.
‘
Manual de Operações CONFIDENCIAL 36
• A impressão deve ser um local restrito ao acesso de funcionários de outras áreas e visitantes. Pode-se ter uma janela para atendimento a outros funcionários da empresa.
• O departamento deve ter paredes até o teto e, é aconselhável ter uma porta com senha de acesso restrito aos funcionários que trabalham nele.
• Não é permitido entrar no Departamento com Bolsas, sacolas, mochilas e outros acessórios que possam armazenar objetos. Estes objetos devem ser guardados em um local apropriado fora do departamento.
• O ambiente deve ser monitorado por câmeras, gravando todo o movimento 24 horas por dia e as imagens guardadas por no mínimo 60 dias. As câmeras devem focalizar a porta de entrada, Máquina de Embossing, Cofre, etc.
• Deve-se ter um sistema de alarme com sensores dentro do departamento. O alarme obrigatoriamente deverá estar acionado fora do horário de expediente,
• Cofre para guardar os plásticos não impressos e os impressos que não foram despachados para o Correio/Courier ou serviço de entrega.
VI - 2.3. Duplos Controles
Os controles abaixo deverão ser feitos na presença de um funcionário e um supervisor ou superior
• Abertura e fechamento do cofre para contagem e controle dos plásticos. (Controle de estoque).
• Recebimento de uma nova remessa de plásticos. O controle de estoque deverá ser atualizado imediatamente.
• Remessa para o Correio/Courier dos plásticos produzidos/emitidos. O protocolo do Correio/Courier deverá ser arquivado em local apropriado.
• Os plásticos danificados deverão ser destruídos e todos os dados devem ser anotados/controlados em formulário específico (papel ou sistema), inclusive para controle de estoque.
VI - 2.4. Cartas recebidas contendo instrumentos de pagamento
• Os instrumentos de pagamento devolvidos pelo Correio/Courier ou recebidos através de cartas enviadas por algum Usuário Final, deverão ser encaminhados para a área de impressão para destruição. Deverão ser anotados/controlados em formulário/sistema específico.
‘
Manual de Operações CONFIDENCIAL 37
VI - 2.5. Recebimento do Instrumento de Pagamento (Pelo Correio/Courier).
• O Usuário Final receberá o Instrumento de Pagamento em um envelope material inviolável.
• O Instrumento de Pagamento terá um adesivo de bloqueio e uma carta com instruções de segurança.
VI - 2.6. Carta com instruções de segurança.
Deve ser fornecido um prospecto ao Usuário Final com as informações essenciais especificadas pela regulamentação vigente.
3. CVV1 e CVV2 – Valor de Verificação do Instrument o de Pagamento
Todos os Instrumentos de pagamento devem ser codificados com o Valor de Verificação do Instrumento de Pagamento (CVV1) em ambas as trilhas e o Valor de Verificação do Instrumento de Pagamento (CVV2) impresso no painel de assinatura.
O CVV permite validar o conteúdo da trilha magnética através de criptografia. O CVV é gerado com uma chave secreta e o algoritmo descrito abaixo.
O algoritmo é implementado em um módulo seguro ou outro meio especialmente designado para operações altamente secretas de criptografia.
INSTRUMENTO DE PAGAMENTO NÃO PRESENTE
• O CVV2 é uma ferramenta de segurança do Instrumento de Pagamento para prevenir perdas com fraude em transações com o Instrumento de Pagamento não presente através das vendas feitas pela Internet, Mala Direta e Venda por Tele Entrega.
• O número da conta e a data de expiração do Instrumento de Pagamento são usados para calcular o CVV2. Quando a transação está sendo processada, o sistema calcula o CVV2 e compara com o que foi informado. Caso não seja o código correto, a transação é negada.
INSTRUMENTO DE PAGAMENTO PRESENTE
• O CVV2 também é usado em transações com o Instrumento de Pagamento presente onde a autorização é processada através do atendimento (URA). O número do Instrumento de Pagamento, a data de expiração e o código de segurança são solicitados ao vendedor. O sistema valida a autenticidade das informações do Instrumento de Pagamento durante o processo de autorização.
• Nas transações efetuadas on-line no POS/TEF ocorre a leitura completa da tarja magnética validando a autenticidade do Instrumento de Pagamento
‘
Manual de Operações CONFIDENCIAL 38
digitando o CVV2 durante o processo de aceitação do Instrumento de Pagamento.
• O CVV2 é calculado com as informações codificadas na tarja magnética empregando um processo criptográfico seguro.
• O CVV2 é impresso no verso do Instrumento de Pagamento, propositalmente no painel de assinatura, para induzir o vendedor a verificar a assinatura.
VI - 3.1. Algoritmo DES
O cálculo do CVV utiliza o algoritmo DES – Data Encryption Standard, que requer um par de chaves de criptografia com tamanho de 64 bits: que são, duas chaves DES de 64-bit, cada uma com paridade diferente.
A descrição do algoritmo DES vai além do âmbito deste documento. Para maiores detalhes técnicos, procurar obter uma cópia do padrão internacional definido pelo National Institute of Standards and Technology (NIST).
VI - 3.2. Geração e Verificação do CVV
O CVV é composto por três dígitos e devem estar presentes nas trilhas 1 e 2 de todos os instrumentos de pagamento Good Card .
O par de chaves de criptografia é chamado de Chave de Verificação do Instrumento de Pagamento (CVCs) é usado para gerar e verificar o CVV presentes nas trilhas 1 e 2. Este par de chaves deve ser fornecido pelo Emissor à Good Card de uma maneira segura, fisicamente separadas, para evitar que o eventual extravio não comprometa a segurança do par.
A Good Card recomenda:
• Os emissores não utilizem as chaves de CVV1 e CVV2 como chave de criptografia de senha dos instrumentos de pagamento.
• Os emissores utilizem um par de chaves para o CVV1 e CVV2 diferente de qualquer outra chave DES utilizada em sua instalação.
Para gerar o CVV, o par de CVC é introduzido no algoritmo DES com outros dados. Da mesma forma que em qualquer outro sistema baseado no padrão DES, a segurança do valor gerado depende da segurança da chave DES.
O par de CVC deve ser mantido em segurança e o seu valor não deve ser conhecido por ninguém. Se o par de chaves do CVV (CVC) for revelado ou decodificado, o par de CVC deve ser substituído imediatamente. Os instrumentos de pagamento emitidos com o CVV gerado por esta chave comprometida deverão ser recolhidos e reemitidos o mais rápido possível com um novo par de CVC.
‘
Manual de Operações CONFIDENCIAL 39
Após a total substituição de todos os instrumentos de pagamento comprometidos, o par CVC comprometido deverá ser invalidado.
VI - 3.2.1. Calculando o CVV
No processo de cálculo do CVV, a primeira chave do par de chaves de DES de 64-bits é chamado de CHAVE A, e a segunda chave de CHAVE B.
1. Construir uma string conectando, da esquerda para a direita, os quatro bits mais à direita de cada caractere dos seguintes elementos:
• Número do Instrumento de Pagamento • Data de Expiração do Instrumento de Pagamento • Código de Serviço
Exemplo: Um Instrumento de Pagamento de 16 dígitos mais a data de expiração do Instrumento de Pagamento de 4 dígitos e o Código de Serviço de 3 dígitos devem produzir uma string de 23 caracteres (16+4+3), com um comprimento de 92 bits (23 X 4).
2. O resultado do passo 1 deve compor um campo de 128 bits, alinhado à esquerda e completando o restante do campo com zeros binários.
Exemplo: Para um número de Instrumento de Pagamento com 16 dígitos, mais a data de expiração de 4 dígitos e o código de serviço de 3 dígitos serão necessários 36 zeros à direita para completar o campo de 128 bits.
3. Separe o campo de 128 bits em dois blocos de 64 bits cada. O bloco de 64 bits da esquerda é o BLOCO 1 e o bloco de 64 bits da direita é o BLOCO 2.
4. Criptografe o BLOCO 1 usando a CHAVE A.
5. Utilize o processo exclusive-OR (XOR) no resultado do passo 4 com o BLOCO 2. Criptografe este valor usando a CHAVE A. A operação XOR está descrita no final deste capitulo.
6. Descriptografe o resultado do passo 5 usando a CHAVE B.
7. Criptografe o resultado do passo 6 usando a CHAVE A.
8. Pegue o resultado do passo 7, começando com os dígitos da esquerda, extraia todos os dígitos (0 a 9). Alinhe estes dígitos à esquerda num campo de 64 bits.
9. Pegue o resultado do passo 8, começando com os dígitos da esquerda, extraia todos os dígitos de A até F. Converta cada digito extraído para um digito decimal subtraindo 10.
‘
Manual de Operações CONFIDENCIAL 40
Exemplo: O valor B hexadecimal convertido para decimal fica 1.
(B em hexadecimal = 11 decimal:11 – 10 = 1).
10. Concatene os dígitos convertido para decimal do passo 9 a direita do resultado do passo 8.
11. Selecione os 3 dígitos mais a esquerda. Estes dígitos são o CVV que deve ser codificado na tarja magnética.
12. Pegue o resultado do passo 7, começando com os dígitos da esquerda, extraia todos os dígitos (0 a 9). Alinhe estes dígitos a esquerda num campo de 64 bits.
Processo de cálculo do CVV Exemplo
1. Construir uma string com os dados de número de Instrumento de Pagamento, data de expedição e servive code .
Extração = 43461900000000200512101
2. Montar o campo de 128 bits com zero à direita. Campo 128 bit = 43461900000000200512101000000000
3. Separar campo em 2 blocos de 64 bits cada. Bloco 1 = 4346190000000020 Bloco 2 = 0512101000000000
4. Criptografe o Bloco 1 usando a Chave A. Bloco 1 = 4346190000000020 Chave A = 0131517010204061 Resultado = BA0AD9327F58EAF2
5. XOR sobre o resultado do passo 4 com o Bloco 2, depois criptografe o resultado do XOR usando a Chave A.
Bloco 2 = 0512101000000000 Resultado do XOR = BF18C9227F58EAF2 Chave A = 0131517010204061 Resultado = B393566100041E25
6. Descriptografe o resultado do passo 5 usando a Chave B.
Chave B = = 91B0D0F180A1CE0 Resultado = B0D912EDBEAA8253
7. Criptografe resultado do passo 6 usando a Chave A.
Chave A = 0131517010204061 Resultado = FB37166CF9040F42
8. Extração de todos os dígitos de 0 a 9 do resultado do passo 7. Preencha com zeros à esquerda para montar um bloco de 64 bits
EXTRAÇÃO = FB37166CF9040F42 > 37166904042 Resultado = 37166904042
9. Extração dos dígitos hexadecimal do resultado do passo7. Converta o resultado subtraindo 10 de cada digito.
EXTRAÇÃO = FB37166CF9040F42 > FBCFF > 51255 Resultado = 51255
10. Concatenação do resultado do passo 9 à direita com o resultado subtraindo 10 de cada digito.
Concatenação = 37166904251255
11. Seleção do 3 mais a esquerda como CVV CVV = 371
‘
Manual de Operações CONFIDENCIAL 41
Exemplo de cálculo do CVV. Os valores utilizados neste exemplo são: Número do Instrumento de Pagamento: 4346190000000020 Data de Expiração: 0512 Código de Serviço: 101 Chave A: 0131517010204061 Chave B: 91B0D0F180A1C1E0
Dados para teste
Os dados a seguir são dados que podem ser utilizados para verificar que o algoritmo do CVV foi programado corretamente. As mesmas chaves foram usadas em todos os testes:
Chave A: 0123 456789AB CDEF Chave B: FEDC BA98 7654 3210
¹ Valor gerado pelo processo de cálculo do CVV.
RESUMO GRÁFICO DO CÁLCULO DO CVV
Número do Instrumento de Pagamento
Data de Exp. (AA/MM) Código de Serviço CVV¹
4123 4567 8901 2345 8701 101 561
4999 9888 8777 7000 9105 111 245
4666 6555 5444 4111 9206 120 664
4333 3222 2111 1222 9307 141 382
‘
Manual de Operações CONFIDENCIAL 42
CVV2
O Valor de Verificação do Instrumento de Pagamento 2 (CVV2) é uma ferramenta designada para reduzir perdas de fraude em transações quando o Instrumento de Pagamento não está presente, como em compras por Correio/Courier/Telefone e Internet, e pode também ser usado em ambiente com Instrumento de Pagamento presente, quando não for possível a leitura da trilha magnética.
No momento da transação (ambiente Instrumento de Pagamento não presente) pode ser solicitado ao Usuário Final o CVV2 que se encontra impresso no verso do Instrumento de Pagamento.
O número do Instrumento de Pagamento e a data de expiração são utilizados no cálculo do CVV2. O algoritmo é o mesmo do CVV, onde o formato da data de expiração que deve ser AAMM. O par de chaves utilizado no cálculo do CVV2 pode ser o mesmo utilizado no cálculo do CVV.
Os dados que são utilizados no calculo do CVV2 são:
• Número do Instrumento de Pagamento • Data de expiração que aparece na frente do Instrumento de Pagamento
(MMAA) • Três zeros, em lugar do Código de Serviço
Estes três componentes são encriptados usando o padrão DES – Data Encryption Standard e o par de chaves de verificação do Instrumento de Pagamento (CVC), que resultará nos três dígitos do CVV2.
Processo Exclusive-OR (XOR)
O processo exclusive-OR (XOR) deve ser executado para cada combinação de dois bits, resultando em um terceiro bit.
Exemplo:
0 0 1 1 XOR 0 XOR 1 XOR 0 XOR 1
0 1 1 0
O próximo valor mostra o processo XOR com valores hexadecimais.
• Primeiro Valor: F173 • Segundo Valor: 29C1
‘
Manual de Operações CONFIDENCIAL 43
Usando a notação binária, os dois valores acima ficarão da seguinte forma:
• Primeiro Valor: 1111 0001 0111 0011 (F173) • Segundo Valor: 0010 1001 1100 0001 (29C1)
Quando aplicamos o processo XOR no primeiro e segundo valor, produzimos o seguinte resultado:
Primeiro Valor: 1111 0001 0111 0011 (F173) XOR
Segundo Valor: 0010 1001 1100 0001 (29C1) Resultado: 1101 1000 1011 0010 (D8B2) O estabelecimento:
• Pode gerar um Comprovante de Venda Eletrônico (Instrumento de Pagamento passado no POS/TEF, com leitura e transmissão da trilha magnética) ou Manualmente (preenchendo a caneta os campos da nota de despesa (via URA));
• Deve fornecer as seguintes informações para o comprovante, manual ou eletrônico:
o Valor total da despesa em moeda corrente Nacional o Informação de segurança (CVV2)
• O Recibo Manual deve incluir ainda: o Data da transação o O número, nome e validade do Instrumento de Pagamento devem estar
preenchidos de forma legível. o Número do documento de identificação - RG o A assinatura do Usuário Final deve ser requerida após o completo
preenchimento de todas as informações no Comprovante de Venda e da obtenção do código de autorização.
Caso o estabelecimento não siga as normas de aceitação do Instrumento de Pagamento descritas acima, poderá ser debitado em Chargeback, em caso de despesas não reconhecidas pelo Usuário Final.
Se a nota de despesa em uma transação não eletrônica, não estiver corretamente preenchida, e o Usuário Final do Instrumento de Pagamento não reconhecer a transação, o Estabelecimento poderá ser debitado em Chargeback por “Instrumento de Pagamento Não Apresentado”
O conteúdo dos comprovantes de venda processados em POS/TEF ou manualmente podem variar com o produto, processadora e tipo de transação. O conteúdo mínimo é:
• Data da transação • Valor da transação • Identificação do estabelecimento para a credenciadora • Identificação da rede de captura
‘
Manual de Operações CONFIDENCIAL 44
• Número do Instrumento de Pagamento, suprimindo parcialmente • Nome do Usuário Final (opcional em caso de senha) • Código de autorização • Tipo da transação • Assinatura do Usuário Final (opcional em caso de senha) • Se transação é parcelada:
o Valor total da transação
VI - 4.1. Modelos de comprovante de venda
VI - 4.1.1. Emitido pelo POS
Uma parte do número do Instrumento de Pagamento deve ser inibida no comprovante de venda eletrônico.
** No comprovante de venda aparecerá “Venda Crédito a Vista” ou “Venda Crédito Parcelado Lojista em X Parcelas” conforme a opção do Usuário Final.
‘
Manual de Operações CONFIDENCIAL 45
VI - 4.1.2. Emitido pelo TEF
VI - 4.1.3. Emitido Manualmente
‘
Manual de Operações CONFIDENCIAL 46
VI - 5. Relatórios de Fraude
O emissor deve notificar uma fraude ou suspeita de fraude para a Good Card , apresentando os seguintes dados da transação:
• Identificação do Estabelecimento que aceitou o Instrumento de Pagamento, através do número de credenciamento ou CNPJ.
• Identificação do emissor / Número do Instrumento de Pagamento. • Data e valor da transação. • Indicador de transação, On-line, Off-line, URA, etc. • Descrição detalhada da fraude ou do motivo da suspeita.
As notificações de fraudes devem ser encaminhadas para o BackOffice da Good Card , utilizando o formulário “Formulário de Notificação de Fraude ” (Anexo 2)
VI - 5.1. Monitoramento de Fraudes e Chargeback do Estabelecimento
A Good Card monitora transações para identificar estabelecimentos que geram um grande número de Fraudes em relação ao faturamento com o Instrumento de Pagamento. Essa relação é aceitável até um máximo de 3% do faturamento bruto do estabelecimento. Esse percentual é calculado da seguinte forma para cada Estabelecimento: (Total financeiro das fraudes do mês, dividido pelo faturamento com todos os instrumentos de pagamento que tiveram transações no mesmo período).
Os Estabelecimentos que tiverem um alto índice de Fraude (acima de 3% do faturamento), ou um alto volume de Chargeback (acima de 50% do total das fraudes), receberão uma notificação, podendo ainda, se for o caso, serem descredenciados.
