#15 normalmente, el banco prefiere que el origin de la transacción no almacene nada, uno porque no es su negocio, y dos, porque así se vuelven más necesarios… (Y el esquema más seguro)

En cualquier caso, no hablan de tarjetas almacenadas, sino tarjetas usadas… puede ser que en la arquitectura haya habido algún punto donde se loggease “inocentemente” esta información, o bien que hayan sufrido un esquema de “MiM”, o bien, que algún dato no viajase suficientemente securizado…

Nunca he comprado personalmente con ellos ningún vuelo, pero suelo volar, y tanto la web como la aplicación móvil, funcionan bastante mal… Con muchos errores y cuelgues

#75 a eso me refería en mi comentario de #33, seguramente durante el proceso el dato se ha volcado en algún tipo de log, de forma que se guardado indeseadamente.

#54 PCI-DSS prohíbe expresamente que puedas almacenar el CVV y el PIN. Esos son dos datos que no puedes almacenar en ningún caso. Una certificación PCI-DSS no te habilita a guardar esos datos, al contrario, se supone que alguien ha verificado que no se esté haciendo.

#105 Pueden recabarlo pero no almacenarlo.

#75 No pueden guardarlo. Precisamente el texto que has copiado te lo dice: puedes "recabar el dato" para hacer la verificación (PCI DSS does not prohibit the collection), pero no puedes "almacenarlo" (However, it is not permitted to retain card verification codes/values".

#113 Yo sí veo diferencia entre recabar un dato para hacer la transacción y almacenar un dato.

#85 Ya, pero según parece, están acreditados PCI-DSS, y por tanto según reza el capítulo 3 (o 4) de la PCI “El almacenamiento ha de ser el mínimo necesario”, por tanto, pueden almacenar.

Por otra parte, los primeros capítulos de la PCI te hablan de medidas de seguridad a establecer, pero realmente, puedes cumplir con un truño… y realmente, si tienes un desafortunado log “escupiendo datos” en un pequeño componente del programa, el Assessment no te lo va a encontrar…

#102 Es más, ni siquiera es estrictamente necesario que Air Europa como tal gestione esa información. Se pueden integrar directamente con su proveedor de pagos y que esos valores los gestione directamente el proveedor de pagos sin pasar por los sistemas de Air Europa...

#17 Por curiosidad, ¿que es eso de enterrar con clave?

#27 Vale, es que como luego hablabas de cifrar pense que estabas hablando de un proceso diferente.

#33 Justo, culpa del informático que hizo el formulario

#42 ahí iba yo. Que pasa, han guardado toodos los datos?. No jodamos... Guarda el número de tarjeta (que bueno, guardarlo en claro, en fin) pero pide siempre el cvv... Para la gente en general, sospechad de los sitios dónde puedas comprar recursivamente sin meter ningún dato... (a ver, que hay gente que lo hace bien, pero siempre está bien estar bien educado en estas cosas)

#35 totalmente de acuerdo. Y más en sitios de dudosa reputación. Aunque visto lo visto....

#9 a todo trabajador
Y una polla.

#70 Amazon puede sacar esa información con la api de la pasarela de pago.

Digo puede porque una mega empresa como Amazon probablemente tenga su sistema propio y si que tenga derecho a almacenar cuentas de crédito.

Algunas empresas de e-commerce más pequeñas que Amazon usan pasarelas de pago.

#1 muchas tiendas entre ellas amazon, no preguntan si quiere que almacene la tarjeta de crédito, directamente la almacenan y listo, las compañías aéreas igual.

#1 Eso es si las tarjetas las han robado de una base de datos, si estaban espiando las transacciones da exactamente igual. Dudo que guardaran el CVV. De todas maneras les va a caer un puro.

Y los usuarios son los que tienen el problema 

#27 hostias qué buena, no me la sabía. Me la guardo

En 2021 la AEPD ya sancionó a AirEuropa por un caso similar con 500.000. Se ve que o no aprenden o que la multa no es lo suficientemente elevada.
PDF con la sentencia: www.google.com/url?sa=t&source=web&rct=j&opi=89978449&

A ver, que hay que anular la tarjeta y sacar otra nueva. Cada vez uso más Paypal.....

Se supone que no deben guardar el cvv

#4 Los datos de tarjeta normalmente se tokenizan precisamente para poder guardarlos en una base de datos normal sin las exigencias que comporta guardarlos en bruto. Si los han guardado en bruto en una BBDD normal, la AEPD sí que va a tener algo que decir.

#49 las compras recurrentes solo requieren el PAN tokenizado y la fecha de caducidad, llamese Amazon y similares, por ende no se almacena el cvv y solo se usa en la primera transacción pagosonline.redsys.es/funcionalidades-COF.html

#27 Lo que sí es de viejuno es lo de "la nube es el ordenador de otro"

Todos los servicios que no están en tus equipos están en (que no son) "el ordenador de otro". Y nada te impide desplegar una nube en tus propios equipos, como hacen tantas y tantas empresas... incluida la mía. Para mis jefes la nube no es "el ordenador de otro".

#56 Vamos, que ni puta idea de lo que es una nube privada

"Informático" dice ¿Montabas ordenadores?