Para que guarda eso Air Europa, espero que AEPD o quien proceda les de un buen palo.

#2 cc #1

#2 Yo creo que lo guardan precisamente para lo que menciona #1. Gente que acepta de forma explicita recordar la tarjeta para futuras compras en su perfil de usuario.

No se yo si la AEPD va a tener nada que ver con eso.

#1 de seguridad y un poquito de sentido común también.

llámame boomer,no se...

como si no se almacenará cuando no le das, vamos que si yo quiero una devolución te la hacen sin problema y a través del mismo medio...

#1 Que no lo aceptes no implica que no lo guarden, por ejemplo, para devolver algún importe cobrado indebidamente. Y si lo guardan, puede ser robado.
Pero vamos, que mejor no aceptar nunca la opción de recordar tarjeta de crédito.

#3 "Air Europa ha recomendado a éstos que se pongan en contacto con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa."

Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.

Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.

#2 pues yo ya estoy en un momento de la vida en que prefiero que no.

Piénsalo. Si se le mete un palo grande, la empresa cerrará, echará a los trabajdores, los que la han cagado no pierden nada, los directivos se han llevado calentito su sueldo, y al dia siguiente abre una nueva empresa, Air Eupora, con los mismos directivos, contratando a los mismos trabajadores con peores condicioens, y dispuestos a hacer la misma mierda.

Personalmente, creo que toda cagada de empres debería repercutir directamente en todo trabajador de la misma y todo accionista, en el porcentaje que le corresponda. Si cobras 1M€ de la empresa, y ésta se valora en 100M, tu solito vas a pagar el 1% de la multa. Así de simple. Hasta los cojones de las mamadurrias de "la empresa no tiene pasta", cuando el directivo de turno viaja en porsche y tiene piso en Madrid y casa en la Costa Brava y apartamento en Canarias. Al dia siguiente abre otra, y suma y sigue. Andatomarporculoya.

#1 en las cookies está bien, pero ¿hay alguna garantía de que independientemente de lo que marques, es lo que sucede en sus servidores?

#8 Tampoco dice que hayan almacenado todo ya puestos... dudo que hayan almacenado algo de lo que no hayan pedido permiso por lo que deduzco que se trata del recordar, de hecho el escandalo no es que se sepa que tenian los datos sino que han sido robados. Hay maneras de almacenarlo si... pero con manera de recuperarlo, no se trata de una password que te da igual cual es generas un hash y luego comparas hash y asi no almacenas ninguna password, aqui se trata de almacenar algo que usaras, si lo almacenasen ecnriptado, en algun lugar deben almacenar la clave para dessencriptarlo y ahi esta el problema si te hackean pueden obtener los datos encriptados y las claves perfectamente, osea todo.

Sólo he volado con Air Europa una vez y era a través de una agencia hará ya la hostia de tiempo.

Aún tengo grabado en la cabeza el puto frío que hacía en el avión, que se les había estropeado la climatización

#6 No es así exactamente, la empresa que hace el cobro simplemente comunica a la tarjeta de crédito que el pedido XXXXXXXXX ha sido cancelado y se realiza el reembolso. No hay necesidad de guardar esos datos.

Una empresa no debería guardar datos que no puede custodiar de forma segura.
Yo haría responsable de todos los perjuicios a la empresa.

#10 No, pero si piensas así no deberías usar Internet

En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.

A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.

Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.

#11 Bueno, pues si lo entierras con una clave, lo desentierras con la misma clave, o no, que puedes poner un "salt" para cada usuario y aplicarlo con la clave de enterramiento. Aunque no se usasen tecnicas avanzadas de enterramiento, simplemente con enterrarlo ya estás complicando un poquito mas.

Luego también podrías cifrar y descifrar.

#15 Si, eso es lo que me extraña. En principio lo normal es que los pagos se hagan siempre en algún sistema externo, desde los comercios se da la orden de pago y se recibe la confirmación, pero el proceso en si de pagar se hace en la pasarela de pago (sea bancaria, de tarjeta, paypal o stripe, etc)

Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.

(He montado alguna pasarela bancaria, pero solo para pymes)

#1 Y aparte, te evitará algunas compras compulsivas Yo , por ejemplo, en las plataformas de compra de videojuegos nunca le doy a recordar para así, sí quiero comprar en ellas me lo tenga que pensar dos veces...

#17 cualquier proceso que pongan o hagan si te han entrado hasta la cocina... tendran el dato encriptado, el salt, la pimienta todo... toda cerradura que necesita abrirse es insegura si te roban la llave... y es lo que ha pasado

#1 yo uso tarjetas desechables para los sitios webs que no me parezcan de confianza.

#4 tiene que ver en cuanto es tu deber proteger esa información.

#7 para devolver no necesitan el ccv

#17 Por curiosidad, ¿que es eso de enterrar con clave?