‘
Manual de Operações CONFIDENCIAL 47
VI - 5.2. Banimento / Cancelamento de Estabelecimentos
O Emissor poderá solicitar à Good Card para temporariamente ou permanentemente proibir um estabelecimento de participar dos programas Good Card por alguma das seguintes razões:
• Atividade fraudulenta ou alto índice de fraude nas vendas versus faturamento com os produtos Good Card .
• Apresentação de recibos de transações que não sejam resultantes de uma ação entre Usuário Final do Instrumento de Pagamento e o estabelecimento.
• Ramo de atividade diferente do que foi cadastrado para operar com o sistema Good Card .
• Utilização do sistema para empréstimo de dinheiro / agiotagem. • Crime de Lavagem de dinheiro. • Não colaborar ou impedir com as investigações de fraude. • Qualquer outra atividade que afetar o bom funcionamento do sistema da
Good Card , se o estabelecimento não tomar nenhuma ação corretiva depois de notificado.
Ficará a critério da Good Card , acatar ou não a solicitação do Emissor.
Para solicitações de banimento/cancelamento o emissor deve encaminhar e-mail com as informações do estabelecimento para BackOffice da Good Card , contendo:
• CNPJ • Nome Estabelecimento • Endereço Completo • Contato • Motivo detalhado
VI - 6. Monitoramento de Fallhas de Segurança
VI - 6.1. Gestão de Vulnerabilidades Interna/Externa
Gerenciar vulnerabilidades permite identificar falhas de segurança antes de um agente malicioso, e, ao promover ações imediatas de melhoria no desenvolvimento, a empresa antecipa-se ao risco de ataques a partir de seus sistemas. O emissor e credenciador devem realizar testes internos na sua rede, testes externos e internos nos portais, simulando alguns ataques de origem externa.
‘
Manual de Operações CONFIDENCIAL 48
VI - 6.2. Gestão de Segurança
Para a administração da segurança da informação e propriedade intelectual dos dados e informações dos participantes do sistema Good Card , são adotados processos e recursos baseados nas melhores práticas do mercado, aliadas com o comprometimento dos colaboradores.
A Good Card exige de emissores e credenciadores que adotem as seguintes práticas de gestão de informações dos participantes:
• Cada colaborador deve receber treinamento e assinar termo de comprometimento quanto a utilização dos recursos e de informações, a fim de preservar a confidencialidade, integridade e disponibilidade dos processos;
• Para garantir a segurança da informação, de redes, de sites, de servidores e de canais de comunicação, devem ser adotados os seguintes mecanismos:
1. É vedado o armazenamento, a cópia, o uso e transmissão de informações de propriedade intelectual sem a autorização expressa da organização (proprietária);
2. O acesso a sistemas de informação, rede e ferramentas tecnológicas deve ocorrer com identificação pessoal, inequívoca e intransferível;
3. O compartilhamento de credenciais de acesso é expressamente proibido. A responsabilidade por qualquer incidente realizado através de senhas compartilhadas com terceiros é atribuída ao titular do login e senha de acesso;
4. Os recursos e/ou ativos de tecnologia são de propriedade e/ou administrados pela organização. Os mesmos devem ser utilizados exclusivamente para atividades profissionais pertinentes a atividade fim;
5. O acesso à informações do colaborador, e que está sob sua guarda, é pertinente ao desenvolvimento de suas atividades, acessos não pertencentes a sua atividade, não estarão disponíveis;
• Incidentes ou eventos que possam impactar na segurança de informações da organização devem ser reportados à Good Card . Os usuários devem estar cientes dos procedimentos para reporte. Todos os incidentes identificados devem ser analisados e tratados. Os resultados desta análise devem ser levados em consideração para a melhoria continua dos processos de Segurança da Informação;
• Todo usuário com acesso a ambientes físicos da empresa deve estar com crachá de identificação funcional pessoal ou empresas ligadas. Em ambientes externos, não é permitido o uso do crachá de identificação;
‘
Manual de Operações CONFIDENCIAL 49
• Para assegurar a conformidade com as disposições da segurança da informação, a Good Card reserva-se ao direito, a qualquer momento, de monitorar ou auditar emissores ou credenciadores, a fim de assegurar o correto cumprimento das normas descritas neste manual;
VI - 7. Prevenção a Fraudes
VI - 7.1. Técnicas de Prevenção a Fraudes
O emissor e credenciadora devem assegurar todos os esforços em mecanismos que coibam a ocorrência de fraude, através do monitoramento das autorizações e tratamento das demandas operacionais.
Entre as principais atividades na prevenção de fraudes, destacam-se:
• Tratamento dos alertas gerados pelas ferramentas; • Analise e tratamento das filas de segurança; • Tratamento das demandas do CORREIO/COURIER (EBCT); • Tratamento das demandas de POC.
VI - 7.1.1 Tratamento de Alertas
As autorizações devem ser monitoradas por ferramentas de detecção e prevenção, sendo elas neural ou regras.
Neural: As ferramentas que tem essa característica, devem ser definidas o ponto de corte do score para tratamento dos alertas. Tem característica de pontuação através de score no modelo de benchmarking de 0 a 100, cabendo ao gestor do processo, analisar a carteira e decidir a faixa de corte.
Regras: As ferramentas que tem essa característica, devem ter regras previamente desenhadas e aplicadas para a gerar alertas. Tem característica de classificação dos alertas, através de condições pré- estabelecidas no desenho em que as mesmas forem formatadas.
Exemplos Alertas:
• Alteração de endereço, com emissão de nova via < que 20 dias gera alerta;
• Transação em Posto de Combustível superior a determinado valor;
• Transação realizada em localidade fora do padrão comportamental do Usuário Final;
• Quantidade X de consultas de saldo em N espaço de tempo;
‘
Manual de Operações CONFIDENCIAL 50
Geração de Alertas
Os alertas serão gerados a partir da classificação do score nas ferramentas e do enquadramento das regras pré-definidas na ferramenta de detecção e prevenção.
Os alertas devem ser distribuídos para análise por prioridade e por grau de experiência dos analistas.
VI - 7.1.2. Fila de Segurança
Cabe ao emissor, monitorar as alterações de endereços, seguida da emissão de nova via e inclusão de adicional realizado na central de atendimento.Neste caso, deverá gerar uma fila de trabalho que será derivada para a área de prevenção à fraude.
Procedimentos:
• Proceder contato ativo com o Usuário Final, afim de confirmar se as manutenções são ou não positivas;
• Havendo contestação da manutenção, o analista suspende a emissão da nova via, cancela a via por possível INVASÃO DE CONTA;
• Retornar o endereço e telefones anteriores e originais do Usuário Final;
• Solicita novo plástico; • Solicita carta de contestação para o Usuário Final. • O Usuário Final confirmando a manutenção: • O analista libera a emissão e registra a informação no sistema.
VI - 7.1.3. Tratamento de Extravio Correio/Courier (EBCT)
Cabe ao emissor, monitorar, todas as ocorrências de sinistro ocorridas no agente entregador. Solicitar ao agente um comunicado via e-mail com a ocorrência e os números do AR.
Após o recebimento do comunicado:
• Proceder pesquisa em uma base de dados de AR e localizar o numero do Instrumento de Pagamento;
• Realizar contato ativo com o Usuário Final; • Cancelar a via por extravio; • Solicitar emissão de novo plástico. • Caso o Usuário Final não seja contatado:
‘
Manual de Operações CONFIDENCIAL 51
• O Instrumento de Pagamento é bloqueado preventivamente; • O analista deixa recado para o Usuário Final retornar contato; • E registra a demanda no sistema.
VI - 7.1.4. Tratamento de POC(Ponto de Comprometimento)
As ocorrências de POC são comunicadas pelos credenciadores via e-mail aos emissores e processadoras. Procedimentos:
• Proceder pesquisa na copia da base de dados de autorizações; • Localizar todos os instrumentos de pagamento com passagem
no estabelecimento apontado como POC; • Realizar contato ativo com o Usuário Final, para confirmar as
últimas transações.
O Usuário Final reconhecendo as ultimas transações:
• Proceder cancelamento do Instrumento de Pagamento por FALSIFICAÇÃO;
• Solicitar novo plástico.
O Usuário Final desconhecendo as ultimas transações:
• Proceder cancelamento do Instrumento de Pagamento por FALSIFICAÇÃO;
• Solicitar novo plástico; • Abertura de processo para chargeback.
Caso o Usuário Final não seja contatado:
• Proceder bloqueio preventivo; • Deixar recado para Usuário Final retornar contato; • Registrar demanda no sistema.
VI - 8. Plano de Continuidade de Negócio (PCN)
O plano de continuidade de negócios tem como principal objetivo possibilitar o funcionamento da organização em um nível aceitável nas situações de contingência, onde há indisponibilidade dos recursos de informação. A impossibilidade de realizar as suas operações traz sérios impactos financeiros, operacionais e de imagem para Good Card .
‘
Manual de Operações CONFIDENCIAL 52
A Good Card poderá exigir dos emissores e credenciadores que submetam para aprovação da Good Card o plano de continuidade de negócios, a fim de verificar se as práticas adotadas descritas no plano, atendem aos padrões mínimos exigidos pela Good Card .
VI - 8.1. Estrutura de um plano de continuidade de negócios
O PCN deve apontar quais os processos críticos que suportam o negócio da organização e os procedimentos necessários para evitar ou mitigar a indisponibilidade dos serviços, de forma que os processos possam ser recuperados no menor intervalo de tempo possível e de acordo com as prioridades do negócio, após a ocorrência de um desastre.
Plano de Continuidade de Negócios (PCN) deve conter:
1. Linha de responsabilização pela continuidade de negócios, vinculando coletivamente os administradores da entidade.
• Define a Política de Continuidade de Negócios onde se encontram as diretrizes, objetivos, requisitos e responsabilidades pela GCN (Gestão da Continuidade de Negócios);
2. Descrição de cenários críticos a serem contemplados na abordagem do gerenciamento da continuidade de negócios, que devem incluir situações de ruptura operacional severa, que imponham um substancial risco à continuidade operacional da entidade.
• Define os cenários críticos descritos na Análise de Impacto nos Negócios (BIA), quando os produtos e serviços serão analisados em função do impacto operacional, financeiro, regulatório e de imagem em caso de interrupção;
3. Descrição dos objetivos de recuperação, que levem em conta o risco operacional.
• Os objetivos de recuperação dos produtos e serviços após uma interrupção (RTO, RPO, MTPD e MBCO) serão definidos após a realização da Análise de Impacto nos Negócios (BIA), onde:
o RTO: Objetivo de tempo de recuperação (tempo em que um produto/serviço precisa ser retomado)
o RPO: Objetivo de ponto de recuperação (backup) o MTPD: período máximo de interrupção tolerável o MBCO: objetivos/recursos mínimos de continuidade de negócios
‘
Manual de Operações CONFIDENCIAL 53
4. Descrição dos procedimentos de comunicação com participantes internos e externos, nos casos de situações de interrupção de serviços.
• O Plano de Resposta à Emergência e Gerenciamento de Crise irá descrever os procedimentos de comunicação com as partes internas e externas, responsabilidades e operação do centro de comando de crise.
5. Descrição dos procedimentos para testar periodicamente o plano de continuidade de negócios, bem como de seu aperfeiçoamento a partir da avaliação dos resultados desses testes.
• Um programa de exercícios e testes será desenvolvido para avaliar periodicamente a eficácia do Plano de Continuidade de Negócios, usando as lições aprendidas para a melhoria do plano.
‘
Manual de Operações CONFIDENCIAL 54
Capítulo VII – Infraestrutura VII - 1. Infraestrutura de Comunicação para Transaç ão
VII - 1.1. Volumetria e Horário de Pico
Para viabilizar a avaliação do link a ser contratado para a comunicação entre a Good Card e o Autorizador, o emissor deverá fornecer as seguintes informações:
• Volumetria estimada para as transações com seus produtos; • Horário de maior concentração das transações com seus produtos
(horário de pico); • Data do mês ou semana que se concentra o maior volume de suas
transações.
VII - 1.2. Informações para a comunicação entre a Good Card e o Emissor
Através das informações acima, deverá ser definida a solução on-line (Link de dados) e solução batch (conciliação). Também será necessária a definição para contingências, solução de ambiente de teste (pré e pós-implantação), ferramentas de gerenciamento e recuperação de falhas.
A Good Card utiliza Data Center próprio e terceirizado onde sua processadora e rede de captura operaram. Sendo assim, os Links Contratos pelo Emissor deverão ser integrados nesta.
Recomendação para utilização de Link MPLS: Padrão TCP-IP mínimo 1Mbyte (pode variar de acordo com o cálculo de volumetria) com SLA e QOS, onde a contratação pelo emissor deve:
• Possuir dois links, um principal e outro secundário de concessionárias diferentes e respectivos roteadores;
Observações:
• Pode ser necessário aumento da banda dependendo da volumetria estimada, ficará de acordo com o Emissor o controle da necessidade de aumento de links e controle, os roteadores contratados e links deverão prever aumento;
• Não é permitido o compartilhamento dos links onde passam as transações online com a transmissão de arquivos batch;
• Para transmissão de arquivos batch, o emissor irá conectar através de SFTP via túnel de VPN.
• A contratação do link é de responsabilidade do Emissor.
‘
Manual de Operações CONFIDENCIAL 55
VII - 1.3. Criptografia de Senhas
A Good Card utiliza criptógrafos específicos, dentro dos padrões PCI-DSS, para criptografar as senhas dos instrumentos de pagamento. A troca das chaves de criptografia com seus emissores, redes de captura e fornecedores deve ser realizada em um cerimonial de troca de chaves, com a presença física dos custodiantes (guardadores das chaves).
VII - 1.4. Monitoramento de Ambiente
A Good Card possui equipe especializada de monitoramento de links de comunicação e ambiente de autorização. Este serviço é disponibilizado 24 horas por dia e 7 dias por semana. Monitora os ambientes de credenciadoras e emissores de Instrumento de Pagamento, a fim de garantir a continuidade de negócios dos seus parceiros.
As regras de monitoramento estão descritas abaixo:
• Verificado se o link está no ar - On-Line; • Verificado se a porta do autorizador está aberta – 1 em 1 minuto
(ECHOs – 0800). São 4 instâncias, logo 4 ECHOs por minuto. • Verificado se a quantidade de transações “Emissor fora do ar” ou
“Emissor Indisponível” na seguinte regra: o 09:00 – 18:00 – 10 em 10 minutos nas últimas 3 horas não
podem haver mais de 4 mensagens “Emissor fora do ar” ou “Emissor Indisponível”
o 18:00 – 09:00 – 10 em 10 minutos nas últimas 3 horas não podem haver mais de 6 mensagens “Emissor fora do ar” ou “Emissor Indisponível”
Em quaisquer ocorrências desta natureza, o painel recebe um alerta e o técnico de plantão é acionado. Neste momento o comportamento do emissor e/ou credenciadora é monitorado por um técnico especializado, que fará o diagnóstico do problema e tomará a ação cabível.
VII - 1.4.1. Contatos de Plantão (Scalation)
É obrigatório a emissores e credenciadores manter atualizado junto a Good Card os nomes e telefones dos plantões de atendimento de infraestrutura.
O Scalation é definido em 3 níveis, onde os contatos são realizados obedecendo a sequência de nível 1, 2 e 3 respectivamente.
‘
Manual de Operações CONFIDENCIAL 56
Em caso de solicitação de atendimento por parte da equipe de plantão da Good Card , em qualquer Nível do scalation, fica obrigatório o retorno à solicitação, com o “ciente” do problema ou aviso relatado.
Após o contato o emissor ou credenciadora devem tomar as providências para solução do problema ou ajustes necessários que forem solicitados pela Good Card .
‘
Manual de Operações CONFIDENCIAL 57
Capítulo VIII – Autorização de Transações VIII - 1. Requisição de Autorização
Requisição de autorização ocorre quando o Usuário Final comparece em um estabelecimento comercial credenciado na Good Card , utilizando um Instrumento de Pagamento.
O estabelecimento comercial utiliza equipamento de captura específico gera uma requisição de autorização para pagamento de produto(s) ou serviço(s). A requisição de autorização é gerada através de um padrão de mensageria descrito neste capítulo item 4.
A mensagem de requisição de autorização é encaminhada para o autorizador do emissor, através do sistema de roteamento da Good Card (switch). O sistema de autorização do emissor deve aplicar regras para aprovar ou não a transação.
O Emissor deve autorizar transações através de uma Processadora de instrumentos de pagamento próprio ou terceirizado, desde que aprovado e certificado pela Good Card . A Processadora deverá manter o registro das requisições de autorização para conciliação e/ou consultas.
O acesso ao registro das requisições de autorização (LOG) pode ser solicitado pela Good Card , para fim de auditoria do tratamento das mensagens. Esta auditoria pode ser solicitada sem aviso prévio.
VIII - 2. Regras de Autorização
As regras são determinadas pelo Emissor para controlar o uso dos instrumentos de pagamento e seus limites de crédito, como também prevenir perdas financeiras como por exemplo, por um evento de fraude.
As concessões de limites de créditos são exclusivamente de responsabilidade do Emissor, cabendo ao próprio emissor definir suas políticas de concessão. Cabe a processadora aplicar regras de prevenção de fraudes ao sistema, validando os itens básicos de segurança, conforme descrito neste manual, capítulo VI.
Exemplo de Regras de Autorização:
• Regras para excesso de limite de Crédito • Regras para instrumentos de pagamento bloqueados • Regras para transações parceladas • Regras para determinar localidades permitidas • Regras por tipo de estabelecimento credenciado
‘
Manual de Operações CONFIDENCIAL 58
O Emissor é totalmente responsável pelas transações Aprovadas ou Negadas e Responderá pelas eventuais reclamações dos usuários finais de instrumentos de pagamento.
A transação é considerada APROVADA quando o autorizador realizou as verificações necessárias, de acordo com os critérios definidos pelo Emissor e retornou uma mensagem de aprovação para a rede captura.
A mensagem de resposta de confirmação de aprovação deve conter o código da requisição “210” e o BIT 39 com código “00”, conforme tabela de códigos de resposta descrito no capítulo VIII - 7.
