Configuração do TSP

Ao trabalhar com seu provedor de serviços de token (TSP) para ativar o suporte ao Google Pay, você vai precisar assegurar que determinadas configurações estejam em conformidade com os requisitos do Google Pay. São elas:

• Termos de Serviço
• Metadados do cartão, incluindo a arte do cartão

Se você precisar alterar o TSP que recebe solicitações de provisionamento para seus BINs ou precisar remover determinados campos (por exemplo, os campos de validade ou CVV), talvez seja necessário que o Google personalize suas configurações de BIN para que possamos tratar adequadamente os cartões nos seus intervalos de BINs.

Diretrizes dos Termos de Serviço

Durante o fluxo de tokenização, os usuários precisam aceitar os Termos de Serviço (ToS) do emissor, fornecidos pelo TSP. Por motivos de segurança, os emissores precisam cumprir os seguintes requisitos dos Termos de Serviço para garantir que eles sejam apresentados adequadamente. Caso contrário, o Google remove o conteúdo proibido dos Termos de Serviço antes de apresentá-lo ao usuário. O Google se reserva o direito de atualizar o próprio processo de análise caso identifique novos riscos.

Os Termos de Serviço podem ser formatados usando uma das duas opções a seguir:

• texto simples (codificado em UTF-8)
• HTML (usando um subconjunto limitado de tags)

Opção de texto simples

O uso de texto simples é a abordagem mais fácil de enviar ToS em conformidade com os requisitos, porque não há risco de incluir tags ou hiperlinks incompatíveis. O conteúdo precisa ser codificado em UTF-8.

Se você estiver usando texto simples, use o modelo fornecido abaixo:

Section Header
Text for this section...

Section Header
Text for this section...
* Bullet 1
* Bullet 2
* Bullet 3

Section Header
Text for this section...

Opção de HTML

O uso de HTML oferece mais controle sobre a formatação para permanecer em conformidade com nossas diretrizes de ToS, mas permitimos apenas determinadas tags HTML. Todas as tags que não cumprem os requisitos são removidas do que é apresentado ao usuário.

O arquivo de ToS precisa ser um documento HTML v4 ou v5 bem formado, com estrutura de documento adequada e tags de abertura e fechamento. As únicas tags permitidas são:

• Estrutura do documento: html, head, title, body
• Cabeçalhos: h1, h2, ..., h6
• Elementos de lista: li, ul, ol
• Tabelas: table, tr, td, th
• Parágrafo e quebras de linha: p, br
• Formatação de texto: b, i, u, strong, em

Não adicione nenhuma das seguintes tags usadas com frequência:

• Imagens: img tags
• Javascript:
  • script tags
  • link tags to javascript files
• CSS in any form: style, link, style tag attributes
• Links: a
• Tags de acompanhamento e pixels
• Uma destas opções: applet, base, embed, form, iframe, link, math, meta, object, script, style, svg, template

Outros requisitos:

• Não defina explicitamente os tamanhos das fontes. Use tags de título em vez disso.
• Não defina cores.

Se você estiver usando HTML, use o modelo fornecido abaixo:

<html>
  <head>
    <title></title>
  </head>
  <body>
    <h1>Section Header</h1>
    <p>Text for this section...</p>
    <h1>Section Header</h1>
    <p>Text for this section...</p>
    <ol>
      <li>Bullet 1</li>
      <li>Bullet 2</li>
      <li>Bullet 3</li>
    </ol>
    <h1>Section Header</h1>
    <p>Text for this section <em>with emphasis</em>...</p>
  </body>
</html>

Diretrizes de arte e metadados do cartão

Os bancos emissores de cartão enviam as seguintes informações do cartão de acordo com o processo estabelecido pela sua rede:

• Nome do banco emissor do cartão
• Arte do cartão
• Link para o documento de Termos de Serviço (recomendado)
• Link para o documento de Política de Privacidade (recomendado)
• Número de telefone para contato do banco emissor do cartão. Há suporte para números de telefone internacionais (por exemplo, +1-222-333-4444)
• Informações sobre o app para dispositivos móveis do banco emissor do cartão para Android (nome do pacote)

Diretrizes de arte do cartão

A arte do seu cartão é renderizada em dispositivos na tela da lista de cartões, na tela de detalhes do cartão dentro do app e na confirmação da transação nos terminais de ponto de venda. No momento, aceitamos apenas layouts de arte de cartão horizontais. Se você usar um layout de cartão vertical, envie um design de arte de cartão apropriado para exibição horizontal.

