#18 #15 Las aerolíneas como Air Europa tienen flujos de autorización complejos que les obliga a almacenar las tarjetas de crédito. Y no se están pasando por el forro ninguna estandarización, porque precisamente por esto las aerolíneas tienen sus sistemas de pagos certificados por normativa PCI. Si eres certificado PCI, puedes guardar las tarjetas de crédito.

Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.

#1 Que no lo aceptes no implica que no lo guarden, por ejemplo, para devolver algún importe cobrado indebidamente. Y si lo guardan, puede ser robado.
Pero vamos, que mejor no aceptar nunca la opción de recordar tarjeta de crédito.

#3 "Air Europa ha recomendado a éstos que se pongan en contacto con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa."

Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.

Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.

#6 No es así exactamente, la empresa que hace el cobro simplemente comunica a la tarjeta de crédito que el pedido XXXXXXXXX ha sido cancelado y se realiza el reembolso. No hay necesidad de guardar esos datos.

Para que guarda eso Air Europa, espero que AEPD o quien proceda les de un buen palo.

#7 para devolver no necesitan el ccv

#15 De hecho si utilizas una pasarela de pago (Stripe, Adyen, FIS...) tu sistema solo ve los últimos dígitos de la tarjeta y recibe un token para referenciarla.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.

#6 como dice #13 en la aceptacion de pago recibes un codigo especial que identifica la transacion y con ese codigo puedes cancelar o abonar el pago.

#15 Si, eso es lo que me extraña. En principio lo normal es que los pagos se hagan siempre en algún sistema externo, desde los comercios se da la orden de pago y se recibe la confirmación, pero el proceso en si de pagar se hace en la pasarela de pago (sea bancaria, de tarjeta, paypal o stripe, etc)

Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.

(He montado alguna pasarela bancaria, pero solo para pymes)

#10 No, pero si piensas así no deberías usar Internet

En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.

A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.

Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.

#24 Es una manía de informático viejuno, antes de que RAE aceptase encriptar como cifrar. Encriptar es meter en una cripta, en español no existía esa acepción. Y meter en una cripta es... enterrar. Fué como, yo que se, como ahora los que llaman nube al ordenador de otro.

Edit: Es más, lo acabo de mirar en RAE y lo ponen como anglicismo: Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.

Edit 2: No hace ni un año de esto: www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encri

Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.

#17 cualquier proceso que pongan o hagan si te han entrado hasta la cocina... tendran el dato encriptado, el salt, la pimienta todo... toda cerradura que necesita abrirse es insegura si te roban la llave... y es lo que ha pasado

#1 Y aparte, te evitará algunas compras compulsivas Yo , por ejemplo, en las plataformas de compra de videojuegos nunca le doy a recordar para así, sí quiero comprar en ellas me lo tenga que pensar dos veces...

#1 yo nunca lo hago, pero en ningún caso las empresas deberían de almacenar el CVV. Como mucho que almacenen tu tarjeta (si tú lo has pedido) pero el CVV que lo tengas que poner siempre

#38 #15 #14 #33 Air Europa tiene la certificación PCI DSS, con lo cual está autorizado a guardar esos datos. Y ahí viene la cuestión. Cómo es posible que una empresa que obtiene la certificación PCI DSS (que implica la existencia de protocolos que permiten la máxima protección posible de datos de usuario) tiene ese tipo de brechas de seguridad.

#2 Yo creo que lo guardan precisamente para lo que menciona #1. Gente que acepta de forma explicita recordar la tarjeta para futuras compras en su perfil de usuario.

No se yo si la AEPD va a tener nada que ver con eso.

#83 Si, casi todos te ofrecen muchas alternativas al respecto. Yo trabajo bastante con Revoult para eso y suele ser muy cómodo.
Que yo recuerde ahora es más cosa de permitir un único pago más que limitarlas a 10 minutos, también puedes limitar el importe pero compro poco últimamente online y puedo estar equivocado.

#11 siempre que pago con tarjeta en web se abre una web intermediaria del banco o redsys, las webs no deben ver ni almacenar esa información.

Y me solicita autorización en la app del banco.

El último pago que hice la web ofrecía pago por bizum, solo pones el numero de teléfono y luego autorizas en la app del banco. Y visa o mastercard no se llevan comisión.

#42 algunas auditorías PCI son de risa. Y las compañías suelen mentir para conseguir la certificación.

#69 de esta y del resto de certificaciones que ha emitido la misma.

#13 estoy afectado, he preguntado al delegado de protección de datos de la empresa si han almacenado ellos el número de mi tarjeta, fecha de caducidad y cvv. Ya veremos qué dicen.