A transação é considerada REJEITADA, quando o autorizador não retornar resposta ao pedido de autorização, ou seja, respondida uma requisição de autorização com código “210” e o BIT 39 com código diferente “00”. Os códigos de resposta para cada tipo de rejeição de autorização estão descritos no descrito no capítulo VIII - 7.
VIII - 3. Indice de Nível de Serviço
Um Emissor Good Card deve estar disponível 24 horas por dia nos 7 dias por semana para autorizar transações de seus usuários finais. Cabe ao emissor definir um Plano de Contingência de seu autorizador, em caso de falhas ou indisponibilidades. A critério da Good Card , poderá ser exigido a apresentação do documento de PCN (Plano de Continuidade de Negócios) do emissor, a fim de auditar os procedimentos do emissor em caso de desastres.
• A Good Card poderá aplicar penalidades ao emissor pelo tempo que o sistema permanecer Indisponível, impactando os usuários do Instrumento de Pagamento, conforme capítulo XIII - 2.7. Penalidades para Emissores.
Os contatos de plantão de atendimento para suporte no sistema de autorização do emissor (scalation), deve ser disponibilizado para Good Card , mantendo sempre atualizado. No caso de contatos da Good Card , deve ser respondido de imediato.
‘
Manual de Operações CONFIDENCIAL 59
Índice de disponibilidade = Percentual de Pedidos de Autorização encaminhados ao Emissor e que não foram respondidas no prazo de 10 segundos do Total de Requisições de Autorização. O percentual exigido pela Good Card deve ser maior ou igual 99,7% de disponibilidade mensal. NOTA: As transações encaminhadas para o emissor que não forem respondidas no tempo máximo de 10 segundos, serão computadas no cálculo de indisponibilidade do emissor e serão respondidas para rede captura como “Emissor Indisponível”. O Emissor deve garantir uma resposta para cada pedido de autorização recebido. VIII - 4. Estrutura das Mensagens
VIII - 4.1. Tamanho da mensagem
Contém o tamanho, em bytes, do restante da mensagem: tipo da mensagem, mapas de bits e elementos de dados. O tamanho é representado em binário por um inteiro positivo de 2 bytes (unsigned short), sendo o byte mais significativo primeiro. Portanto, o tamanho máximo de uma mensagem é 65535 bytes.
Por exemplo, se uma mensagem possuir apenas um mapa de bits e 120 bytes de elementos de dados, o campo tamanho da mensagem (4 + 16 + 120 = 140) conterá os bytes 0x00 e 0x8C, nesta ordem; se outra mensagem possuir dois mapas de bits e 450 bytes em elementos de dados, o campo tamanho da mensagem (4 + 32 + 450 = 486) conterá os bytes 0x01 e 0xE6, nesta ordem.
‘
Manual de Operações CONFIDENCIAL 60
VIII - 4.2. Tipo da mensagem
Identifica o funcionamento geral da mensagem. É representado com 4 dígitos em ASCII, ocupando 4 bytes, e é obrigatório em todas as mensagens. Os seguintes tipos são utilizados pela Good Card :
0800 Requisição de gerenciamento de rede
0810 Resposta de gerenciamento de rede
0100 Requisição de consulta / configuração de saque/perguntas
0110 Resposta de consulta / configuração de saque/perguntas
0200 Requisição de compra / saque / pagamento de fatura
0210 Resposta de compra / saque / pagamento de fatura
0400 Requisição de cancelamento
0410 Resposta de cancelamento
0420 Requisição de desfazimento
0430 Resposta de desfazimento
VIII - 4.3. Mapas de bits
A norma ISO 8583 utiliza um esquema de mensagens baseado em um ou dois mapas de bits, cada um contendo 64 bits. Cada bit do mapa de bits indica a presença (1) ou ausência (0) do campo de dados correspondente. Os bits são numerados da esquerda para a direita, começando em 1, e representados como números hexadecimais em ASCII.
O primeiro mapa de bits (campos 1-64) sempre estará presente e contém os campos mais utilizados. O segundo mapa de bits (campos 65-128) contém campos mais incomuns, e somente estará presente caso necessário. A presença do segundo mapa de bits é sinalizada por um "1" no primeiro bit do primeiro mapa de bits.
Por exemplo, uma requisição de gerenciamento de rede (0800) que possui os elementos 7, 11, 12, 13 e 24 tem como mapa de bits a string "0238010000000000".
‘
Manual de Operações CONFIDENCIAL 61
VIII - 4.4. Campos de dados
Após o(s) mapa(s) de bits vem uma sequência de campos de dados. Cada campo tem significado próprio e um tipo de dados, que pode ser de tamanho fixo ou variável. Os tipos dedados utilizados neste documento são:
Código Descrição
n Dígitos '0' a '9'
A Letras 'a' a 'z' e 'A' a 'Z'
an Dígitos e letras 'a' a 'z' e 'A' a 'Z'
ans Dígitos, letras e caracteres especiais
h Número hexadecimal representado em ASCII
z Dados da trilha magnética definidos na ISO-7813
b Dados binários (bytes de 00h a FFh), sendo que o byte mais significativo é o primeiro da sequência
Todos os tipos (exceto dados binários: b) são codificados em caracteres ASCII ISO-8859-1, de preferência sem utilização de acentuação em campos alfanuméricos.
Campos de tamanho fixo são representados pelo tipo seguido do tamanho (exemplo n6: 6 caracteres numéricos tamanho fixo). Campos numéricos são preenchidos com '0's à esquerda, campos texto são preenchidos com espaços (ASCII 20h) à direita.
Campos de tamanho variável são representados pelo tipo seguidos de dois pontos, seguidos do tamanho máximo (por exemplo, an..11: tamanho variável até 11 caracteres alfanuméricos). Um campo de tamanho variável é composto por dois subcampos:
• Tamanho real dos dados, codificado em dígitos ASCII; • Dados propriamente ditos.
O tamanho variável é definido pelos seguintes formatos:
Código Descrição
LLVAR Campo de tamanho variável até 99 caracteres (2 dígitos para o tamanho)
LLLVAR Campo de tamanho variável até 999 caracteres (3 dígitos para o tamanho)
LLLLVAR Campo de tamanho variável até 9999 caracteres (4 dígitos para o tamanho)
Por exemplo, um campo LLVAR do tipo ans..25 contendo os dados "RESTAURANTE BOM ALMOCO" é codificado pela string "22RESTAURANTE BOM ALMOCO".
‘
Manual de Operações CONFIDENCIAL 62
VIII - 4.4.1. Obrigatoriedade dos campos de dados
Neste documento é utilizada a seguinte convenção:
Código Descrição
M Obrigatório
ME Obrigatório eco da requisição
O Opcional
C Condicional, ver observações
CE Condicional eco da requisição
- Não utilizado nesta mensagem
VIII - 4.4.2.Definição dos campos de dados
Campo 1 – Segundo mapa de bits
Representação h 16
Descrição Segundo mapa de bits, presente nas mensagens que possuam preenchidos campos de 65 até 128.
Campo 2 – Número do Instrumento de Pagamento (PAN – primary account number )
Representação n. 19
Formato LLVAR
Descrição Número do Instrumento de Pagamento ou BIN+afinidade, dependendo da operação sendo realizada. Nas operações de consulta e transação financeira (1xx/2xx) com Instrumento de Pagamento, este campo será enviado apenas quando o modo de entrada for "digitação" (é mutuamente exclusivo em relação ao campo 35) contendo o número do Instrumento de Pagamento. Na requisição de 1ª compra sem Instrumento de Pagamento (0200), este campo será enviado obrigatoriamente contendo o BIN do emissor seguido da afinidade (início da faixa de instrumentos de pagamento), e o autorizador deve obrigatoriamente devolver neste campo o número de Instrumento de Pagamento completo do Usuário Final na resposta (0210). Nas transações de reversão (4xx) este campo é obrigatório.
‘
Manual de Operações CONFIDENCIAL 63
Campo 3 – Código de processamento
Representação n 6
Descrição Em conjunto com o tipo de mensagem, indica a operação sendo realizada.
Valores possíveis:
• Consultas 1xx: o 302000 – consulta saldo débito o 303000 – consulta saldo crédito (limite disponível) o 313000 – consulta pagamento de fatura crédito o 332000 – consulta condições de pagamento débito (CDC) o 333000 – consulta condições de pagamento crédito o 732000 – configuração saque débito (ATM) o 733000 – configuração saque crédito (ATM) o 740000 – configuração de perguntas
• Transações financeiras 2xx: o 002000 – compra débito o 003000 – compra crédito o 012000 – saque débito (ATM) o 013000 – saque crédito (ATM) o 122000 – saque no estabelecimento débito (cash advance) o 123000 – saque no estabelecimento crédito (cash advance) o 500030 – pagamento de fatura crédito
Campo 4 – Valor da transação
Representação n 12
Descrição Valor da transação na moeda descrita no campo 49, sendo os dois últimos dígitos os centavos. Por exemplo, para representar o valor R$1.234,56 o campo será "000000123456".
Campo 7 – Data e hora da transmissão
Representação n 10
Formato MMDDhhmmss
Descrição Data e hora UTC (GMT) do envio da mensagem de requisição.
‘
Manual de Operações CONFIDENCIAL 64
Campo 11 – Número de auditoria
Representação n 6
Descrição Nº sequencial gerado pelo remetente da transação para ajudar a identificá-la unicamente. Este nº deve ficar inalterado em todas as mensagens (requisição, repetições, resposta) relativas a uma mesma transação.
Campo 12 – Hora local da transação
Representação n 6
Formato hhmmss
Descrição Hora local em que a transação é realizada pela captura do Instrumento de Pagamento.
Campo 13 – Data local da transação
Representação n 4
Formato MMDD
Descrição Data local em que a transação é realizada pela captura do Instrumento de Pagamento.
Campo 14 – Data de validade do Instrumento de Pagam ento
Representação n 4
Formato AAMM
Descrição Ano e mês de validade do Instrumento de Pagamento. Poderá ser enviado apenas quando o meio de captura for Mobile, E-commerce e URA.
Campo 18 – Categoria do estabelecimento (MCC)
Representação n 4
Descrição Tipo de negócio ou serviço do estabelecimento segundo a ISO-18245.
‘
Manual de Operações CONFIDENCIAL 65
Campo 22 – Modo de entrada do número do Instrumento de Pagamento
Representação n 3
Descrição Código indicando a forma de entrada do número do Instrumento de Pagamento (PAN).
Valores possíveis:
• 010 – digitação do número de Instrumento de Pagamento • 011 – digitação do CPF do Usuário Final (1ª compra sem Instrumento de
Pagamento) • 021 – leitura da trilha magnética e com digitação de senha • 022 – leitura da trilha magnética e sem digitação de senha • 050 – leitura do ICC (chip) e senha validada off-line • 051 – leitura do ICC (chip) e senha validada on-line
Campo 24 – Código de função
Representação n 3
Descrição Código indicando o propósito específico da mensagem dentro de sua classe. Os valores possíveis estão listados na seção 6 – Códigos de Função
Campo 32 – Código de identificação do credenciador
Representação n..11
Formato LLVAR
Descrição Código de identificação da credenciadora. Deve ser preenchido com o valor negociado entre Good Card e Emissor. Usado preferencialmente 00000001234.
‘
Manual de Operações CONFIDENCIAL 66
Campo 35 – Trilha 2 do Instrumento de Pagamento
Representação z..37
Formato LLVAR
Descrição A trilha 2 do Instrumento de Pagamento conforme ISO-7813, excluindo os sentinelas de início e fim e o LRC. Este campo será enviado apenas quando o modo de entrada for diferente de "digitação", ou seja, quando houver a leitura da tarja magnética ou do ICC (é mutuamente exclusivo em relação ao campo 2).
Campo 37 – Código de referência
Representação ans 12
Descrição Código utilizado para identificar unicamente uma transação em um determinado dia. É uma junção do nº de auditoria, identificação do terminal e rede de captura.
Campo 38 – Número de autorização
Representação n 6
Descrição Número gerado pelo autorizador sempre que uma solicitação for aprovada. Solicitações reprovadas não precisam ter número de autorização. No retorno do desfazimento (0430) este campo é opcional.
Campo 39 – Código da ação (resposta)
Representação an2
Descrição Código de resposta de uma transação, indicando a ação tomada bem como o motivo desta ação. Os valores possíveis para cada tipo de mensagem estão listados na seção 5 – Códigos de Ação
Campo 41 – Identificação do terminal
Representação ans8
Descrição Identificador do terminal na rede de captura.
‘
Manual de Operações CONFIDENCIAL 67
Campo 42 – Identificação do estabelecimento
Representação ans 15
Descrição Identificador do estabelecimento na rede Good Card .
Campo 43 – Dados do estabelecimento
Representação ans..99
Formato LLVAR
Descrição Informações adicionais sobre o estabelecimento. Este campo é composto pelos seguintes subcampos:
• Nome do estabelecimento (LLVAR ans..50) • Cidade onde se encontra o estabelecimento (LLVAR ans..28) • País onde se encontra o estabelecimento (a3, código alfa3 da ISO 3166) • CEP do estabelecimento (n8)
Exemplo:
Para o estabelecimento “Posto Combustíveis Petrobras”, em “Santo Antonio da Patrulha”, “Brasil”, CEP “95500-992”, o valor do campo será, desconsiderando-se os dois dígitos do tamanho LLVAR do próprio campo 43 (68, no caso): 28Posto Combustíveis Petrobras25Santo Antonio da PatrulhaBRA95500992
Campo 45 – Trilha 1 do Instrumento de Pagamento
Representação z..76
Formato LLVAR
Descrição A trilha 1 do Instrumento de Pagamento conforme ISO-7813, excluindo os sentinelas de início e fim e o LRC. Este campo será enviado apenas quando o modo de entrada for diferente de "digitação", ou seja, quando houver a leitura da tarja magnética ou do ICC (é mutuamente exclusivo em relação ao campo 2) e o terminal tenha capacidade para sua leitura.
‘
Manual de Operações CONFIDENCIAL 68
Campo 48 – Informações adicionais
Representação ans..999
Formato LLLVAR
Descrição Informações adicionais dependentes de qual operação sendo realizada. Cada informação é contida em um campo que segue o formato *SSSLLLXXX...
* – separador de campos, obrigatório sempre, inclusive no primeiro campo.
• SSS – sigla de identificação do campo. • LLL – tamanho dos dados. • XXX... – dados do campo.
Vários campos podem ser concatenados até o limite de 999 caracteres.
Campos disponíveis:
1. CNPJ
CNPJ do estabelecimento. Obrigatório nas requisições de consulta, compra, saque e pagamento; opcional nas requisições de cancelamento e desfazimento. Formato: *CNP014XXXXXXXXXXXXXX
• XXXXXXXXXXXXXX – CNPJ do estabelecimento (somente dígitos)
2. Venda parcelada
Campo obrigatório nas operações que envolvam parcelamento (compra parcelada, consulta de condições de pagamento). Formato da requisição: *VPS011FPPAAAAMMDD ou *VPS003FPP ou *VPS001F (este somente para consulta condições pagamento)
• F – Financiamento o 1 – sem juros (parcelado lojista) o 2 – com juros (parcelado emissor) o 3 – CDC (crédito direto ao consumidor)
• PP – quantidade de parcelas • AAAAMMDD – data da primeira parcela (somente caso de CDC
e débito pré-datado)
‘
Manual de Operações CONFIDENCIAL 69
Formato da resposta: *VPR071FTTTTTTTRRRRRRRSSSSSSSPPPPPPP EEEEEEEBBBBBBBBAAMMDDNNJJJJJAAAAAAAVVVVVVV ou *VPRLLLFNNVVVVVVVNNVVVVVVV...
• LLL – tamanho do valor o 071 – resposta padrão para compra parcelada e consultam condições
de pagamento fornecendo o número de parcelas o variável – resposta para quando não é fornecido o número de parcelas na consulta de condições de pagamento. O campo conterá uma sequência de condições possíveis, cada uma contendo o número de parcelas e o valor da parcela. Será igual ao número de condições multiplicado por 9 mais 1 (indicador de tipo de financiamento). Por exemplo, para as condições com juros 2x R$ 500,00, 3x R$ 166,66 e 4x R$ 129,99 o campo ficaria *VPR0282020050000030016666040012999
• F – Financiamento o 1 – sem juros (parcelado lojista) o 2 – com juros (parcelado emissor) o 3 – CDC (crédito direto ao consumidor)
• TTTTTTT – Valor da tarifa (5 inteiros, 2 decimais) • RRRRRRR – Valor dos tributos (5 inteiros, 2 decimais) • SSSSSSS – Valor dos seguros (5 inteiros, 2 decimais) • PPPPPPP – Valor do pagamento a terceiros (5 inteiros, 2 decimais) • EEEEEEE – Valor dos pagamentos de registros (5 inteiros, 2 decimais) • BBBBBBBB – Valor total calculado pelo Emissor (6 inteiros, 2 decimais) • AAMMDD – Data de Pagamento da Primeira Parcela (AAMMDD) • NN – Quantidade de parcelas (2 inteiros) • JJJJJ – Taxa mensal de Juros (3 inteiros, 2 decimais) • AAAAAAA – Taxa de juros anualizada (CET) (5 inteiros, 2 decimais) • VVVVVVV – Valor da parcela (5 inteiros, 2 decimais)
3. Saldo total
Valor do saldo total do Instrumento de Pagamento, utilizado nas respostas das transações financeiras. Obrigatório na resposta de consulta de saldo.
Formato: *SDO011SSSSSSSSSSS
• SSSSSSSSSSS – valor do saldo (9 inteiros, 2 decimais)
‘
Manual de Operações CONFIDENCIAL 70
4. Extrato de fatura
Informações retornadas obrigatoriamente na resposta de consulta pagamento de fatura.