Em geral, usamos as seguintes informações do TSP para exibir a arte do cartão:

• ID do conteúdo estático: detalhes obrigatórios para fazer o download da imagem de arte do cartão.
• Cor de texto de sobreposição (obrigatória): cor numérica de RGB (número inteiro ou hexadecimal) usada para renderizar os últimos quatro dígitos na imagem do cartão, produzindo um bom contraste. Recomendamos utilizar branco ou preto.
• Cor do cartão (opcional): cor acentuada/de fundo em telas de confirmação da transação e de detalhes do cartão. Também usada inicialmente para renderizar uma imagem genérica de cartão até ser feito o download do arquivo de imagem no dispositivo. Se não for especificada, uma cor dominante será extraída da imagem do cartão baixada, e cinza será usado para a arte genérica inicial.

Especificações	Requisito	Notas de uso e exibição
Formato de arte do cartão	PDF (vetor) ou PNG-32	PNGs renderizados dos PDFs enviados
Dimensões	PNG (1536 x 969)	Ajustada para caber na tela do dispositivo
Orientação	Horizontal
Tamanho do arquivo	Até 4 MB
Bordas	Retangular	Bordas arredondadas para exibição no dispositivo
Modo de cor	RGB
Borda, espaço em branco	Nenhuma, a imagem tem que se estender até as extremidades
Informações particulares ou mais seguras (PII)	Não incluir o nome do titular do cartão, o número do cartão, a validade e o CVV
Logotipos	Incluir logotipos conforme necessário	Somente recursos combinados são aceitos. O Google Pay não cobre nem sobrepõe logotipos na arte do cartão.

Problemas comuns com metadados

• URLs: os URLs devem ser válidos, usar HTTPS (não HTTP) e evitar referências a outras carteiras no URL ou no conteúdo da página correspondente. Não há problema se o URL apontar para uma página genérica que ofereça suporte a todas as carteiras. Os URLs com referência a outra carteira que redirecionam para uma página genérica devem ser substituídos por um URL genérico.

• Nome do pacote: o nome do pacote do seu app bancário para dispositivos móveis. O nome do pacote é usado para exibir um link para seu app na exibição de detalhes do cartão para um token. Os emissores devem fornecer apenas o nome do pacote. Um erro comum é que os emissores referenciam parte ou a todo o URL de seu app na Play Store. Embora tentemos detectar esses erros comuns ao renderizar o link, a prática recomendada é que o emissor ajuste adequadamente essa configuração na configuração do token.

  Exemplo de um nome de pacote válido:

  • com.google.android.apps.walletnfcrel

  Exemplos de nomes de pacote inválidos:

  • Não envie o URL completo da Play Store. Exemplo: 'https://play.google.com/store/apps/details?id=com.google.android.apps.walletnfcrel'
  • Não inclua parâmetros de URL após o nome do pacote. Esse é um erro comum ao conseguir o nome do pacote no link da Play Store. Exemplo: 'com.google.android.apps.walletnfcrel&hl=en'
  • Não vincule a um app iOS. Exemplo: 'https://apps.apple.com/us/app/google-pay/id575923525'

Identidade e verificação (ID&V)

Quando um titular de cartão tenta adicionar um cartão ao Google Pay, o Google executa uma verificação de mecanismo de risco no nosso lado. Supondo que o usuário passe na verificação do Google, ele prossegue com a tokenização. A verificação do mecanismo de risco do Google é separada e distinta dos sinais de risco e dos dados de provisionamento que fornecemos em cada solicitação de provisionamento. Cada solicitação de provisionamento inclui informações sobre o usuário, o dispositivo e os detalhes do risco. Os emissores devem usar essas informações em uma decisão de risco sobre a solicitação de provisionamento. Essa decisão de risco resulta na atribuição de um dos três caminhos ao cartão do titular:

Caminho de cor	Status de autenticação
Verde	O cartão foi adicionado com sucesso ao Google Pay
Amarelo	São necessárias outras verificações antes do cartão ser adicionado ao Google Pay
Vermelho	A adição do cartão ao Google Pay foi recusada

Métodos suportados de ID&V de caminho amarelo

Para tentativas que tomam o caminho amarelo, o Google Pay tem suporte a várias formas de autenticação de ID&V. Os emissores precisam oferecer suporte a duas opções de ID&V de caminho amarelo (classificadas em ordem de preferência).

• Senha de uso único (OTP) enviada ao titular do cartão por mensagem de texto SMS.

• Senha de uso único (OTP) enviada ao titular do cartão por e-mail.

• Autenticação segura baseada na Web (3-D Secure) hospedada pelo seu TSP

• Verificação app-to-app com o app para dispositivos móveis do emissor.

• Telefonema do banco para o titular do cartão

• Telefonema do titular do cartão para o banco

• Senha de uso único (OTP) enviada ao titular do cartão por extrato bancário (não recomendado devido às baixas taxas de sucesso).

Diretrizes de mascaramento para opções de ID&V

• Mascaramento de telefone por SMS: recomendamos mascarar todos os dígitos, exceto os últimos quatro, do número de telefone do usuário para a melhor experiência do usuário. Se pelo menos os últimos dois dígitos estiverem visíveis e corresponderem ao número de telefone informado pelo dispositivo, vamos oferecer o preenchimento automático da OTP por SMS para o usuário. Caracteres sem dígitos, como + para códigos de país ou separadores como - e espaço em branco são permitidos no número mascarado. Use X ou * para mascarar os dígitos.
• Mascaramento de endereço de e-mail: o endereço de e-mail deve ser válido e mascarado com o domínio visível. Um exemplo de endereço de e-mail válido seria a***b@gmail.com or a***********b@gmail.com.

Diretrizes de OTP para mensagens de texto SMS

É importante que os titulares de cartão tenham instruções claras ao usar uma OTP para adicionar o cartão ao Google Pay. Para melhores resultados, siga estas diretrizes:

• Visibilidade: é importante que os titulares de cartão consigam ver as OTPs enviadas por mensagem de texto sem precisar abrir o app de mensagens.
• Formato: use o formato recomendado para texto com uma OTP: "Insira 123456 para verificar seu cartão do [nome do banco] para a Carteira do Google".
• Preenchimento automático: é importante que a OTP seja a primeira string numérica de seis dígitos na mensagem de texto. O titular do cartão não precisa inserir a OTP no Google Pay. O Google Pay detecta a OTP e preenche automaticamente o campo adequado no app para validar a identidade do titular do cartão. Recomendamos que você inclua apenas a string numérica de seis dígitos da OTP na mensagem de texto. Caso precise inserir outras strings numéricas, como os últimos quatro dígitos do cartão, adicione-as depois da OTP.
• Número máximo de tentativas: os bancos precisam oferecer suporte aos titulares de cartão quando eles excederem o número máximo de tentativas de uso da OTP. Se um titular exceder o máximo de tentativas e ainda tentar usar a OTP, use uma das soluções a seguir:
  • O Google Pay exibe "Tente novamente mais tarde" e um método alternativo de ID&V em vez de uma OTP.
  • Uma mensagem solicita que o titular do cartão entre em contato com o banco para concluir a ID&V.

Pontuações de risco e recomendações

Práticas recomendadas de ID&V

Acesse os links a seguir para consultar as práticas recomendadas de ID&V:

1. Aproveitar ao máximo os sinais de risco
2. Combinar as opções de ID&V com o nível de risco
3. Usar RCS para OTP por SMS
4. Usar OTP por SMS para redirecionar o usuário pelo app bancário
5. Práticas recomendadas gerais de mensagens para OTP por SMS e OTP por e-mail
6. Métodos alternativos de ID&V que permitem que os emissores alcancem a conformidade com a SCA

Mecanismo de risco do Google

Configuração de BIN