Una empresa no debería guardar datos que no puede custodiar de forma segura.
Yo haría responsable de todos los perjuicios a la empresa.

#49 como amazon?

#54 pues ahí está la historia.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.

#15 Eso iba a preguntar, si el recordatorio de tarjeta, no se podria hacer como las pasarelas de pago, en las que la tienda no tiene porque saber el numero de tarjeta.
es.wikipedia.org/wiki/Pasarela_de_pago

#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.

#1 yo lo hago, pero mi tarjeta bancaria para compras de internet es monedero, o le meto pasta o buena suerte para robarme algo.

#1 De siempre, jamás he guardado la tarjeta ni en local ni en ninguna web. Es de lo peor que puedes hacer, por muy cómodo que sea.

Acordarse de lo que pasó con Sony...

www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html

#17 precisamente eso es lo que se criticó a Sony, que no cifrara las tarjetas de crédito y estas estaban en texto plano.

#8 Tampoco dice que hayan almacenado todo ya puestos... dudo que hayan almacenado algo de lo que no hayan pedido permiso por lo que deduzco que se trata del recordar, de hecho el escandalo no es que se sepa que tenian los datos sino que han sido robados. Hay maneras de almacenarlo si... pero con manera de recuperarlo, no se trata de una password que te da igual cual es generas un hash y luego comparas hash y asi no almacenas ninguna password, aqui se trata de almacenar algo que usaras, si lo almacenasen ecnriptado, en algun lugar deben almacenar la clave para dessencriptarlo y ahi esta el problema si te hackean pueden obtener los datos encriptados y las claves perfectamente, osea todo.

#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra

#1 Quizás por eso no he recibido el email.

Air Europa dispone de certificación PCI DSS y eso le permite almacenar las tarjetas. El problema es precisamente si cumplen con la certificación, cómo es posible esta brecha. Están en un problema gordo, y a lo mejor la certificadora también, ya que está obligada a realizar auditorías que verifiquen su cumplimiento. No es necesario autorizar implícitamente el guardado de estos datos.

#60 Primera noticia de eso, gracias por la info

#66 Pero sólo pueden guardar algunos datos. Estos son los permitidos y los que no. Que tienen un serio problema ahora está claro.  

#1 en las cookies está bien, pero ¿hay alguna garantía de que independientemente de lo que marques, es lo que sucede en sus servidores?

#36 También estoy afectado, informa en cuanto sepas por favor.

Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?

#119 Porque guarda la autorización de la empresa que emite la tarjeta, no los datos en sí.
#15 lo explica bien

#2 cc #1

Sólo he volado con Air Europa una vez y era a través de una agencia hará ya la hostia de tiempo.

Aún tengo grabado en la cabeza el puto frío que hacía en el avión, que se les había estropeado la climatización

#22 Esta tontería se acaba rápido en el momento que las empresas deban compensar individualmente a cada indivíduo por los datos robados.

#46 Y está prohibido por los estándares de PCI DSS

#57 No pueden haber cumplido PCI si tenian almacenado el CVV. Según PCI el CVV no se puede almacenar nunca

como si no se almacenará cuando no le das, vamos que si yo quiero una devolución te la hacen sin problema y a través del mismo medio...

#4 Esos datos no son cualqueir cosa ... para poder guardar esos datos (CVV!!) tienes que cumplir una normativa de seguridad muy estricta. MUY estricta. Obvio cualquier empresucha puede guardarlos como le venga en gana, pero se expone a este tipò de cosas. Si cumplian los criterios de seguridad tiene q haber sido un error humano, no queda otra. Es extremadamente grave. Se pueden hacer compras con esa información.

Por suerte, para autorizar pagos muchas tarjetas necesitan una confirmación en la app.

#15 <--- este Sr con tan buen gusto por los sistemas operativos tiene toda la razón.

Lo normal es no tener que almacenar más que la transacción. La pasarela de pago lo debería llevar una compañia regulada que efectua el pago con la tarjeta a través de sus sistemas. Esto es transparente al usuario.

En definitiva, que la compañía a la que le compras el pollo no es la compañía con la que haces el pago, esto es un servicio que ofrece otra compañía a la compañía del pollo.

Y las razones para ello son muchas, variadas y todas buenas.

Sin Air Europa no lo hace así es una falta importante.

#35 O con tarjetas de recarga como realizo yo cuando compro o encargo algo online.