Formato: *PGT049AAMMVVVVVVVVVEEEEEEEEESSSSSSSSSPPPPPPPPPMMMMMMMMM
• AAMM – data do último extrato (ano/mês) • VVVVVVVVV – valor do último extrato (7 inteiros, 2 decimais) • EEEEEEEEE – valor dos pagamentos efetuados (7 inteiros, 2 decimais) • SSSSSSSSS – saldo devedor total (7 inteiros, 2 decimais) • PPPPPPPPP – saldo para pagamento hoje (7 inteiros, 2 decimais) • MMMMMMMMM – pagamento mínimo (7 inteiros, 2 decimais)
5. Código de segurança
O código de segurança (CVV2) do Instrumento de Pagamento. Utilizado nas requisições de transações financeiras quando há a leitura do CVV2, sendo opcional nas requisições de reversão (4xx) de transações em que ocorreu a leitura do CVV2.
Formato: *CVV006SCCCCC
• S – situação da leitura do CVV o 1 – CVV lido o 2 – CVV ilegível o 9 – não possui CVV
• CCCCC – código de segurança, preenchido com espaços à direita (caso situação de leitura diferente de 1, será preenchido com cinco '0')
6. CPF (1ª compra sem Instrumento de Pagamento)
Para 1ª compra sem Instrumento de Pagamento, este campo obrigatoriamente virá preenchido com o CPF do Usuário Final do Instrumento de Pagamento, enquanto o campo 2 (Número do Instrumento de Pagamento) virá preenchido com o início da faixa de instrumentos de pagamento do emissor. Utilizado somente na requisição de compra, e opcionalmente nas requisições de reversão (4xx).
Formato: *CPF011XXXXXXXXXXX
• XXXXXXXXXXX – CPF do Usuário Final (somente dígitos)
‘
Manual de Operações CONFIDENCIAL 71
7. Meio de captura
Campo contendo o meio utilizado na captura da transação. Obrigatório para todas as requisições financeiras.
Formato: *MCP002MM
• MM – meio de captura o IN – indefinido o PO – POS o TD – TEF dedicado o TI – TEF discado o MB – Mobile o EC – E-commerce o UR – URA o AT – ATM
8. Nome do Usuário Final
O nome do Usuário Final do Instrumento de Pagamento. Obrigatório nas respostas aprovadas de consulta, compra, saque, pagamento de fatura e cancelamento, sendo opcional nas respostas negadas das mesmas operações.
Formato: *NMPLLLXXX...
• LLL – o tamanho do nome do Usuário Final (no máximo 40 caracteres) • XXX... – o nome do Usuário Final, codificado em ASCII ISO-8859-1, sem
acentuação e caracteres especiais (apenas letras, dígitos e espaço)
9. Número de autorização da última transação aprova da
Opcionalmente enviado nas requisições de consulta e compra (1xx/2xx).
Formato: *NUA009NNNNNNNNN
• NNNNNNNNN – Número de autorização da última transação aprovada (preenchido com '0' à esquerda).
‘
Manual de Operações CONFIDENCIAL 72
10. Data da última transação aprovada
Opcionalmente enviada nas requisições de consulta e compra (1xx/2xx).
Formato: *DUA006AAMMDD
• AAMMDD – Data da última transação aprovada.
11. Configuração de saque
Campo obrigatório na resposta de configuração de saque, indica quais as operações disponíveis ao Usuário Final do Instrumento de Pagamento no ATM.
Formato: *CFG001P
• P – operações disponíveis o 0 – nenhuma operação disponível o 1 – somente saque o 2 – somente consulta saldo o 3 – saque e consulta saldo
12. Opções de identificação positiva
Campo obrigatório na resposta de configuração de saque, fornece as opções de identificação positiva que serão mostradas na tela do ATM para cada um dos 8 botões. Cada botão possui 3 letras associadas, e são montadas 3 telas, uma para cada botão pressionado pelo Usuário Final. Com isso é possível que seja apresentado um conjunto de opções diferente para cada botão pressionado. Caso o mesmo conjunto de opções deva aparecer nas 3 telas, basta repetir a primeira sequência (AAABBB...) mais duas vezes.
• Formato: *OIP072AAABBBCCCDDDEEEFFFGGGHHHIIIJJJKKKLLLMMMNNNOOOPPPQQQRRRSSSTTTUUUVVVWWWXXX
• AAABBBCCCDDDEEEFFFGGGHHH – blocos de letras para os botões da primeira tela, sendo que AAA são as letras do 1º botão, BBB do 2º, etc.
• IIIJJJKKKLLLMMMNNNOOOPPP – blocos de letras para os botões da segunda tela, sendo que III são as letras do 1º botão, JJJ do 2º, etc.
• QQQRRRSSSTTTUUUVVVWWWXXX – blocos de letras para os botões da terceira tela, sendo que QQQ são as letras do 1º botão, RRR do 2º, etc.
‘
Manual de Operações CONFIDENCIAL 73
13. Seleção de identificação positiva
Campo obrigatório nas requisições de saque e consulta saldo via ATM, contendo os blocos de letras selecionados pelo Usuário Final.
Formato: *SIP009AAABBBCCC
• AAA – bloco de letras selecionado no 1º botão • BBB – bloco de letras selecionado no 2º botão • CCC – bloco de letras selecionado no 3º botão
14. Mensagem complementar
Campo opcional nas respostas de saque e consulta saldo via ATM, contendo uma mensagem detalhada do erro, a ser exibida na tela do ATM para o Usuário Final.
Formato: *MSGLLLXXX...
• LLL – o tamanho da mensagem (no máximo 200 caracteres) • XXX... – a mensagem de erro detalhada, codificada em ASCII ISO-8859-1
15. Saldos por grupos
Na resposta da consulta saldo via ATM, além do saldo geral, opcionalmente podem ser mostrados os saldos divididos por grupos (por exemplo, saque, alimentação, recarga) para serem apresentados ao Usuário Final.
Formato: *SDGLLL<saldo grupo 1>;<saldo grupo2>;...
• LLL – tamanho total do valor do campo • <saldo grupo>;... – saldos dos grupos, separados por ';'
Formato cada grupo de saldo: GGG...=SSSSSSSSSSS
• GGG... – o nome do grupo de saldo (tamanho variável) • SSSSSSSSSSS – o saldo disponível (9 inteiros, 2 decimais)
16. Nome do Cliente
O nome do Usuário Final ao qual o Instrumento de Pagamento pertence. Opcional nas respostas de consulta, compra, e cancelamento.
Formato: *NMCLLLXXX...
• LLL – o tamanho do nome do Usuário Final (no máximo 40 caracteres)
‘
Manual de Operações CONFIDENCIAL 74
• XXX... – o nome do Usuário Final, codificado em ASCII ISO-8859-1, sem acentuação e caracteres especiais (apenas letras, dígitos e espaço)
17. Identificação do grupo de instrumentos de pagam ento
Campo contendo o valor do código que identifica um grupo de instrumentos de pagamento (12 dígitos nas posições 56 a 67 da trilha 1 sem sentinelas), utilizado para determinar quais perguntas dinâmicas serão capturadas nas operações de compra. Obrigatório nas requisições de compra e nas requisições e respostas de configuração de perguntas.
Formato: *IDG012GGGGGGGGGGGG
• GGGGGGGGGGGG – identificação do grupo de instrumentos de pagamento (12 inteiros)
18. Versão da tabela de perguntas por grupo de inst rumentos de pagamento
O número da versão atual da tabela de perguntas para o grupo de instrumentos de pagamento, ao qual o Instrumento de Pagamento que está realizando a operação pertence. Nas requisições de compra será enviada a versão que o terminal utilizou para a captura de informações. Na resposta de compra deverá ser informada a mesma versão recebida na requisição, caso a tabela de perguntas para grupo de instrumentos de pagamento em questão esteja atualizada, ou a nova versão, caso a tabela de perguntas tenha sido modificada e o terminal deva ser atualizado. Nas respostas de configuração de perguntas, deve conter o valor da versão da tabela de perguntas sendo respondida para o grupo de instrumentos de pagamento requisitado.
Formato: *VTP004VVVV
• VVVV – versão da tabela de perguntas do grupo de instrumentos de pagamento (4 inteiros)
19. Tabela de perguntas por grupo de instrumentos d e pagamento
Campo obrigatório na resposta de configuração de perguntas, indicando quais as perguntas configuráveis que deve ser realizadas nas operações de compra para os instrumentos de pagamento do grupo de instrumentos de pagamento requisitado.
Formato: *CFPLLLPPP...
• LLL – o tamanho da tabela (em caracteres)
‘
Manual de Operações CONFIDENCIAL 75
• PPP... – lista das siglas das perguntas a serem realizadas, separadas por ponto-e-vírgulas. Em caso de nenhuma pergunta configurável, retornar a lista vazia, com tamanho zero (*CFP000)
20. Informações de controle de frotas
Nas requisições de compra, este campo contém as informações de frota capturadas pelo terminal, ou seja, as respostas dadas às perguntas fixas e também às configuráveis definidas para o grupo do Instrumento de Pagamento. Nas respostas de compra, este campo contém quais as respostas de perguntas que devem ser impressas no comprovante.
Formato: *CFRLLLNNN...
• LLL – o tamanho das informações (em caracteres) • NNN... – uma lista de pares “pergunta-resposta”, no formato <sigla
pergunta><valor resposta>, separados por ponto-e-vírgulas. Por exemplo, para as seguintes informações capturadas:
o Quilometragem: 67890 o Litros abastecidos: 48,67 o Valor abastecido: 141,14 o Manutenções:
� Filtro de ar: R$ 40,99 � Extintor: R$ 20,00 � Geometria: R$ 187,55
o Placa do veículo (números): 1234 o Tipo de combustível: 1 – Gasolina comum
O seguinte campo seria enviado:
• CFR098QUI067890;LTC0000004867;VLC0000014114;MAN310000004099340000002000440000018755;PLN1234;CMB01
Exemplo:
Para os grupos SAQUE com R$ 987654,00, FARMACIA com R$0,00 e ALIMENTACAO com R$ 258,74, o campo ficaria assim:
*SDG062SAQUE=00098765400;FARMACIA=00000000000; ALIMENTACAO=00000025874
‘
Manual de Operações CONFIDENCIAL 76
16. Saldo impresso ou na tela (ATM)
Na resposta da consulta saldo via ATM, define se o saldo será impresso em papel ou mostrado na tela. Caso não seja informado, o padrão será tela.
Formato: *SIM001X
• X – 1 se impresso, 0 se mostrado na tela
Campo 49 – Moeda
Representação n 3
Descrição Código da moeda local da transação segundo a ISO-4217. Para reais (BRL) o código é 986.
Campo 52 – Senha criptografada
Representação h 16
Descrição Senha/PIN do Instrumento de Pagamento, criptografada por uma ZPK no formato 0 da ISO 9564-1.
Campo 55 – Dados EMV
Representação b..999
Formato LLLVAR
Descrição Dados EMV obtidos através de uma transação por ICC (chip). Os dados são binários, no formato TLV segundo a norma EMV.
As informações possíveis de serem enviadas em uma requisição (0100/0200):
• Indicador de funções suportadas pelo Instrumento de Pagamento - AIP (tag 82) • Tipo de Criptograma (tag 9F27) • Criptograma (tag 9F26) • Contador de transações da aplicação - ATC (tag 9F36) • Resultado da verificação do terminal - TVR (tag 95) • Resultado da verificação do titular - CVMR (tag 9F34) • Número aleatório (tag 9F37) • Capacidade do terminal (tag 9F33) • Código do País do Instrumento de Pagamento (tag 5F28) • Dados discricionários Instrumento de Pagamento e emissor (tag 9F10)
‘
Manual de Operações CONFIDENCIAL 77
• Data da Transação (tag 9A - AAMMDD)
Opcionalmente, uma mensagem de resposta (0110/0210) pode retornar as seguintes informações:
• Issuer Authentication Data - IAD (tag 91) • Issuer Script Data - ISD (tag 71 e/ou tag 72)
Campo 60 – Informações de terminal
Representação n 5
Formato TCIEE
Descrição Informações adicionais do terminal.
Composto de 5 dígitos, onde:
• T – tipo do terminal o 0 – terminal com atendimento (operador) o 1 – terminal com autoatendimento o 2 – sem terminal (URA)
• C – capacidade do terminal o 0 – indefinido o 1 – sem terminal (URA) o 3 – leitor de código de barras o 4 – leitor OCR o 5 – leitor de ICC (chip) o 7 – leitor de trilha e digitação o 8 – contactless
• I – condições do ICC o 0 – sem ICC o 1 – trilha sem fallback o 2 – trilha com fallback
• EE – comércio eletrônico / MOTO o 00 – não se aplica o 01 – transação mail order / telefone order o 02 – transação recorrente o 05 – transação de comércio eletrônico autenticada o 06 – transação de comércio eletrônico não autenticada o 07 – sem autenticação
‘
Manual de Operações CONFIDENCIAL 78
Campo 90 – Informações da transação original
Representação ans 26
Formato CCCCAAAAAAMMDDhhmmssNNNNNN
Descrição Informações para identificação da transação original nas operações de reversão (4xx). Caso o campo Número de autorização não esteja presente será preenchido com espaços (ASCII 20h).
Composto por 5 valores:
• CCCC – código da mensagem original (0200) • AAAAAA – Número de autorização (campo 38) da transação original • MMDD – Data local da transação (campo 13) da transação original • hhmmss – Hora local da transação (campo 12) da transação original • NNNNNN – Número de auditoria (campo 11) da transação original
‘
Manual de Operações CONFIDENCIAL 79
VIII - 5. Conexão entre a Good Card e o emissor
Esta seção apresenta os procedimentos e as mensagens para a conexão entre o servidor da Good Card e o servidor de pagamento eletrônico do Emissor.
VIII - 5.1. Conexão de rede
A conexão de rede é estabelecida pela Good Card , ao fazer o seu servidor se conectar ao servidor do Emissor. Se o servidor do Emissor estiver indisponível, o servidor da Good Card tentará novas conexões de forma automática a intervalos de tempo regulares1.
A conexão entre os dois servidores está no estado OFF-LINE enquanto a conexão de rede não estiver devidamente estabelecida ou caso a mesma tenha sido finalizada. Uma vez que a conexão de rede foi realizada com sucesso, a mesma passa para o estado ON-LINE.
O servidor da Good Card poderá utilizar-se de mais de uma conexão de rede, caso necessário, para aumento do throughput de transações. Essas novas conexões poderão ser criadas sob demanda automaticamente. O número máximo de conexões entre Good Card e Emissor deve ser acordado entre ambos.
O servidor do Emissor não poderá iniciar o estabelecimento da conexão, pois o servidor da Good Card não possui porta disponível para isto (ele se comporta como um cliente apenas). Para a conexão de rede a Good Card utiliza o protocolo TCP/IP.
VIII - 5.2. Verificação do estado da sessão
Em intervalos de tempo regulares do servidor da Good Card irá verificar o estado da sessão enviando uma mensagem de gerenciamento de rede (0800) com o código de função 803 (teste eco) no campo 24.
O servidor do Emissor deve responder a essa requisição com uma mensagem 0810 contendo o código de ação 00 (aprovado) no campo 39. Caso o servidor do Emissor não responda em tempo hábil ou com um código de ação diferente de 00, o servidor da Good Card deve tentar um novo teste certo número de vezes.
Ao final, no caso de não receber uma resposta aprovada, o servidor Good Card declara a conexão como OFF-LINE, gerando alertas de erro e entrando em um novo processo de conexão.
¹Estes valores são parametrizados e devem ser acordados entre Good Card e Emissor.
‘
Manual de Operações CONFIDENCIAL 80
VIII - 5.3. Mensagens de gerenciamento de redes
Requisição 0800 Fluxo Good Card para Emissor Descrição Requisita uma operação de gerenciamento de rede (teste eco)
Resposta 0810 Fluxo Emissor para Good Card Descrição Responde à operação de gerenciamento de rede
Campo Descrição 0800 0810 Observações
7 Data e hora da transmissão M ME
11 Número de auditoria M ME
12 Hora local da transação M ME
13 Data local da transação M ME
24 Código de função M ME 803 – teste eco
39 Código da ação (resposta) M Valores possíveis: Aprovado Erro no processamento
‘
Manual de Operações CONFIDENCIAL 81
VIII - 6. Mensagens Financeiras
VIII - 6.1. Compra / Saque / Pagamento de fatura
Requisição 0200 Fluxo Good Card para Emissor Descrição Requisita uma transação de compra / saque /
pagamento de fatura ao emissor Resposta 0210 Fluxo Emissor para Good Card Descrição Responde à transação de compra / saque / pagamento de fatura
‘
Manual de Operações CONFIDENCIAL 82
Campo Descrição 0200 0210 Observações
2 Número do Instrumento de Pagamento C CE/C Se Instrumento de Pagamento/CPF digitado
3 Código de processamento M ME
4 Valor da transação M ME
7 Data e hora da transmissão M ME
11 Número de auditoria M ME
12 Hora local da transação M ME
13 Data local da transação M ME
14 Data de validade do Instrumento de Pagamento
C - Dependendo da captura
18 Categoria do estabelecimento (MCC) M -
22 Modo de entrada do número do Instrumento de Pagamento
M -
24 Código de função M ME 200 – transação original
32 Código de identificação da credenciadora M ME
35 Trilha 2 do Instrumento de Pagamento C CE Se trilha 2 ou ICC lidos
37 Código de referência M ME
38 Número de autorização - C Somente se aprovado
39 Código da ação (resposta) - M
41 Identificação do terminal M ME
42 Identificação do estabelecimento M ME
43 Dados do estabelecimento M
45 Trilha 1 do Instrumento de Pagamento C CE Se trilha 1 lida
48 Informações adicionais M C Dependendo da operação
49 Moeda M ME
52 Senha criptografada C - Se o Instrumento de Pagamento exige senha
55 Dados EMV C C Se ICC lido
60 Informações de terminal O -
‘
Manual de Operações CONFIDENCIAL 83
VIII - 6.2. Consulta / Configuração de saque/perguntas
Requisição 0100 Fluxo Good Card para Emissor Descrição Requisita uma consulta / configuração de saque/perguntas
Resposta 0110 Fluxo Emissor para Good Card Descrição Responde à consulta / configuração de saque/perguntas
