La compañía pide a sus usuarios que se pongan en contacto con su banco para cancelar la tarjeta que hayan usado para realizar pagos en la web de la empresa. En concreto, los datos sustraídos son el número de varias tarjetas, sus fechas de caducidad y el CVV.
|
etiquetas: air europa , datos bancarios , aerolíneas , tarjetas , cvv
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
Pero vamos, que mejor no aceptar nunca la opción de recordar tarjeta de crédito.
Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.
Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.
A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.
Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.
Edit: Es más, lo acabo de mirar en RAE y lo ponen como anglicismo: Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.
Edit 2: No hace ni un año de esto: www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encri
Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.
No se yo si la AEPD va a tener nada que ver con eso.
Que yo recuerde ahora es más cosa de permitir un único pago más que limitarlas a 10 minutos, también puedes limitar el importe pero compro poco últimamente online y puedo estar equivocado.
Y me solicita autorización en la app del banco.
El último pago que hice la web ofrecía pago por bizum, solo pones el numero de teléfono y luego autorizas en la app del banco. Y visa o mastercard no se llevan comisión.
Yo haría responsable de todos los perjuicios a la empresa.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.
es.wikipedia.org/wiki/Pasarela_de_pago
#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.
Acordarse de lo que pasó con Sony...
www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
#17 precisamente eso es lo que se criticó a Sony, que no cifrara las tarjetas de crédito y estas estaban en texto plano.
Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?
#15 lo explica bien
Aún tengo grabado en la cabeza el puto frío que hacía en el avión, que se les había estropeado la climatización
Lo normal es no tener que almacenar más que la transacción. La pasarela de pago lo debería llevar una compañia regulada que efectua el pago con la tarjeta a través de sus sistemas. Esto es transparente al usuario.
En definitiva, que la compañía a la que le compras el pollo no es la compañía con la que haces el pago, esto es un servicio que ofrece otra compañía a la compañía del pollo.
Y las razones para ello son muchas, variadas y todas buenas.
Sin Air Europa no lo hace así es una falta importante.
Luego también podrías cifrar y descifrar.
"PCI DSS does not prohibit the collection of card verification codes/values prior to authorization of a specific purchase or transaction. However, it is not permitted to retain card verification codes/values once the specific purchase or transaction for which it was collected has been authorized.".
Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.
Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?
A veces te lo piden en algún comercio chapucero para poder pagar por tarjeta. Lo que hacen es meter esos datos por ti en su pasarela. Es decir, te están suplantando. Y nadie te garantiza ue luego borren esos datos, como si hace una pasarela.
Lo dicho, esperouwlrs metan un buen puro por tener información que no pueden tener.
Piénsalo. Si se le mete un palo grande, la empresa cerrará, echará a los trabajdores, los que la han cagado no pierden nada, los directivos se han llevado calentito su sueldo, y al dia siguiente abre una nueva empresa, Air Eupora, con los mismos directivos, contratando a los mismos trabajadores con peores condicioens, y dispuestos a hacer la misma mierda.
Personalmente, creo que toda cagada de empres debería repercutir directamente en todo trabajador de la misma y todo accionista, en el porcentaje que le corresponda. Si cobras 1M€ de la empresa, y ésta se valora en 100M, tu solito vas a pagar el 1% de la multa. Así de simple. Hasta los cojones de las mamadurrias de "la empresa no tiene pasta", cuando el directivo de turno viaja en porsche y tiene piso en Madrid y casa en la Costa Brava y apartamento en Canarias. Al dia siguiente abre otra, y suma y sigue. Andatomarporculoya.
Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25
Muchas gracias de antemano.
Pues ya lo ha comentado #15 también
Lo ideal es pagar siempre con tarjeta virtual desechable como comenté en #34
Yo nunca doy a guardar tarjeta porsiaca...
Yo uso una tarjeta monedero donde no suelo tener más de 200 euros.
Edito es que ni para recurring ni para ningún caso tiene o se debe guardar... De hecho el cvv debe saltarse caches y cualquier otro medio de persistencia según el estándar de banca
llámame boomer,no se...
Lo que mencionas se guardaía en el almacén de contraseñas local, de tu ordenador y no sería accesible en un ataque a air-europa sino a tu ordenador. No obstante, es en general, un consejo de seguridad a considerar.