#35 o con cvv dinámico

#11 Bueno, pues si lo entierras con una clave, lo desentierras con la misma clave, o no, que puedes poner un "salt" para cada usuario y aplicarlo con la clave de enterramiento. Aunque no se usasen tecnicas avanzadas de enterramiento, simplemente con enterrarlo ya estás complicando un poquito mas.

Luego también podrías cifrar y descifrar.

Pensaba que estaba prohibido almacenar el cvv sin excusa alguna.

#7 Rara vez se guardan los datos abiertos de la tarjeta. Hay una normativa muy estricta al respecto

#73 sí pueden guardarlo, pero tienen que borrarlo una vez se finalice el proceso de autorización:

"PCI DSS does not prohibit the collection of card verification codes/values prior to authorization of a specific purchase or transaction. However, it is not permitted to retain card verification codes/values once the specific purchase or transaction for which it was collected has been authorized.".

#1 Positivo y buen consejo pero quisiera añadir es no dar el número en la web en cuestión del proveedor sino en la pasarela bancaria que te sale a la hora de pagar, así los webadmins no ven los datos. Y si puedes usar una tarjeta virtual o de un solo uso, mejor.

#8 Si los datos los das en la página de RedSys o la pasarela del banco, el proveedor no los ve. Lo malo es dárselos al proveedor.

#43 Es lo ideal, RedSys y doble verificación.

#15 Venía a comentar eso, RedSys te da la opción de guardar los datos pero quien los custodia es la pasarela, RedSys u otra y no el proveedor.

Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.

Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?

#42 CVV no lo pueden guardar, y debieran meterles un puro bien gordo si lo tenían guardado. CVV significa que tienes la tarjeta en tu mano, para evitar uso por terceros. Salvo la pasarela de pago, nadie debe pedirte el CVV.

A veces te lo piden en algún comercio chapucero para poder pagar por tarjeta. Lo que hacen es meter esos datos por ti en su pasarela. Es decir, te están suplantando. Y nadie te garantiza ue luego borren esos datos, como si hace una pasarela.

Lo dicho, esperouwlrs metan un buen puro por tener información que no pueden tener.

#2 pues yo ya estoy en un momento de la vida en que prefiero que no.

Piénsalo. Si se le mete un palo grande, la empresa cerrará, echará a los trabajdores, los que la han cagado no pierden nada, los directivos se han llevado calentito su sueldo, y al dia siguiente abre una nueva empresa, Air Eupora, con los mismos directivos, contratando a los mismos trabajadores con peores condicioens, y dispuestos a hacer la misma mierda.

Personalmente, creo que toda cagada de empres debería repercutir directamente en todo trabajador de la misma y todo accionista, en el porcentaje que le corresponda. Si cobras 1M€ de la empresa, y ésta se valora en 100M, tu solito vas a pagar el 1% de la multa. Así de simple. Hasta los cojones de las mamadurrias de "la empresa no tiene pasta", cuando el directivo de turno viaja en porsche y tiene piso en Madrid y casa en la Costa Brava y apartamento en Canarias. Al dia siguiente abre otra, y suma y sigue. Andatomarporculoya.

#15 Por saber: Entonces cuando Amazon te dice "Visa / 4B / Euro6000 Tarjeta de crédito que termina en •••• 9999", ¿no tiene el número completo? Doy por supuesto que Amazon lo hace bien, claro. Sí veo que guarda la fecha de caducidad.

Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25

Muchas gracias de antemano.

#28 No, es una coña.

#2 Esperas que alguien le de un palo a Air Europa por incumplir algo que de momento sólo está en tu cabeza. Es decir, no tienes claro ni el quien ni el porqué, pero tú quieres un buen palo.

#53 Menuda cuñadez, cuñao Si lo tienes tu no es "la nube"

#40 Si!

#22 Evidentemente que es su deber protegerlo. Pero me habia parecido que #2 iba mas en darles un palo por "guardarlo". Cuando es algo perfectamente normal.

#1 Si crees que ese truco "funciona", y que los datos de tus tarjetas no se almacenan en ningún sitio tras una transacción

#61 ¿Cómo que no se guarda? A ver si no vas a guardar las transacciones realizadas un tiempo. Hablamos de dinero, por lo que guardas todo lo que puedes el máximo de tiempo que te permitan, por si acaso hay que reclamar en algún momento.

#69 Viendo como se pasan muchas certificaciones, no dudes solo de ésta, duda de todas.

#95 Ya ves que hay casos donde no se hace ...

#1 yo uso tarjetas desechables para los sitios webs que no me parezcan de confianza.