‘
Manual de Operações CONFIDENCIAL 84
Campo Descrição 0100 0110 Observações
2 Número do Instrumento de Pagamento C CE Se Instrumento de Pagamento digitado
3 Código de processamento M ME
4 Valor da transação C CE Só consulta condições pgto.
7 Data e hora da transmissão M ME
11 Número de auditoria M ME
12 Hora local da transação M ME
13 Data local da transação M ME
14 Data de validade do Instrumento de Pagamento
C - Dependendo da captura
18 Categoria do estabelecimento (MCC) M -
22 Modo de entrada do número do Instrumento de Pagamento
M -
24 Código de função M ME Dependente da operação
32 Código de identificação da credenciadora M ME
35 Trilha 2 do Instrumento de Pagamento C CE Se trilha 2 ou ICC lidos
37 Código de referência M ME
38 Número de autorização - C Somente se aprovado
39 Código da ação (resposta) - M
41 Identificação do terminal M ME
42 Identificação do estabelecimento M ME
43 Dados do estabelecimento M
45 Trilha 1 do Instrumento de Pagamento C CE Se trilha 1 lida
48 Informações adicionais M C Dependendo da operação
49 Moeda C CE Só consulta condições pgto.
52 Senha criptografada C - Se Instrumento de Pagamento exige senha
55 Dados EMV C C Se ICC lido
60 Informações de terminal O -
‘
Manual de Operações CONFIDENCIAL 85
VIII - 6.3. Cancelamento de compra / Saque / Pagamento de Fatura
Requisição 0400 Fluxo Good Card para Emissor Descrição Requisita explicitamente (pelo portador ou estabelecimento) o
cancelamento de uma transação de compra / saque / pagamento de fatura previamente aprovada
Resposta 0410 Fluxo Emissor para Good Card Descrição Responde ao cancelamento da transação
‘
Manual de Operações CONFIDENCIAL 86
Campo Descrição 0400 0410 Observações
1 Segundo mapa de bits M M
2 Número do Instrumento de Pagamento C CE Tanto lido quanto digitado
3 Código de processamento M ME Código da transação original
4 Valor da transação C CE Valor da transação original
7 Data e hora da transmissão M ME
11 Número de auditoria M ME
12 Hora local da transação M ME
13 Data local da transação M ME
22 Modo de entrada do número do Instrumento de Pagamento
M - Modo da transação original
24 Código de função M ME 400 – reversão total
32 Código de identificação da credenciadora M ME
37 Código de referência M ME
38 Número de autorização - C Somente se aprovado
39 Código da ação (resposta) - M
41 Identificação do terminal M ME
42 Identificação do estabelecimento M ME
48 Informações adicionais M C Dependendo da operação
49 Moeda C CE Moeda da transação original
60 Informações de terminal O -
90 Informações da transação original M ME
‘
Manual de Operações CONFIDENCIAL 87
VIII - 6.4. Desfazimento de compra / Saque / Pagamento de Fatura / Canelamento
Requisição 0420 Fluxo Good Card para Emissor Descrição Avisa ao emissor do desfazimento de uma transação não tenha sido
completada (por timeout ou erro na resposta). Não é possível cancelar o desfazimento.
Resposta 0430 Fluxo Emissor para Good Card Descrição Responde ao desfazimento da transação
‘
Manual de Operações CONFIDENCIAL 88
Campo Descrição 0420 0430 Observações
1 Segundo mapa de bits M M
2 Número do Instrumento de Pagamento C CE Tanto lido quanto digitado
3 Código de processamento M ME Código da transação original
4 Valor da transação C CE Valor da transação original
7 Data e hora da transmissão M ME
11 Número de auditoria M ME
12 Hora local da transação M ME
13 Data local da transação M ME
22 Modo de entrada do número do Instrumento de Pagamento
M - Modo da transação original
24 Código de função M ME 400 – reversão total
32 Código de identificação da credenciadora M ME
37 Código de referência M ME
38 Número de autorização - C Somente se aprovado
39 Código da ação (resposta) - M
41 Identificação do terminal M ME
42 Identificação do estabelecimento M ME
48 Informações adicionais M C Dependendo da operação
49 Moeda C CE Moeda da transação original.
60 Informações de terminal O -
90 Informações da transação original M ME
‘
Manual de Operações CONFIDENCIAL 89
VIII - 7. Códigos de Ação
Cód Resposta Meio Captura Descrição
00 Aprovado Deve ser retornado quando a requisição de autorização atendeu aos requisitos mínimos do emissor e foi aprovada.
06 Erro no processamento Deve retornar em casos de recebimento de informação que não pôde ser validada pelo autorizador ou problema sistêmico do autorizador.
14 Instrumento de Pagamento inválido
Retornar quando o Instrumento de Pagamento não foi reconhecido pelo emissor.
15 Emissor não cadastrado Retornado pelo roteador da Good Card quando o BIN no emssor não foi reconhecido.
19 Refaça a transação Deve ser retornado quando o emissor não conseguiu validar a transação e deve solicitar uma nova tentativa.
21 Transação cancelada Deve retornar sempre que a transação foi cancelada no autorizador.
22 Excedido o limite de parcelamento
Retornar quando o emissor receber uma tentativa de autorização que excede o parâmetro de autorização de valor de parcelamento na rede credenciada Good Card .
24 Excedido o número de parcelas
Retornar quando o emissor receber uma tentativa de autorização que excede o parâmetro de autorização de número de parcelamento na rede credenciada Good Card.
41 Instrumento de Pagamento extraviado
Retornar quando o emissor detectar no seu autorizador que o Instrumento de Pagamento foi bloqueado pelo Usuário Final por motivo de perda do Instrumento de Pagamento.
43 Instrumento de Pagamento roubado
Retornar quando o emissor detectar no seu autorizador que o Instrumento de Pagamento foi bloqueado pelo Usuário Final por motivo de roubo do Instrumento de Pagamento.
51 Saldo insuficiente Deve retornar sempre que a requisição de autorização ultrapassar o saldo disponível do Usuário Final.
54 Instrumento de Pagamento vencido
Deve retornar quando o autorizador do emissor detectar uma requisição de autorização de um Instrumento de Pagamento onde a data de validade estiver vencida.
55 Senha inválida Retornar sempre que o autorizador do emissor detectar que a senha informada na rede captura é diferente da cadastrada para o Usuário Final.
57 Transação não permitida Retornar sempre que o Usuário Final tentar realizar uma transação em estabelecimento não permitido.
59 Valor acima máximo Retornar quando Usuário Final tentar realizar uma transação que excede o valor máximo definido pelo emissor.
64 Valor abaixo mínimo Retornar quando Usuário Final tentar realizar uma transação que inferior o valor mínimo definido pelo emissor.
75 Excedido o número de tentativas do PIN
Deve retornar sempre que o Usuário Final exceder o número de tentativas de informação da senha na rede captura. Este número de tentativas é definida pelo emissor do Instrumento de Pagamento
91 Emissor fora de operação A Good Card retorna transação NÃO AUTORIZADA quando o emissor não retornar a resposta ao pedido de autorização de transação no tempo máximo definido pela Good Card .
AA Timeout Retorna para rede captura nos casos que exceder o tempo máximo de resposta das requisições de autorização.
AD Instrumento de Pagamento exige senha
Deve retornar nos casos de requisições de autorização que não foi informada a senha do Instrumento de Pagamento pelo Usuário Final.
AI Logon em terminal não aberto Retornar nas tentativas de abertura do terminal
AL Emissor não pertence à rede Retornado quando BIN não é reconhecido
‘
Manual de Operações CONFIDENCIAL 90
Cód Resposta Meio Captura Descrição
AV Erro nos dados informados
Retornar nos casos de informações da mensagem que estejam faltando ou truncadas. Exemplo: Trilha1 truncada
B1 Transação já cancelada Retornar nas tentativas de cancelamento de transações que já estão com status de cancelado
BN Cartão bloqueado
DA Estabelecimento inválido Retornar nas tentativas em estabelecimentos que não são autorizados pelo emissor: Exemplo: PAT em Lojas de Vestuário.
DC Transação inválida Retornar nos casos de tentativas de autorização que não são permitidas pelo autorizador do emissor. Exemplo: Compras parceladas
DD Valor inválido Retornar nas tentativas de autorização que excedem limites definidos no autorizador
FC Contatar o emissor Retornar nos casos de aviso ao Usuário Final
I4 Transação não Encontrada
Retornar nos casos de cancelamento ou desfazimento onde o NSU não foi localizado
IE Nova versão da tabela de perguntas por grupo de cartões
PE Problema na rede local
RT Transação pendente
TA Transação desfeita
U3 Erro no formato Retornar nos casos de mensagem truncada. Exemplo: BIT que excede o tamanho informado
* A inclusão de novos códigos de ação está sujeita à negociação entre Emissor e Good Card e disponibilidade nas redes de captura utilizadas.
VIII - 8. Códigos de Função
Intervalo Código Descrição
100-199 Utilizado nas 1xx para indicar o tipo de consulta
108 Consulta saldo / consulta Condições de pagamento
113 Consulta pagamento de fatura 180 Configuração de saque
200-299 Utilizado nas 2xx para indicar o tipo de transação
200 Transação financeira original
400-499 Utilizado nas 4xx para indicar o tipo de reversão
400 Reversão total
800-899 Utilizado nas 8xx para indicar a operação sendo realizada
803 Teste eco
‘
Manual de Operações CONFIDENCIAL 91
Capítulo IX – Arquivos de Intercâmbio
IX - 1. Transmissão dos arquivos
A integração entre a Good Card e o Emissor é feita através de arquivos, transmitidos pelo link de dados batch (não pelo link transacional on-line). Os arquivos gerados pela Good Card estarão disponíveis em seu servidor SFTP para download pelo Emissor; os arquivos gerados pelo Emissor devem ser colocados por este no diretório apropriado do servidor SFTP da Good Card 1.
O Emissor deve solicitar à Good Card os dados de acesso ao servidor SFTP (endereço IP, porta, usuário e senha). Esses dados de acesso são confidenciais e exclusivos para acesso do Emissor aos seus arquivos. A responsabilidade pela guarda dessas credenciais é do Emissor; eventuais incidentes gerados pelo mau uso das mesmas poderão acarretar em responsabilização do Emissor.
A estrutura de diretórios no servidor SFTP é a seguinte:
• /home/operftp/<emissor>/ARQ_TRANSACOES/<ano corrente>/APRESENTACAO – contém os arquivos de apresentação gerados pela Good Card
• /home/operftp/<emissor>/ARQ_TROCA_STATUS/<ano corrente> - contém os arquivos de troca de situação de transações gerados pela Good Card .
• /home/operftp/<emissor>/ARQ_INFORMACOES/<ano corrente> - contém os arquivos de base de instrumentos de pagamento gerados pelo Emissor.
IX - 2. Formato dos arquivos
Todos os arquivos de integração seguem o formato XML (Extensible Markup Language) e possuem a mesma estrutura:
¹A periodicidade e horário de disponibilização de cada tipo de arquivo devem ser acordados entre Good Card e
Emissor.
‘
Manual de Operações CONFIDENCIAL 92
Os tipos de dados utilizados neste documento são:
Código Descrição
n Dígitos '0' a '9' an Dígitos e letras 'a' a 'z' e 'A' a 'Z' ans Dígitos, letras e caracteres especiais h Número hexadecimal representado em ASCII z Dados da trilha magnética definidos na ISO-7813
Todos os tipos são codificados em caracteres ASCII ISO-8859-1, de preferência sem utilização de acentuação em campos alfanuméricos. Campos de tamanho fixo são representados pelo tipo seguido do tamanho (exemplo n6: 6 caracteres numéricos tamanho fixo). Campos numéricos são preenchidos com '0's à esquerda, campos texto são preenchidos com espaços (ASCII 20h) à direita. Campos de tamanho variável são representados pelo tipo seguidos de dois pontos, seguidos do tamanho máximo (por exemplo, an..11: tamanho variável até 11 caracteres alfanuméricos).
Para a obrigatoriedade dos campos é utilizada a seguinte convenção:
Código Descrição
M Obrigatório
O Opcional
C Condicional, ver observações
A tag header possui as seguintes sub-tags:
Tag Tipo Obr. Significado
nomeArquivo ans..50 M Nome do arquivo
codOperadora n..11 M 1 Código do Emissor
lote n..7 M Número sequencial a cada arquivo gerado
dataGeracao n8 M Data da geração do arquivo no formato AAAAMMDD
horaGeracao n6 M Hora da geração do arquivo no formato HHMMSS
origem a..20 M Identificador da empresa geradora do arquivo
destino a..20 M Identificador da empresa receptora do arquivo
statusProc n..2 O Situação do processamento (0 – OK) 1O código do Emissor deve ser solicitado à Good Card
A tag trailer possui as seguintes sub-tags:
Tag Tipo Obr. Significado
nomeArquivo ans..50 M Nome do arquivo
lote n..7 M Número sequencial a cada arquivo gerado
qtdRegistros n..8 M Quantidade de registros de transações / afinidades
‘
Manual de Operações CONFIDENCIAL 93
IX - 3. Arquivo de apresentação
Arquivo gerado pela Good Card contendo as transações validadas realizadas no dia. O nome do arquivo segue o formato: Transações AAAAMMDD_NN.xml, onde AAAAMMDD é a data de geração do arquivo e NN é o número sequencial no dia (o 1º arquivo do dia possui valor 01, o 2º 02, etc). A tag raiz é a transacoesRoot , e a tag agrupadora segue o seguinte formato:
Tag Tipo Obr. Significado
<transacoes>
<transação tipoOperacao="PPPPPP" dataTransacao="AAAAMMDD" numeroAutorizacao="TTTTTT" numeroCartao="PAN">
n6 M Ver Tipos de Operação
n8 M Data da captura da transação
an6 M NSU de autorização
n..19 M Número do Instrumento de Pagamento
<tipoTransacao> a1 M P – 1ª apresentação
<horaTransacao> n6 M Hora da captura da transação HHMMSS
<meioCaptura> a2 M Ver Meios de Captura
<estabelecimento> an..15 M Código do estabelecimento Good Card
<nomeEstabelecimento> ans..50 M Nome do estabelecimento (até o limite de 50 caracteres, só maiúsculas, sem acentos)
<cidadeEstabelecimento> ans..50 M Cidade do estabelecimento (até o limite de 50 caracteres, só maiúsculas, sem acentos)
<MCC> n4 M Tipo de negócio ou serviço do estabelecimento segundo a ISO-18245.
<valorTransacao> n12 M Valor original da transação (10 inteiros, 2 decimais, sem separador)
<qtdParcelas> n..3 M Quantidade de parcelas
<valorPrimeiraParcela> n12 C Não Utilizado
<valorDemaisParcelas> n12 C Não Utilizado
<valorPrimeiraPrestacao> n12 C Não Utilizado
<valorDemaisPrestacoes> n12 C Não Utilizado
<valorTAC> n12 C Não Utilizado
<valorIOF> n12 O Não Utilizado
<valorTaxaJuros> n12 O Não Utilizado
<dataEfetivacao> n8 O Data de efetivação da operação AAAAMMDD
<valorComissao> n12 S Valor da comissão (10 inteiros, 2 decimais, sem separador)
<dataLiquidacao> n8 S Data de liquidação da operação AAAAMMDD
<dadosContestacao>
<codigoContestacao> an3 O Não utilizado
<comentario> ans..50 O Não utilizado
<dataContestacao> n8 O Não utilizado
</dadosContestacao>
‘
Manual de Operações CONFIDENCIAL 94
<dadosAjuste>
<tipoAjuste> a1 O Não utilizado
<valorAjuste> n12 O Não utilizado
<dataAjuste> n8 O Não utilizado
</dadosAjuste>
</transacao>
</transacoes>
IX - 4. Arquivo de troca de situação de transação
Arquivo gerado pela Good Card contendo as transações já apresentadas e que tiveram sua situação trocada (devido a um cancelamento posterior) no dia e as transações não validadas (negadas pelo autorizador, canceladas/desfeitas no mesmo dia ou ainda transações que ficaram mais de 10 dias apenas registradas, sem validação, e são automaticamente canceladas) do dia. O nome do arquivo segue o formato: TrocaStatus_<emissor>AAAAMMDD_NN.xml, onde AAAAMMDD é a data de geração do arquivo e NN é o número sequencial no dia (o 1º arquivo do dia possui valor 01, o 2º 02, etc). A tag raiz é a transacoesRoot , e a tag agrupadora segue o seguinte formato:
Tag Tipo Obr. Significado
<transacoes>
<transação>
<numeroCaptura> n6 M NSU de auditoria (captura)
<identificadorTerminal> an8 M Identificador do terminal
<estabelecimento> an..15 M Código do estabelecimento Good Card
<numeroAutorização> an6 O NSU de autorização
<numeroCartao> an..19 M Número do cartão
<dataTransacao> n14 M Data e hora locais (captura) da transação AAAAMMDDHHMMSS
<valorTransacao> n12 M Valor original da transação (10 inteiros, 2 decimais, sem separador)
<qtdParcelas> n..3 M Quantidade de parcelas
<statusTransacao> ans..30 M A última situação da transação. Ver Situações de Transações
</transacao>
</transacoes>
‘
Manual de Operações CONFIDENCIAL 95
IX - 5. Arquivo de base de cartões
Arquivo gerado pelo Emissor contendo as informações do total de emissões de cartões com a bandeira Good Card , acumulados até a data de referência. O arquivo é gerado mensalmente, sempre no dia primeiro (01) de cada mês e deve ser disponibilizado em área específica, conforme orientação da Good Card . O nome do arquivo segue o formato: Informacoes_AAAAMMDD_NN.xml, onde AAAAMMDD é a data de geração do arquivo e NN é o número sequencial no dia ( o 1º arquivo do dia possui valor 01, o 2º 02, etc). A tag raiz é a informacoesRoot , e a tag agrupadora segue o seguinte formato:
Tag Tipo Obr. Significado
<informacoes data=” AAAAMMDD”>
n8 M Data de referência das informações
<afinidade>
<codigoAfinidade> n..4 M Código da afinidade (dígitos após o BIN)
<cartoesEmbossados> n..9 M Quantidade de instrumentos de pagamento emitidos pelo Emissor. Apurar total acumulado até o mês de referência.
