En 2021 la AEPD ya sancionó a AirEuropa por un caso similar con 500.000. Se ve que o no aprenden o que la multa no es lo suficientemente elevada.
PDF con la sentencia: www.google.com/url?sa=t&source=web&rct=j&opi=89978449&

#82 por eso mismo lo digo que no se coño estaban haciendo

Edito es que ni para recurring ni para ningún caso tiene o se debe guardar... De hecho el cvv debe saltarse caches y cualquier otro medio de persistencia según el estándar de banca

#54 PCI-DSS prohíbe expresamente que puedas almacenar el CVV y el PIN. Esos son dos datos que no puedes almacenar en ningún caso. Una certificación PCI-DSS no te habilita a guardar esos datos, al contrario, se supone que alguien ha verificado que no se esté haciendo.

#42 CVV no lo pueden guardar, y debieran meterles un puro bien gordo si lo tenían guardado. CVV significa que tienes la tarjeta en tu mano, para evitar uso por terceros. Salvo la pasarela de pago, nadie debe pedirte el CVV.

A veces te lo piden en algún comercio chapucero para poder pagar por tarjeta. Lo que hacen es meter esos datos por ti en su pasarela. Es decir, te están suplantando. Y nadie te garantiza ue luego borren esos datos, como si hace una pasarela.

Lo dicho, esperouwlrs metan un buen puro por tener información que no pueden tener.

#103 goto #75

#15 <--- este Sr con tan buen gusto por los sistemas operativos tiene toda la razón.

Lo normal es no tener que almacenar más que la transacción. La pasarela de pago lo debería llevar una compañia regulada que efectua el pago con la tarjeta a través de sus sistemas. Esto es transparente al usuario.

En definitiva, que la compañía a la que le compras el pollo no es la compañía con la que haces el pago, esto es un servicio que ofrece otra compañía a la compañía del pollo.

Y las razones para ello son muchas, variadas y todas buenas.

Sin Air Europa no lo hace así es una falta importante.

#106 independientemente de quien gestione el cobro, Air Europa dispone de certificación para poder registrar esos datos. En cualquier caso, parece ser que el problema no ha sido por robo de datos guardados en sus sistemas, sino de un ataque MitM con software capturando los datos en el momento de las transacciones.

#70 Amazon puede sacar esa información con la api de la pasarela de pago.

Digo puede porque una mega empresa como Amazon probablemente tenga su sistema propio y si que tenga derecho a almacenar cuentas de crédito.

Algunas empresas de e-commerce más pequeñas que Amazon usan pasarelas de pago.

#102 Es más, ni siquiera es estrictamente necesario que Air Europa como tal gestione esa información. Se pueden integrar directamente con su proveedor de pagos y que esos valores los gestione directamente el proveedor de pagos sin pasar por los sistemas de Air Europa...

#109 es lo normal no te ves en nada a cambio de un pequeño pago a un psp o similar

#105 Pueden recabarlo pero no almacenarlo.

#75 No pueden guardarlo. Precisamente el texto que has copiado te lo dice: puedes "recabar el dato" para hacer la verificación (PCI DSS does not prohibit the collection), pero no puedes "almacenarlo" (However, it is not permitted to retain card verification codes/values".

#112 aha, y como recabas el dato sin almacenarlo? Claro que puedes almacenarlo hasta que la transacción asociada al dato se finalice. Muchas de ellas son de forma asíncrona (transacción - autorización).

#113 Yo sí veo diferencia entre recabar un dato para hacer la transacción y almacenar un dato.

A ver, que hay que anular la tarjeta y sacar otra nueva. Cada vez uso más Paypal.....

Se supone que no deben guardar el cvv

#4 Los datos de tarjeta normalmente se tokenizan precisamente para poder guardarlos en una base de datos normal sin las exigencias que comporta guardarlos en bruto. Si los han guardado en bruto en una BBDD normal, la AEPD sí que va a tener algo que decir.

#35 O con tarjetas de recarga como realizo yo cuando compro o encargo algo online.

#104 Cómo lo hace Amazon? Guardando algún tipo de token de la pasarela de pagos en lugar del cvv?

#49 las compras recurrentes solo requieren el PAN tokenizado y la fecha de caducidad, llamese Amazon y similares, por ende no se almacena el cvv y solo se usa en la primera transacción pagosonline.redsys.es/funcionalidades-COF.html

#35 o con cvv dinámico

#119 Porque guarda la autorización de la empresa que emite la tarjeta, no los datos en sí.
#15 lo explica bien

#1 Y bajo ningun concepto el CVV, de hecho igual es hasta ilegal

#21 Pero en principio a Air Europa se le puede presuponer esa confianza... en cualquier caso nunca almacenarlas.

#124 si haces el pago directamente con ellos, ya estan almacenadas.

#85 Ya, pero según parece, están acreditados PCI-DSS, y por tanto según reza el capítulo 3 (o 4) de la PCI “El almacenamiento ha de ser el mínimo necesario”, por tanto, pueden almacenar.

Por otra parte, los primeros capítulos de la PCI te hablan de medidas de seguridad a establecer, pero realmente, puedes cumplir con un truño… y realmente, si tienes un desafortunado log “escupiendo datos” en un pequeño componente del programa, el Assessment no te lo va a encontrar…