#26 pues justo cuando lo acabe de escribir me acordé de eso

#1 lo ideal sería usar siempre tarjetas virtuales de un solo uso

#7 se guarda un token con la pasarela de pago. Pero según como guarden los datos pues pueden estar expuestos también.
Pues ya lo ha comentado #15 también

Lo ideal es pagar siempre con tarjeta virtual desechable como comenté en #34

#21 ¿Air Europa no te lo parecía?

#1 Entiendo que si has comprado un vuelo de air Europa a través de eDreams no pasa nada no?
Yo nunca doy a guardar tarjeta porsiaca...

#1 si cumplen con PCI debería dar igual... De un HSM no van a volcarlas... Lo que me parece de coña es como las gestionaban Air Europa...

#14 es que para trabajar con tarjetas exigen certificación PCI y para esto exigen HSM que es un hardware de cifrado especifico... Si no han cumplido PCI se les va a caer el pelo y si lo han hecho ... Es virtualmente imposible que hayan volcado las tarjetas y cvv

#33 para eso están las auditorías y certificaciones ... A más de uno se le debería caer el pelo

#65 Air Europa está en un problema gordo, pero la certificadora puede estar en otro si no ha cumplido con las inspecciones para su implementación. Se pone en duda el valor de esta certificación.

Pues si tenían las tarjetas en la base de datos sin cifrar de ninguna manera, da para denuncia gorda

#1 o usar PayPal, Apple/Google Pay (usan otro número), o la tarjeta virtual del banco (Wise te las crea gratis).

#31 Sí, ya está Alberto Garzón trabajando en ello

#34 Desde el desconocimiento, ¿eso existe? Es decir, una opción en tu banco que te genere aleatoriamente un número de tarjeta de débito, fecha y CVV para usar en 10 minutos, por ejemplo, simplemente para pasar el cargo a cuenta y luego desaparezca y te genere tantos como precises. Evidentemente, para las de crédito no funcionaría.
Yo uso una tarjeta monedero donde no suelo tener más de 200 euros.

#67 tu servidores no pueden recibir información alguna de tarjetas si no tienes la certificación que te permite guardarlas. Ni como log, ni registro de transacción, ni para autorizar nada en los proveedores externos.

#84 goto #85

#89 Guardas la transacción, no el número de tarjeta.

#82 por eso mismo lo digo que no se coño estaban haciendo

Edito es que ni para recurring ni para ningún caso tiene o se debe guardar... De hecho el cvv debe saltarse caches y cualquier otro medio de persistencia según el estándar de banca

#103 goto #75

#106 independientemente de quien gestione el cobro, Air Europa dispone de certificación para poder registrar esos datos. En cualquier caso, parece ser que el problema no ha sido por robo de datos guardados en sus sistemas, sino de un ataque MitM con software capturando los datos en el momento de las transacciones.

#109 es lo normal no te ves en nada a cambio de un pequeño pago a un psp o similar

#112 aha, y como recabas el dato sin almacenarlo? Claro que puedes almacenarlo hasta que la transacción asociada al dato se finalice. Muchas de ellas son de forma asíncrona (transacción - autorización).

#104 Cómo lo hace Amazon? Guardando algún tipo de token de la pasarela de pagos en lugar del cvv?

#1 Y bajo ningun concepto el CVV, de hecho igual es hasta ilegal

#21 Pero en principio a Air Europa se le puede presuponer esa confianza... en cualquier caso nunca almacenarlas.

#124 si haces el pago directamente con ellos, ya estan almacenadas.

#1 de seguridad y un poquito de sentido común también.

llámame boomer,no se...

#4 tiene que ver en cuanto es tu deber proteger esa información.

#15 yo he trabajado con sistema de pagos tb, la que yo conozco es relativa a un unico pago, desconozco si hay autorizacon te permite seguir pasando cargos? que para el caso patatas or que si ese hash permite pasar cargos es lo mismo que tener todoslos datos de la tarjeta

No creo que ninguna empresa que pretenda ser seria guarde estos datos voluntariamente, así que tiene pinta del típico combo de registro mal configurado que guarda lo que no tiene que guardar y mala custodia de dicho fichero de registro.

#1 perdona, creo que la preocupación es que han robado información sobre las transacciones realizadas. Es decir, que en sus bases de datos se guardan los datos de las compras, que incluyen los números de tarjeta y titulares utilizadas en las compras de billetes y que podrían utilizarse por terceros para realizar cargos fraudulentos.L
Lo que mencionas se guardaía  en el almacén de contraseñas local, de tu ordenador y no sería accesible en un ataque a air-europa sino a tu ordenador. No obstante, es en general, un consejo de seguridad a considerar.