<cartoesAtivos> n..9 M Quantidade de instrumentos de pagamento que já transacionaram pelo menos uma vez. Apurar total acumulado até o mês de referência.
<cartoesDesbloqueados> n..9 M Quantidade de instrumentos de pagamento desbloqueados no mês de referência
<cartoesBloqueados> n..9 M Quantidade de instrumentos de pagamento bloqueados no mês de referência
<cartoesCancelados> n..9 M Quantidade de instrumentos de pagamento cancelados no mês de referência
<transacoesNegadas> n..9 M Quantidade de transações negadas no mês de referência
<limiteCartoes> n12 M
Soma dos limites dos instrumentos de pagamento aptos para compra (ativos) na data de referência (10 inteiros, 2. decimais, sem separador) OBS: Para pré-pagos a soma das cargas na data de referência
<montanteRotativo> n12 M
Soma dos valores refinanciados pelo Emissor na compra na data de referência (10 inteiros, 2. decimais, sem separador). No caso de cartão pré-pago informar ZERO.
</afinidade>
</informacoes>
‘
Manual de Operações CONFIDENCIAL 96
IX - 6. Tipos de Operação
Código Descrição POS TEF
002000 Compra com Instrumento de Pagamento de débito / PAT X X
003000 Compra com Instrumento de Pagamento de crédito a vista X X
003010 Compra crédito parcelado pelo lojista (sem juros) X X
003020 Compra crédito parcelado pelo emissor (com juros) X X
003030 Compra CDC (Crédito Direto ao Consumidor) X
005000 Compra sem Instrumento de Pagamento (compra c/ CPF) X
005010 Compra sem Instrumento de Pagamento parcelado lojista (compra c/ CPF) X
005020 Compra sem Instrumento de Pagamento parcelado emissor (compra c/ CPF) X
013000 Saque no estabelecimento à vista X X
013800 Saque no estabelecimento parcelado pelo emissor (com juros) X X
503000 Pagamento de fatura X
200020 Cancelamento de compra com Instrumento de Pagamento de débito X X
200030 Cancelamento de compra com Instrumento de Pagamento de crédito X X
200033 Cancelamento de compra CDC (Crédito Direto ao Consumidor) X
200050 Cancelamento de compra sem Instrumento de Pagamento (compra c/ CPF) X igual à transação original
Reversão de transação (desfazimento) X X
300010 Consulta de saldo X X
950020 Consulta condições pagamento débito X X
950004 Consulta condições pagamento crédito X X
950033 Consulta condições pagamento CDC X
300050 Consulta pagamento de fatura X
740000 Configuração de perguntas dinâmicas X
IX - 7. Meios de Captura
Código Descrição
0 INDEFINIDO 1 URA 2 POS 10 SITEF 20 TEF
‘
Manual de Operações CONFIDENCIAL 97
IX - 8. Situações de Transações
Código Descrição
REGISTRADA Transação aprovada, aguardando confirmação (pendente)
VALIDADA Transação aprovada e validada na captura
CANCELADA Transação cancelada, aguardando confirmação (pendente)
CANCELAMENTO VALIDADO Transação com cancelamento confirmado
DESFAZIMENTO Transação desfeita
NEGADA Transação negada pelo autorizador
DESCONHECIDO Situação desconhecida
‘
Manual de Operações CONFIDENCIAL 98
Capítulo X – Tipos de Instrumento de Pagamento e Tr ansação
X - 1. A Transação
Uma transação completa, realizada com Instrumento de Pagamento, tem os seguintes passos:
• Autorização: o estabelecimento solicita uma autorização para que possa aceitar o Instrumento de Pagamento do Usuário Final. Essa autorização garante ao estabelecimento que o Instrumento de Pagamento está em condições de uso e que o Emissor fará o reembolso da transação autorizada – excetuando-se os casos em que há contestações sobre a transação e diagnosticados como irregulares (procedimento de chargeback)..
• Depósito: o estabelecimento encaminha o comprovante da transação, assinado pelo Usuário Final ao Credenciador para processamento (caso transação manual).
• Intercâmbio: o Credenciador gera um arquivo de intercâmbio com os dados da transação e o envia à Good Card , que o encaminha ao Emissor.
• Repasse: o Emissor paga a transação ao Credenciador, conforme indicação da Good Card .
• Reembolso do estabelecimento: o Credenciador deposita o valor da transação na conta do estabelecimento.
Podem acontecer situações de exceção:
• Pedido de cópia do comprovante de venda: para atender a uma solicitação do Usuário Final ou para subsidiar um Chargeback. O Emissor solicita a cópia do comprovante de venda para a Good Card , que solicita ao Credenciador.
• Chargeback: o Emissor, seguindo as políticas da Good Card, detectou irregularidade no processamento da transação e emite a primeira apresentação do Chargeback.
• Segunda apresentação: o Credenciador justificou ou remediou a irregularidade apontada e reapresenta a transação.
• Chargeback de arbitragem: o Emissor ou o Credenciador não entram em acordo sobre um determinado Chargeback. O Emissor ou o Credenciador solicitam uma arbitragem para a Good Card. A Good Card irá avaliar os procedimentos e justificativas das partes e decidirá se a responsabilidade caberá ao Emissor ou ao Credenciador.
As seguintes situações são passíveis de uma reversão de transação:
• Autorização: a reversão restaura o saldo disponível para utilização pelo Usuário Final.
• Intercâmbio: permite o estorno de uma transação incorreta ou em duplicidade.
‘
Manual de Operações CONFIDENCIAL 99
• Chargeback: o emissor ou o credenciador decide cancelar o Chargeback, ou quer modificá-lo.
• Segunda apresentação: o credenciador decide não reapresentar a transação, ou quer modificá-la.
• Chargeback de arbitragem: o emissor decide cancelar o Chargeback de arbitragem, ou quer modificá-lo.
X - 2. Transação Eletrônica
Uma transação é eletrônica quando:
• Ocorre a leitura da tarja magnética e a transmissão da trilha 1 ou 2; • A transação é autorizada; • A transação é Face-a-Face com o Usuário Final e o Instrumento de
Pagamento presentes;
A solicitação de autorização on-line deverá ser originada em um terminal de ponto-de-venda e deve conter:
• Conteúdo completo e inalterado da trilha 1 ou 2; • Valor total da transação; • Demais dados originados pelo meio de captura;
A transação poderá ser digitada no meio de captura se:
• O estabelecimento estiver apto e cadastrado para esta operação; • Em um ambiente com o Instrumento de Pagamento presente, se a tarja
magnética não puder ser lida, o Instrumento de Pagamento deve ser transcrito no comprovante de venda.
Neste caso, a transação deixa de ser eletrônica e passa a ser manual com dados digitados, por não haver a leitura da tarja magnética.
X - 3. Transação Manual
A transação é manual se os dados do Instrumento de Pagamento forem digitados no meio de captura. Pode ser for obtida através de uma autorização via URA (se esta estiver disponível). Em uma transação manual, é obrigatório que o número do Instrumento de Pagamento esteja sempre legível no comprovante de venda.
Se o número do Instrumento de Pagamento não estiver legível no comprovante de venda e houver reclamação do Usuário Final por não reconhecimento da despesa, o estabelecimento poderá ser debitado “Chargeback”.
‘
Manual de Operações CONFIDENCIAL 100
X - 4. Transação de Reversão
O estabelecimento pode processar uma reversão de venda no POS antes de fechar o lote de vendas.
Após o fechamento do lote de vendas, o estabelecimento deve contatar a credenciadora solicitando a reversão.
A reversão pode ser usada para os casos de cancelamento de compra, devolução ou troca de mercadoria com diferença de valores.
X - 5. Transação Parcelada
A transação parcelada consiste no financiamento da compra em parcelas de valor fixo. As parcelas serão pagas mensalmente, por meio de lançamento em extratos consecutivos, uma a cada mês.
O estabelecimento pode oferecer aos Usuários finais a opção de Parcelamento com as seguintes condições:
• Parcelado Lojista – no mínimo de 2 parcelas sem a cobrança de juros; • Parcelado Emissor – parcelas com a cobrança de juros.
X - 5.1 Parcelamento pelo Emissor
A transação é sempre autorizada pelo emissor. O emissor informa na resposta ao pedido de autorização, o valor de cada parcela (incluindo os juros), o valor total da compra (incluindo os juros), o número de parcelas e a taxa mensal de juros praticada no cálculo.
A liquidação entre emissor e credenciadora é feita como transação normal de crédito (sobre o valor principal) o emissor paga a credenciadora o valor da transação a vista, sem os juros, deduzida a taxa de intercâmbio.
O emissor gerencia o parcelamento para o Usuário Final. O emissor tem a responsabilidade de cumprir o acordo feito no momento da autorização, ou seja, lançar “n” parcelas em “n” extratos mensais consecutivos ao Usuário Final.
Os juros agregados ao valor cobrado do Usuário Final são calculados pelo emissor quando da autorização. O emissor deve cobrar do Usuário Final apenas os encargos informados.
‘
Manual de Operações CONFIDENCIAL 101
X - 5.2. Parcelado Lojista
A transação é sempre autorizada pelo emissor. São gerados “n” registros de intercâmbio, um para cada parcela. O emissor receberá apenas um registro de intercâmbio, contendo o total das parcelas financiadas pelo estabelecimento. Cabe ao emissor fazer o agendamento de pagamento das parcelas para a credenciadora.
A liquidação de cada parcela é feita como uma transação normal de crédito (O valor principal é o valor acordado entre o Usuário Final e o Estabelecimento). O sistema de tratamento de intercâmbio da Good Card tratará cada parcela como uma transação independente.
X - 5.3. Disputas sobre transações parceladas
Eventuais disputas sobre as transações parceladas devem ser resolvidas com os mesmos Chargebacks aplicáveis às transações não parceladas.
É aconselhável que o Emissor acelere as parcelas e faça um único ajuste financeiro para regularizar a conta do Usuário Final do Instrumento de Pagamento.
Parcelamento pelo emissor
Como há apenas um registro, o Chargeback é feito pelo valor total da transação, sem juros para essa transação.
Parcelamento pelo estabelecimento
Como há “n” registros, se o emissor não efetuar a aceleração das parcelas, ele deverá fazer um Chargeback para cada registro processado, inclusive os de meses anteriores já lançados no extrato do Usuário Final.
X - 5.4. Aceleração de parcelas
A aceleração de parcelas é o lançamento contábil da soma de todas as parcelas de uma transação.
Os motivos podem ser:
• Cancelamento da conta do Usuário Final; • O Usuário Final manifestou desejo de pagar a vista o saldo restante da
transação parcelada; • O Usuário Final contestou a transação parcelada.
‘
Manual de Operações CONFIDENCIAL 102
No caso do parcelamento pelo emissor, o emissor deve fazer o tratamento internamente em seus sistemas de processamento, não afetando o credenciador ou o estabelecimento.
No caso de parcelamento pelo lojista, além de fazer o tratamento internamente em seus sistemas de processamento, o emissor deve continuar acatando os faturamentos recebidos, porém, sem lançá-las para o Usuário Final.
‘
Manual de Operações CONFIDENCIAL 103
Capítulo XI – Conciliação, Compensação e Liquidação XI - 1.Conciliação
Os emissores devem processar os arquivos de integração, de modo que seja realizada a conciliação do que foi recebido, através das mensagens de requisição de autorização e o que está sendo apresentado no arquivo de integração da Good Card . O prazo máximo para apresentação da transação no arquivo de integração são 15 dias.
Os arquivos de integração são disponibilizados diariamente aos emissores em formato eletrônico, por meio de SFTP (Secure File Transfer Protocol), definido entre a Good Card e o emissor. A Good Card deve enviar as informações de conexão neste ambiente para o emissor (usuário, senha de acesso, nome servidor e porta de acesso).
Realizada a conciliação, as autorizações conciliadas devem ser postadas nas contas dos usuários finais e a transação deve ser programada para cobrança na fatura do Usuário Final.
O emissor deve realizar a programação do pagamento da transação para a credenciadora, com base na agenda de repasse de acordo com a regra de parcelamento lojista ou emissor, conforme descrito no capítulo X - 5. Transações Parceladas, deste manual.
Os participantes deverão observar, dentre outras, a guarda em registro digital, em banco de dados, de todas as transações por pelo menos 5 (cinco) anos, a contar da data de sua realização.
A estrutura dos arquivos de integração está descrita neste manual no capítulo IX -Arquivos de Intercâmbio.
XI - 2. Compensação ( Clearing )
O Clearing, ou Compensação é a apresentação das posições financeiras entre a credenciadora, bandeira e emissores do sistema Good Card .
A Good Card será responsável pela apuração do montante financeiro da Taxa de Intercâmbio a que faz jus o emissor. Esta apuração será realizada através da apresentação do arquivo de “Agenda de Repasse” e será disponibilizado diariamente para o emissor e credenciadora.
A Taxa de Intercâmbio é definida de acordo com a política comercial vigente no Arranjo Good Card Pós.
‘
Manual de Operações CONFIDENCIAL 104
XI - 3. Taxa de Intercâmbio
É composta por um percentual do valor da transação, conforme definida em contrato com emissor. A taxa de intercâmbio é deduzida do valor da transação para repasse.
XI - 3.1. Cálculo da Taxa de Intercâmbio
Considera-se para fins de cálculo a seguinte fórmula:
Valor Intercâmbio = Valor da Transação (Validada) * Percentual da Taxa de Intercâmbio
Nota: Para fins de arredondamento considera-se 2(duas) casas decimais no resultado do cálculo.
XI - 3.2. Pagamento da Taxa de Intercâmbio
Em cada transação será calculada a taxa de intercâmbio.
Cada Emissor deve reembolsar a Credenciadora o valor da transação ocorrida com um Instrumento de Pagamento válido. O valor da taxa de intercâmbio será deduzido do valor da transação correspondente, sendo o reembolso feito pelo valor líquido. Será aplicado um desconto na fatura de reembolso devida, referente ao montante da taxa de intercâmbio apurado pela credenciadora. O emissor fará a quitação da fatura pelo valor líquido, já descontada a taxa de intercâmbio.
XI - 4. Liquidação
A Good Card deve aprovar o Banco escolhido pelo emissor e credenciadora para a Liquidação. A Good Card pode requerer ao emissor que mude de banco se determinar que:
• O Banco não é operacionalmente seguro • Expõem a Good Card a risco e perda financeira
XI - 4.1. Prazos de Repasse
O prazo de repasse das transações entre credenciadora e emissor é aquele constante da Agenda de Repasse. A credenciadora deverá realizar os pagamentos das transações aos estabelecimentos em conformidade com a política comercial vigente no Arranjo Good Card Pós.
‘
Manual de Operações CONFIDENCIAL 105
XI - 4.2. Procedimento de Repasse entre Emissor e Credenciador
Ao receber da Good Card a “Agenda de Repasse”, a Credenciadora determina os valores líquidos das transações e compõe o saldo de repasse de cada emissor, conforme fórmula abaixo:
Valor líquido da transação = valor da transação – taxa de intercâmbio
A Credenciadora deverá apurar no momento do repasse com o emissor, os lançamentos referentes à chargebacks aceitos e fazer os ajustes financeiros necessários.
A Credenciadora deverá também apurar as solicitações de cancelamentos, recebidas nos canais de comunicação com os estabelecimentos, realizando os ajustes financeiros necessários.
A Credenciadora gerará uma notificação de repasse para cada emissor, informando os valores a serem debitados ou creditados como resultado do repasse. A notificação poderá ser enviada por e-mail para o emissor.
Esta notificação também informará os detalhes das transações liquidadas, bem como, os ajustes financeiros oriundos de chargebacks e cancelamentos de transações.
Cada emissor em posição de débito deve quitar este débito na rede bancária conforme indicado na notificação de repasse. Esta quitação deve ser feita até a data-limite indicada na notificação, mediante ficha de compensação bancária, válida em qualquer banco conveniado.
O detalhamento das transações de repasse deve conter:
• Nome Emissor • Nome Afinidade/Varejo • Tipo Estabelecimento • Data Transação • Código de Autorização • Número Instrumento de Pagamento • Código Estabelecimento Good Card • Nome Estabelecimento • Total Parcelas • Total Transação • Total Repasse (Taxa Intercâmbio) • Total IRRF • Parcela Liquidada • Valor Parcela Liquidada • Valor Repasse Parcela (Taxa Intercâmbio) • Valor IRRF Parcela
‘
Manual de Operações CONFIDENCIAL 106
• Data Repasse • Data Corte • Tipo Rede Transação (ON-US/OFF-US) (Se for o caso) • Tipo de Operação (MTI – Conforme tabela de códigos no capítulo IX - 6)
XI - 5. Obrigações Financeiras e Garantia
A Good Card pode impor aos emissores e credenciadores obrigações financeiras incluindo a constituição de garantias, no intuito de obter maior segurança quanto a exposição ao risco de crédito, para assegurar o repasse ao credenciador e a liquidação aos estabelecimentos comerciais.
As garantias não são utilizadas como fator determinante para a concessão do crédito. Para a aceitação das garantias, são considerados pela Good Card os seguintes critérios:
• Ordem de Liquidez, levando em consideração o tempo necessário para executar a garantia e transformá-la em recurso financeiro para honrar o débito do emissor ou credenciador;
• A exposição de Crédito, calculada a partir de uma equação que leva em consideração o limite de crédito mensal, a quantidade de renovações do limite no mês, o prazo de pagamento do Usuário Final e o prazo de bloqueio dos instrumentos de pagamento, ou das inserções de créditos;
• Os percentuais de cobertura que consideram a depreciação da garantia no horizonte de tempo necessário para a sua execução;
• Quando se tratar de veículos Automotores a avaliação se dará através da Tabela Fipe, divulgada no site www.fipe.org.br. Caso o veículo indicado não possuir cadastro da referida tabela, a área de crédito utilizará como referência, pelo menos, 2 (duas) avaliações realizadas por Revenda ou Concessionária;
• Quando se tratar de bens imóveis, a avaliação pela área de crédito, utilizará como referência, pelo menos, 2 (duas) avaliações, obtidas junto a Imobiliária local, ou Corretor de Imóveis com registro no CRECI;
• Não serão aceitas garantias de imóveis com registro de usufruto vitalício; • Em caráter de exceção, poderão ser aceitas garantias de bens imóveis em 2º
ou 3º graus, desde que respeitados os seguintes requisitos: o Necessidade de autorização do(s) credor(es) dos graus anteriores para
o registro da hipoteca em grau subsequente; o O valor do imóvel (garantia), deduzido das dívidas a que está cobrindo,
deverá atender ao percentual mínimo exigido; • Para substituição de garantias é imprescindível que a nova garantia mantenha
o mesmo índice de cobertura da garantia anterior; • Outros tipos de garantias não previstas, somente poderão ser
operacionalizadas mediante prévia avaliação da Good Card.
‘
Manual de Operações CONFIDENCIAL 107
As garantias reais aceitas pela Good Card , nos limites de crédito são classificadas conforme o tipo e ordem de liquidez conforme abaixo:
• 1ª. Carta Fiança Bancária (emitida por qualquer instituição financeira ou seguradora de 1ª linha), com o mínimo de 100% de exposição de crédito;
• 2ª. Caução de Aplicação Financeira em instituições financeiras de 1ª linha com o mínimo de 100% de exposição de crédito;
• 3ª. Alienação ou Penhor de Veículos automotores (veículos leves, utilitários e caminhões), com o mínimo de 120% de exposição financeira;
• 4ª. Hipoteca de bens imóveis (prédios, terrenos, salas comerciais, casas, etc.), com o mínimo de 150% de exposição financeira.
XI - 5.1. Formas de Recuperação
A condução da recuperação deve dar-se de forma gradativa, ou seja, de modo a conduzir à liquidação do débito no prazo mais curto e com o menor desgaste possível, de ambos os lados. A forma de recuperação adotada pela Good Card configura o estágio de risco em que se encontra o crédito.
Com relação às formas de recuperação, para os tipos de garantia Penhor e hipoteca, são feitas tentativas de cobrança de forma amigável durante o prazo de até 180 (cento e oitenta) dias após o vencimento da dívida.
Caso não seja possível uma negociação, é acionada a garantia via judicial. Para os demais tipos de garantia, a qualquer momento podem ser acionados.
‘
Manual de Operações CONFIDENCIAL 108
Capítulo XII – Resolução de Disputas
Etapa Descrição
Apresentação A bandeira apresenta a transação para o emissor através do intercâmbio
Pedido de cópia
O emissor pode solicitar uma cópia do comprovante de venda para suportar ou identificar um Chargeback em potencial. Nota: Nem todos os Chargebacks exigem um pedido de cópia.
Chargeback Após a análise do emissor sobre a contestação de compra do Usuário Final, o emissor pode solicitar para a credenciadora um pedido de chargeback. Se a credenciadora aceitar o pedido de chargeback, realiza um estorno da transação.
Segunda apresentação
A credenciadora pode emitir uma Segunda apresentação (resposta ao Chargeback) dentro de 45 dias de calendário da data do Chargeback. A segunda apresentação pode ser positiva ou negativa ao pedido de chargeback. Em caso de negativa, deve ser informado o motivo.
Pedido de arbitragem
O emissor pode enviar um pedido de arbitragem dentro de 30 dias do calendário da Segunda apresentação. A Good Card iniciará o processo de arbitragem para decidir sobre a questão.
XII - 1 Descrição processo resolução disputas
O Usuário Final pode questionar uma transação ao emissor, emitindo uma contestação de compra, seguindo as normas descritas no regulamento/contrato do emissor com o Usuário Final. Os emissores devem orientar o Usuário Final, sobre os documentos necessários para a contestação de compra e fazer a análise necessária do fato ocorrido, juntamente com a documentação apresentada.
Para complementação da documentação, os emissores podem solicitar para a credenciadora, copia do comprovante de venda. A credenciadora solicita junto ao estabelecimento comercial a cópia do comprovante e este deve respeitar o prazo máximo para envio a processadora, sob pena de aplicação de chargeback da contestação.
Cabe ao emissor analisar e decidir se solicita o chargeback para a credenciadora. Em caso positivo a solicitação, cabe à credenciadora analisar a documentação apresentada e decidir se emite ou não o chargeback.
Em caso de divergência entre Emissor e Credenciadora, cabe ao emissor solicitar um pedido de arbitragem junto a Good Card , solicitando intervenção sobre a decisão do direito de chargeback na disputa.
‘
Manual de Operações CONFIDENCIAL 109
XII - 1. Cópia do Comprovante de Venda
Um Emissor pode solicitar uma cópia do comprovante de venda para a credenciadora em até 3 meses (90 dias), contados a partir da data de processamento do intercâmbio da transação. O comprovante de venda deve ser solicitado através de e-mail para o BackOffice da Good Card . A credenciadora deve prover uma cópia do comprovante em até 45 dias da solicitação.
A solicitação deve conter no mínimo as seguintes informações:
• Número de Autorização • Número do Instrumento de Pagamento • Data da Transação • Valor da Transação
A Credenciadora deve responder no prazo de 45 dias da solicitação da cópia com:
• Cópia do Comprovante de Venda, ou • Razão pelo não fornecimento da cópia do Comprovante de Venda
O fornecimento de comprovante de venda, está sujeito a cobrança de tarifa. A tarifa está descrita no capítulo “XIII - 2.4. Tarifas por fornecimento de cópia de comprovante de venda”, deste manual.
VII – 2 Chargeback
Chargeback é o cancelamento de uma transação, que pode ocorrer pelo não recebimento da compra por parte do Usuário Final, ou se a transação não obedecer as regulamentações previstas nos contratos, termos aditivos e manuais editados pelos Emissores ou Good Card . Caso o emissor não aceite a negativa da Credenciadora do pedido de Chargeback, o emissor pode encaminhar pedido de arbitragem para Good Card .
Nota: Não serão aceitos pedidos de chargeback de transações realizadas com senha.
‘
Manual de Operações CONFIDENCIAL 110
VII-2.1 Solicitação de Chargeback
Após análise do pedido de contestação de compra do Usuário Final pelo emissor, este pode solicitar um pedido de chargeback, enviando um e-mail para a credenciadora com os seguintes documentos:
• Carta de Contestação1 (anexo 3). • Cópia de documento oficial com foto2. • Boletim de Ocorrência Policial (Nos casos de Perda, Roubo, Furto ou
Clonagem do Instrumento de Pagamento).
Nota: A credenciadora pode solicitar ao emissor outros documentos ou evidências que complementam a investigação. Credenciadora analisa o pedido solicitado pelo emissor. Em caso positivo, credenciadora pode aplicar chargeback. Em caso negativo, a credenciadora deve retornar ao emissor informando a razão da não aceitação do chargeback.
1 Emissor pode utilizar formulário de contestação próprio, desde que seja aceito pela credenciadora. 2 Esse documento só será aceito dentro do prazo de validade e/ou a data de expedição do documento não poderá ser
inferior à 10 anos.
XII - 2.2 Tipos de Chargebacks
1. Cópia do comprovante de venda não recebido, ilegível ou incompleto. 2. Transação sem autorização 3. Instrumento de Pagamento Não Apresentado / Comprovante de venda
inválido 4. Transação não presencial 5. Divergência de valor da transação 6. Assinatura no comprovante de venda não confere com a assinatura do
Usuário Final 7. Processamento fraudulento de transações 8. Valor do parcelamento é diferente do contratado 9. Duplicidade de Transação 10. A parcela foi lançada em duplicidade 11. Quantidade de parcelas diferente do contratado 12. Apresentação tardia 13. Usuário Final não autorizou a transação 14. Transação recorrente cancelada 15. Mercadoria defeituosa ou não como descrita 16. Não recebimento da mercadoria
‘
Manual de Operações CONFIDENCIAL 111
XII - 2.2.1. Cópia do comprovante de venda não recebido, ilegível ou incompleto.
O emissor solicitou uma cópia do comprovante de venda e não recebeu no prazo de 45 dias da data da solicitação.
O Emissor não recebeu a cópia solicitada, nem a justificativa pelo não fornecimento, ou a cópia fornecida não tem elementos essenciais para a análise. Os elementos estão ilegíveis ou omissos.
XII - 2.2.2. Transação sem Autorização
A transação ocorreu sem a obtenção de um código de autorização válido. A autorização é obrigatória para 100% das transações independente do valor.
XII - 2.2.3. Instrumento de Pagamento Não Apresentado / Comprovante de venda inválido
Em uma transação manual, os dados do Instrumento de Pagamento (Número, Nome do Usuário Final, validade), foram escritos e não impressos no comprovante de venda.
O comprovante de venda apresenta rasuras que dificultam a sua leitura e a identificação dos elementos essenciais da transação.
XII - 2.2.4. Divergência de valor da transação
O valor da transação informado no comprovante de venda é diferente do valor informado no registro de intercâmbio.
XII - 2.2.5. Assinatura no comprovante de venda não confere com a do Usuário Final do Instrumento de Pagamento
Para os casos de contestação onde o comprovante apresente assinatura divergente do Usuário Final do Instrumento de Pagamento o Chargeback pode ser emitido.
Entende-se por “Assinatura Divergente” é quando o nome do Usuário Final do Instrumento de Pagamento, por exemplo, é Marcelo de Oliveira e a assinatura no comprovante de venda consta como, por exemplo, Flávio de Albuquerque.
‘
Manual de Operações CONFIDENCIAL 112
Caso onde no documento consta uma assinatura por extenso e no comprovante uma rubrica ou vice-versa.
O pagamento de bens ou serviços com a utilização de instrumentos de pagamento da Good Card , somente poderá ser realizado com a apresentação simultânea do documento de identificação oficial e válido do titular, que seja o legítimo usuário identificado no Instrumento de Pagamento.
XII - 2.2.6. Processamento fraudulento de transações
O Usuário Final declara por escrito que o Instrumento de Pagamento estava em seu poder. O Usuário Final admite ter feito pelo menos uma transação no local de origem da transação em disputa, mas nega ter conhecimento da transação em questão.
XII - 2.2.7. Valor do Parcelamento é diferente do contratado
O valor da parcela é diferente do que foi combinado/contratado com o Usuário Final no momento da venda.
XII - 2.2.8. Duplicidade de Transação
Venda processada em duplicidade (mesma data, valor e estabelecimento), não reconhecida pelo Usuário Final.
XII - 2.2.9. Parcela lançada em duplicidade
A parcela foi cobrada em duplicidade. O sistema não atualizou as parcelas.
XII - 2.2.10. Quantidade de parcelas não confere
A quantidade de parcelas contratadas no ato da compra não confere com o que esta sendo demonstrado no extrato de pagamento.
‘
Manual de Operações CONFIDENCIAL 113
XII - 2.2.11. Apresentação tardia
A data do processamento do intercâmbio desta transação é posterior a 15 dias corridos da data da transação e a conta do Usuário Final está assinalada como:
a) Problema de crédito, b) Instrumento de Pagamento perdido, roubado ou não recebido pelo
Usuário Final, c) Instrumento de Pagamento falsificado, d) Conta encerrada.
XII - 2.12. Usuário Final não autorizou a transação
O Usuário Final declara por escrito que não realizou a transação. A assinatura do Usuário Final no comprovante de venda é diferente da assinatura no Instrumento de Pagamento.
XII - 2.13. Transação recorrente cancelada
O emissor usa este Chargeback se a bandeira apresentar a transação depois de receber a notificação de cancelamento do Emissor ou do estabelecimento credenciado.
XII - 2.14. Mercadoria defeituosa ou não como descrita
O Usuário Final devolveu (ou tentou devolver) bens ou serviços ao estabelecimento porque os bens ou serviços não estavam de acordo com sua descrição, ou, quando entregue, estavam danificados ou não podiam mais ser utilizados para a finalidade a que se destinavam.
XII - 2.15. Não recebimento da mercadoria ou do serviço
O Usuário Final disputa uma transação por um dos seguintes motivos:
• O Usuário Final não recebeu os bens ou serviços que seriam enviados ou prestados.
• O estabelecimento não quer ou não pode prestar o serviço; • O Usuário Final pagou pelos serviços ou bens de outra forma (por
exemplo, em cheque).
‘
Manual de Operações CONFIDENCIAL 114
XII - 3. Estorno/Reembolso
No caso da Credenciadora aceitar a aplicação do chargeback, a mesma desconta da Rede Credenciada (estabelecimentos comerciais) através dos seus recebíveis
A Credenciadora lança o desconto referente o valor do chargeback na fatura de reembolso devida pelo emissor. O emissor deve realizar o acerto com o Usuário Final.
Caso por algum motivo, não seja realizado o pagamento ao emissor por título, o pagamento será através de depósito bancário.
XII - 4. Arbitragem
A arbitragem é a designação da responsabilidade por uma transação quando o Emissor e a credenciadora falharem na resolução da disputa. É iniciada automaticamente pela Good Card quando o emissor enviar um pedido de arbitragem para Bandeira. Esta solicitação deve ser encaminhada para o BackOffice da Good Card .
A abertura de processo de arbitragem está sujeita a cobrança de tarifa. A tarifa está descrita no capítulo “XIII - 2.5. Tarifas Diversas”, deste manual.
XII - 4.1. Prazo para solicitar Arbitragem
O prazo máximo para submeter um pedido de Arbitragem é de 30 dias a contar da devolução negativa pela credenciadora.
XII - 4.2. Documentação de suporte
Os estabelecimentos devem enviar a documentação de suporte aos casos de Arbitragem para: Good Card, Rua Lima e Silva,516 - Centro - Campo Bom - RS - CEP 93700-000, A/C Comitê de Arbitragem ou por e-mail os documentos digitalizados para o BackOffice da Good Card.
‘
Manual de Operações CONFIDENCIAL 115
Capítulo XIII – Tarifas
XIII - 1. Introdução à Tarifação
As tarifas deste capítulo são aplicadas a todas as transações realizadas com os instrumentos de pagamento Good Card e referem-se ao pagamento de serviços da Good Card e das penalidades eventualmente impostas ao participante.
Para a facilidade de identificação e referência, todas as tarifas, taxas, multas, encargos cobrados dos emissores estão estruturados da seguinte forma:
• Código de faturamento: é um código no formato XXYYZZ onde XX identifica o serviço faturado,YY é o item e ZZ é o subitem do faturamento;
• Descrição do faturamento: é uma descrição sucinta de cada item faturado, a ser incluída nos relatórios demonstrativos;
• Instituição faturada: pode ser (E)=Emissor ou (C)=Credenciadora; • Valor individual do faturamento: é o valor unitário do faturamento (pode ser
negativo, indicando um crédito); • Descrição detalhada: é uma descrição mais explicativa da natureza de um
evento ou conjunto de eventos; • Periodicidade do faturamento: indica a recorrência de faturamentos periódicos,
como mensalidades ou anuidades.
Descrição detalhada Periodicidade do faturamento
Código de faturamento
Descrição de faturamento
Instituição faturada Valor individual do faturamento
Código de faturamento
Descrição de faturamento
Instituição faturada Valor individual do faturamento
Os relatórios demonstrativos apresentarão, para cada faturamento, o código de faturamento, a descrição do faturamento, o valor individual do faturamento, a quantidade de itens faturados e o valor total faturado naquele código.
XIII - 1.1. Cálculo de tarifas
As tarifas serão apuradas pela Good Card mensalmente, cujo período de corte será compreendido entre o primeiro e último dia do mês.
As tarifas serão calculadas seguindo a quantidade de ocorrências no período, multiplicado pelo valor da tarifa vigente no período do corte.
‘
Manual de Operações CONFIDENCIAL 116
As tarifas de periodicidade mensal, serão apuradas todos os meses durante a vigência do contrato do emissor. Tarifas de periodicidade única, serão contabilizadas conforme a ocorrência da tarifa (Exemplo: multas).
Para fins de cálculo, segue a descrição da fórmula abaixo:
Valor Montante Tarifa = Quantidade de Ocorrências no mês X Valor Unitário Tarifa/Multa
O reajuste das tarifas da Good Card está previsto utilizando o índice do IGP-M para correção.
XIII - 2. Descrição das Tarifas
Descrição detalhada Periodicidade
Código Descrição Instituição Valor
Código Descrição Instituição Valor
XIII - 2.1. Utilização da Marca
Descrição detalhada Licença de uso da marca Good Card . Cobrada uma vez, na adesão ao sistema Good Card, facultando a adesão a um produto. A adesão a produtos subsequentes tem valores diferenciados, sendo cobrada cada adesão individualmente, uma vez.
Periodicidade única
Código GC0101
Descrição Licença de uso da Bandeira Good Card
Instituição E
Valor Conforme Contrato e/ou Anexo
Código GC0102
Descrição Adesão a produto adicional Good Card (ex.: criação de sub-grupo de Estabelecimentos Comerciais para um private label do emissor através do roteador Good Card)
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 117
XIII - 2.2. Serviços On-line
Descrição detalhada Autorização encaminhada para o emissor, e retorno da resposta ao credenciador. A resposta pode ser positiva ou negativa. Faturamento por autorização processada.
Periodicidade Mensal
Código AU0101
Descrição Transações Aprovadas, Negadas, Canceladas e Desfeitas
Instituição E
Valor Conforme Contrato e/ou Anexo
Código AU0103
Descrição Transações Aprovadas, Negadas, Canceladas e Desfeitas por Stand-IN
Instituição E
Valor Conforme Contrato e/ou Anexo
Código AU0104
Descrição Consulta de saldo/limite completa do emissor - POS
Instituição E
Valor Conforme Contrato e/ou Anexo
Código AU0105
Descrição Transações de Saque
Instituição E
Valor Conforme Contrato e/ou Anexo
Código AU0106
Descrição Consulta de Saldo para Saque
Instituição E
Valor Conforme Contrato e/ou Anexo
Código AU0107
Descrição Falha de captura Saque
Instituição E
Valor Conforme Contrato e/ou Anexo
XIII - 2.3. Tarifas de Liquidação Financeira
Descrição detalhada Captação de uma transação e sua entrega ao destinatário. Faturamento por transação.
Periodicidade Mensal
Código TR0101
Descrição Intercâmbio de transação
Instituição E
Valor Conforme Contrato e/ou Anexo
Código TR0102
Descrição Intercâmbio de Chargeback
Instituição E
Valor Conforme Contrato e/ou Anexo
Código TR0103
Descrição Intercâmbio de transação de reversão
Instituição E
Valor Conforme Contrato e/ou Anexo
Código TR0104
Descrição Intercâmbio de pedido de cópia
Instituição E
Valor Conforme Contrato e/ou Anexo
Código TR0105
Descrição Intercâmbio de notificação de fraude
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 118
XIII - 2.4. Tarifas por fornecimento de cópia de comprovante de venda
Descrição detalhada Remuneração do credenciador pelo fornecimento de uma cópia de comprovante de venda ao emissor. O valor é debitado ao emissor e creditado ao adquirente quando for processado o registro de reposta ao pedido de cópia. Faturamento por pedido atendido.
Periodicidade única
Código RA0101
Descrição Fornecimento de cópia
Instituição E
Valor Conforme Contrato e/ou Anexo
XIII - 2.5. Tarifas diversas
Descrição detalhada Tarifa para aceite e início de arbitragem
Periodicidade única
Código TR0201
Descrição Início de arbitragem
Instituição E
Valor Conforme Contrato e/ou Anexo
Descrição detalhada Royalties sobre a base de instrumentos de pagamento ativos e inativos Considera-se Instrumento de Pagamento ativo o que tenha pelo menos uma transação de compra nos últimos 30 dias. Faturamento por Instrumento de Pagamento.
Periodicidade Mensal
Código GC0201
Descrição Manutenção mensal de instrumentos de pagamento na base
Instituição E
Valor Conforme Contrato e/ou Anexo
Código GC0202
Descrição Manutenção de instrumentos de pagamento inativos
Instituição E
Valor Conforme Contrato e/ou Anexo
XIII - 2.6. Tarifas de Gerenciamento de Risco e Segurança
Descrição detalhada Processamento de avisos de fraude. Faturamento por alerta entregue.
Periodicidade Mensal
Código SG0101
Descrição Notificação de alerta ou suspeita de fraude entregue
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 119
XIII - 2.7. Taxa de Admissão
Descrição detalhada É a taxa cobrada do emissor ou credenciadora para aderir ao sistema Good Card .
Periodicidadeúnica
Código GC0203
Descrição Notificação de alerta ou suspeita de fraude entregue
Instituição E/C
Valor Conforme Contrato e/ou Anexo
XIII - 2.8. Penalidades para Emissores
A Good Card pode aplicar as seguintes penalidades quando necessário:
• Por indisponibilidade do sistema autorizador. O índice de indisponibilidade no mês não deverá ser maior que 0,3% mensal que acarretará multa no mês subsequente.
Descrição detalhada Multa por indisponibilidade do sistema autorizador do emissor. O padrão de disponibilidade é 99.7% ou mais, avaliado como a razão entre o número de autorização respondidas pelo sistema autorizador do emissor e o número total de pedidos de autorização a ele encaminhados. O cálculo considera todas as transações do mês.
Periodicidade Mensal
Código AU0501
Descrição Multa por indisponibilidade de emissor
Instituição E
Valor Conforme Contrato e/ou Anexo
• Por resposta “Contatar Emissor” para solicitação de autorização. O índice de transações referidas no mês não deverá ser maior que 5% do volume de autorização do mês. Um índice maior que 5% acarretará em multa no mês subsequente.
Descrição detalhada Multa por excesso de respostas ‘‘contatar o emissor’’ (chamadas referidas). O padrão é 5% ou menos, avaliado como razão entre número de respostas ‘‘contatar o emissor’’ e o número total de pedidos de autorização a ele encaminhados. O cálculo considera todas as transações do mês.
Periodicidade Mensal
Código AU0502
Descrição Multa por excesso de chamadas referidas
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 120
XIII - 2.8. Penalidades por Não-Aderência
A não aderência aos padrões pode causar danos e perdas à Good Card em montantes difíceis de serem avaliados. Assim, parceiros não-aderentes estão sujeitos ao reembolso de tais despesas, estabelecidas como “de não-aderência”.
A Good Card classifica as violações em três categorias, com base na natureza do risco, e se reserva o direito de determinar se uma penalidade por não-aderência é cabível para uma dada violação. Penalidades adicionais podem ser impostas caso a não aderência continue após 90 dias da notificação inicial.
• Categoria A – Integridade do Sistema de Pagamento
A não-aderência Categoria A afeta a integridade do sistema de pagamento. Violações classificadas nesta categoria implicam em aplicação imediata de penalidades monetárias. Um exemplo é a não aderência aos requisitos de proteção das informações de conta e de transações.
• Categoria B – Visibilidade aos Usuários Finais
A não-aderência Categoria B foca a conduta que é visível aos usuários finais. Violações classificadas nesta categoria implicam em aplicação imediata de penalidades monetárias ou, alternativamente, na notificação e estabelecimento de um prazo para modificação dos fatores geradores da não-aderência, antes da imposição de penalidades monetárias. Um exemplo é o uso indiscriminado das marcas Good Card .
• Categoria C – Eficiência e Desempenho Operacional
A não-aderência Categoria C aborda a eficiência e o desempenho operacional. Violações classificadas nesta categoria implicam em aplicação imediata de penalidades monetárias ou, alternativamente, na notificação e estabelecimento de um prazo para modificação dos fatores geradores da não-aderência, antes da imposição de penalidades monetárias. Um exemplo é a falha em fornecer informações pertinentes solicitadas pela Good Card .
• Penalidades por Não-Aderência
A tabela a seguir aplica-se a qualquer padrão Good Card que não tenha estabelecido seu programa próprio e diferenciado de aderência. A Good Card pode impor penalidades adicionais, caso a não aderência continue. De acordo com os padrões da Good Card , podem ser aplicadas penalidades adicionais, suspensão ou encerramento da parceria.
‘
Manual de Operações CONFIDENCIAL 121
Capítulo XIII – Tarifas
Descrição detalhada Penalidades por não-aderência, conforme detalhamento abaixo:
Periodicidade Única
Código NA0101
Descrição Não aderência cat A-integridade, por violação- violação 1
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0102
Descrição Não aderência cat A-integridade, por violação- violação 2
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0103
Descrição Não aderência cat A-integridade, por violação- violação 3
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0201
Descrição Não aderência cat A-integridade, por violação- violação 4+
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0202
Descrição Não aderência cat A-integridade, por dispositivo - violação 30 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0203
Descrição Não aderência cat A-integridade, por dispositivo - violação 60 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0301
Descrição Não aderência cat A-integridade, por dispositivo - violação 90 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0302
Descrição Não aderência cat A-integridade, por número de instrumentos de pagamento - valor mínimo
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0303
Descrição Não aderência cat A-integridade, por número de instrumentos de pagamento
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NA0304
Descrição Não aderência cat A-integridade, por número de instrumentos de pagamento - valor máximo
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0101
Descrição Não aderência cat B-visibilidade, por violação - violação 1
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0102
Descrição Não aderência cat B-visibilidade, por violação - violação 2
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0103
Descrição Não aderência cat B-visibilidade, por violação - violação 3
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0104
Descrição Não aderência cat B-visibilidade, por violação - violação 4+
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0201
Descrição Não aderência cat B-visibilidade, por dispositivo - violação 30 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0202
Descrição Não aderência cat B-visibilidade, por dispositivo - violação 60 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0203
Descrição Não aderência cat B-visibilidade, por dispositivo - violação 90 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0301
Descrição Não aderência cat B- visibilidade, por número de instrumentos de pagamento - valor mínimo
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NB0302
Descrição Não aderência cat B- visibilidade, por número de instrumentos de pagamento
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 122
Descrição detalhada Penalidades por não-aderência, conforme detalhamento abaixo:
Periodicidade Única
Código NB0303
Descrição Não aderência cat B- visibilidade, por número de instrumentos de pagamento - valor máximo
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0101
Descrição Não aderência cat C- operacional, por violação - violação 1
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0102
Descrição Não aderência cat C- operacional, por violação - violação 2
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0103
Descrição Não aderência cat C- operacional, por violação - violação 3
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0104
Descrição Não aderência cat C- operacional, por violação - violação 4+
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0201
Descrição Não aderência cat C- operacional, por dispositivo - violação 30 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0202
Descrição Não aderência cat C- operacional, por dispositivo - violação 60 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0203
Descrição Não aderência cat C- operacional, por dispositivo - violação 90 dias
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0301
Descrição Não aderência cat C-operacional, por número de instrumentos de pagamento - valor mínimo
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0302
Descrição Não aderência cat C- operacional, por número de instrumentos de pagamento
Instituição E
Valor Conforme Contrato e/ou Anexo
Código NC0303
Descrição Não aderência cat C- operacional, por número de instrumentos de pagamento - valor máximo
Instituição E
Valor Conforme Contrato e/ou Anexo
‘
Manual de Operações CONFIDENCIAL 123
Categoria Tipo de Penalidade Descrição da Penalidade
A. Integridade do sistema de Pagamento
Por violação
Não há prazo para remedir a violação antes da aplicação da penalidade Primeira violação: multa de até R$ 5.000,00 Segunda violação antes de decorridos 12 meses: multa de até R$ 10.000,00 Terceira violação antes de decorridos 12 meses: multa de até R$ 15.000,00 Violações subsequentes antes de decorridos 12 meses: multa de até R$ 20.000,00 por violação.
Ocorrência variável (por dispositivo ou transação)
Não há prazo para remediar a violação antes da aplicação da penalidade Multa de até R$ 250,00 por ocorrência em 30 dias. Multa de até R$ 500,00 por ocorrência em 31 a 60 dias. Multa de até R$ 1.000,00 por ocorrência em 61 a 90 dias.
Ocorrência variável (por número de instrumentos de pagamento)
Não há prazo para remediar a violação antes da aplicação da penalidade Multa de até R$ 0,50 por Instrumento de Pagamento. Mínimo de R$ 1.000,00 por mês. Não há teto máximo.
‘
Manual de Operações CONFIDENCIAL 124
Categoria Tipo de Penalidade Descrição da Penalidad e
B. Visibilidade aos usuários finais
por violação
A critério da Good Card pode ser concedido um prazo de até sete dias para remediar a não aderência, antes da aplicação de penalidades. Primeira violação: multa de até R$ 2.000,00 Segunda violação antes de decorridos 12 meses: multa de até R$ 3.000,00 Terceira violação antes de decorridos 12 meses: multa de até R$ 6.000,00 Violações subsequentes antes de decorridos 12 meses: multa de até R$ 9.000,00 por violação.
Ocorrência variável (por dispositivo ou transação)
A critério da Good Card pode ser concedido um prazo de até sete dias para remediar a não aderência, antes da aplicação de penalidades. Multa de até R$ 1.000,00 por ocorrência em 30 dias. Multa de até R$ 2.000,00 por ocorrência de 31 a 60 dias. Multa de até R$ 4.000,00 por ocorrência de 61 a 90 dias.
Ocorrência variável (por número de instrumentos de pagamento)
A critério da Good Card pode ser concedido um prazo de até sete dias para remediar a não aderência, antes da aplicação de penalidades. Multa de até R$ 0,30 por Instrumento de Pagamento. Mínimo de R$ 500,00 por mês. Máximo de R$ 15.000,00 por mês.
• Todos os dias são contados em dias-calendário • Todos as violações do mesmo padrão são acompanhadas num período de 12 meses.
‘
Manual de Operações CONFIDENCIAL 125
XIII - 2.9. Contestações de Cobrança e Penalidades à Good Card
Os Emissores poderão, em até 60 (sessenta) dias contados do recebimento de cada cobrança, questionar os valores apresentados pela Good Card . Todavia, deverá efetuar o pagamento integral dos valores apresentados pela Good Card , sob pena de incidir em multas pecuniárias.
Eventuais ajustes serão realizados nas faturas dos meses seguintes.
A contestação de tarifas deve ser enviada por e-mail, para o Backoffice da Good Card , descrevendo o motivo da contestação e as tarifas que são o objeto desta contestação.
Ao emissor cabe ainda exercer seu direito de defesa, quando estiver em desconformidade com qualquer penalidade aplicada.
‘
Manual de Operações CONFIDENCIAL 126
Capítulo XIV - Glossário
Credenciadora
Instituição Good Card que tem o acordo/contrato com o estabelecimento para aceitar transações de instrumentos de pagamento Good Card ou que ofereça serviço de saque para usuários finais.
Afinidade
Instrumentos de pagamento personalizados com a marca de entidades, associações, clube de futebol, redes de varejo, etc, possibilitando ao Usuário Final ser identificado como parte integrante de um grupo especial.
Arbitragem
É um processo inicializado pelo Emissor quando este não resolveu uma disputa através do processo de Chargeback. O comitê de Arbitragem é o responsável por analisar todos os dados/documentação e dar o veredicto para o caso.
BIA
BIA é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio. Este tem por finalidade apresentar todos os prováveis impactos de forma Qualitativa e Quantitativamente dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos.
BIN Bank Identification Number - Número que identifica o Emissor.
Boletim de Proteção Banco de dados negativo onde pode ser consultado todos os instrumentos de pagamento cancelados.
Chargeback Uma venda ou saque que tenha sido examinada pelo emissor e considerada não OK e devolvida para o credenciador.
Co-branding É um Instrumento de Pagamento de marca compartilhada que traz vantagens específicas para os usuários finais como, por exemplo: descontos progressivos nas compras.
Código de Autorização Código de 6 (seis) ou mais dígitos que valida a compra conferindo se o valor está dentro do limite de crédito do Usuário Final e se o Instrumento de Pagamento não está cancelado.
Código de serviço É um campo de 3 dígitos da tarja magnética do Instrumento de Pagamento para indicar as características do Instrumento de Pagamento.as características do Instrumento de Pagamento.
Comprovante de venda Impresso eletrônico ou manual onde constam os dados da venda, Instrumento de Pagamento e estabelecimento.
CVV Card Verification Value - Código de segurança do Instrumento de Pagamento que valida a originalidade do Instrumento de Pagamento.
Disputa Termo usado quando o Usuário Final do Instrumento de Pagamento não reconhece uma ou mais transações efetuadas em seu Instrumento de Pagamento.
Embossamento Termo usado para gravar no plástico em alto relevo o número do Instrumento de Pagamento, data de validade e nome do Usuário Final.
Emissor Instituição que tem o acordo/contrato para emitir instrumentos de pagamento Good Card ou que ofereça serviço de saque para os usuários finais.
Fraude
Engano intencional, apropriação indébita de recursos (art. 168 do Código Penal) ou manipulação de dados que resulte em vantagem ou desvantagem para uma pessoa, empresa ou entidade, fazendo uso de informação privilegiada em benefício próprio ou de outrem.
Full Recourse Termo usado para garantir total direito ao emissor sobre as vendas efetuadas através da Internet, mala direta e telefone (Venda sem a presença física do Instrumento de Pagamento).
‘
Manual de Operações CONFIDENCIAL 127
HSM
O HSM é um processador de criptografia seguro com o principal propósito de gerenciar chaves criptográficas e operações de criptografia aceleradas utilizando tais chaves. Os módulos geralmente oferecem recursos de proteção tais como autenticação intensa e resistência a alterações físicas.
IIN Issuer Identification Number - Número de Identificação do Emissor
Lavagem de Dinheiro
Processo de disfarçar a procedência de capital de origem ilícita por intermédio de múltiplas transações financeiras, fazendo-o parecer riqueza legítima, para que possa ser usado e investido. Essa prática geralmente envolve múltiplas transações, usadas para ocultar a origem dos ativos financeiros e permitir que eles sejam utilizados sem comprometer os criminosos. A dissimulação é, portanto, a base para toda operação de “lavagem” que envolva dinheiro proveniente de um crime antecedente.
Liquidação Termo usado para o fechamento contábil entre Emissor, Adquirinte e Bandeira.
Notificação de liquidação É gerado pela bandeira informando aos emissores os valores a serem debitados ou creditados como resultado do repasse.
PCI DSS
PCI DSS é um acrônimo para Payment Card Industry Data Security Standard, em português Padrão de Segurança de Dados da Industria de Cartões de Pagamento . Foi desenvolvido pelas maiores empresas de cartões de pagamento como guia para orientar as entidades que processam pagamentos através de cartão a prevenirem seus ambientes de fraudes de cartão, ataques de hackers e varias outras ameaças.
POC Ponto de Comprometimento
PCN
O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan – BCP) é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte
POS Point Of Service - Termo usado para o aparelho onde são realizadas as vendas através do Instrumento de Pagamento.
Processadora Termo usado à instituição que gerencia o processamento operacional de Autorização e Captura das transações.
Referida Termo usado quando é solicitado um contato com o emissor para concluir uma venda.
Reversão Termo usado para o estorno ou cancelamento de uma venda.
SAC Serviço de Atendimento ao Cliente
Stand-In Termo usado quando o autorizado do Emissor está fora do ar e a transação é autorizada ou negada pela Bandeira.
Taxa de desconto Percentual abatido do valor total da venda.
Taxa de intercâmbio Percentual que é calculado sobre a transação que remunera o emissor de Instrumento de Pagamento
Taxa de transação Tarifa cobrada na captura de transações nos meios de captura POS, TEF e URA
Transação parcelada A venda pode ser feita com o parcelamento lojista ou parcelamento emissor.
URA Unidade de Resposta Audível
V&E Viagem e Entretenimento
‘
Manual de Operações CONFIDENCIAL 128
Capítulo XV - Anexos
XV - 1. Formulário de Solicitação de Credenciamento
XV - 2. Formulário de Notificação de Fraude
‘
Manual de Operações CONFIDENCIAL 129
XV - 3. Formulário de Contestação de Compra
‘
Manual de Operações CONFIDENCIAL 130
‘
Manual de Operações CONFIDENCIAL 131