#15 yo he trabajado con sistema de pagos tb, la que yo conozco es relativa a un unico pago, desconozco si hay autorizacon te permite seguir pasando cargos? que para el caso patatas or que si ese hash permite pasar cargos es lo mismo que tener todoslos datos de la tarjeta

#6 como dice #13 en la aceptacion de pago recibes un codigo especial que identifica la transacion y con ese codigo puedes cancelar o abonar el pago.

#24 Es una manía de informático viejuno, antes de que RAE aceptase encriptar como cifrar. Encriptar es meter en una cripta, en español no existía esa acepción. Y meter en una cripta es... enterrar. Fué como, yo que se, como ahora los que llaman nube al ordenador de otro.

Edit: Es más, lo acabo de mirar en RAE y lo ponen como anglicismo: Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.

Edit 2: No hace ni un año de esto: www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encri

Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.

#27 Vale, es que como luego hablabas de cifrar pense que estabas hablando de un proceso diferente.

#28 No, es una coña.

#26 pues justo cuando lo acabe de escribir me acordé de eso

#22 Esta tontería se acaba rápido en el momento que las empresas deban compensar individualmente a cada indivíduo por los datos robados.

#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra

No creo que ninguna empresa que pretenda ser seria guarde estos datos voluntariamente, así que tiene pinta del típico combo de registro mal configurado que guarda lo que no tiene que guardar y mala custodia de dicho fichero de registro.

#1 lo ideal sería usar siempre tarjetas virtuales de un solo uso

#7 se guarda un token con la pasarela de pago. Pero según como guarden los datos pues pueden estar expuestos también.
Pues ya lo ha comentado #15 también

Lo ideal es pagar siempre con tarjeta virtual desechable como comenté en #34

#13 estoy afectado, he preguntado al delegado de protección de datos de la empresa si han almacenado ellos el número de mi tarjeta, fecha de caducidad y cvv. Ya veremos qué dicen.

#21 ¿Air Europa no te lo parecía?

#15 De hecho si utilizas una pasarela de pago (Stripe, Adyen, FIS...) tu sistema solo ve los últimos dígitos de la tarjeta y recibe un token para referenciarla.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.

#1 Quizás por eso no he recibido el email.

#2 Esperas que alguien le de un palo a Air Europa por incumplir algo que de momento sólo está en tu cabeza. Es decir, no tienes claro ni el quien ni el porqué, pero tú quieres un buen palo.

#1 perdona, creo que la preocupación es que han robado información sobre las transacciones realizadas. Es decir, que en sus bases de datos se guardan los datos de las compras, que incluyen los números de tarjeta y titulares utilizadas en las compras de billetes y que podrían utilizarse por terceros para realizar cargos fraudulentos.L
Lo que mencionas se guardaía  en el almacén de contraseñas local, de tu ordenador y no sería accesible en un ataque a air-europa sino a tu ordenador. No obstante, es en general, un consejo de seguridad a considerar.

#4 Esos datos no son cualqueir cosa ... para poder guardar esos datos (CVV!!) tienes que cumplir una normativa de seguridad muy estricta. MUY estricta. Obvio cualquier empresucha puede guardarlos como le venga en gana, pero se expone a este tipò de cosas. Si cumplian los criterios de seguridad tiene q haber sido un error humano, no queda otra. Es extremadamente grave. Se pueden hacer compras con esa información.

#11 siempre que pago con tarjeta en web se abre una web intermediaria del banco o redsys, las webs no deben ver ni almacenar esa información.

Y me solicita autorización en la app del banco.

El último pago que hice la web ofrecía pago por bizum, solo pones el numero de teléfono y luego autorizas en la app del banco. Y visa o mastercard no se llevan comisión.

#33 Justo, culpa del informático que hizo el formulario

#1 Entiendo que si has comprado un vuelo de air Europa a través de eDreams no pasa nada no?
Yo nunca doy a guardar tarjeta porsiaca...

Pensaba que estaba prohibido almacenar el cvv sin excusa alguna.

#15 Eso iba a preguntar, si el recordatorio de tarjeta, no se podria hacer como las pasarelas de pago, en las que la tienda no tiene porque saber el numero de tarjeta.
es.wikipedia.org/wiki/Pasarela_de_pago

#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.

#1 yo nunca lo hago, pero en ningún caso las empresas deberían de almacenar el CVV. Como mucho que almacenen tu tarjeta (si tú lo has pedido) pero el CVV que lo tengas que poner siempre

#42 ahí iba yo. Que pasa, han guardado toodos los datos?. No jodamos... Guarda el número de tarjeta (que bueno, guardarlo en claro, en fin) pero pide siempre el cvv... Para la gente en general, sospechad de los sitios dónde puedas comprar recursivamente sin meter ningún dato... (a ver, que hay gente que lo hace bien, pero siempre está bien estar bien educado en estas cosas)

#35 totalmente de acuerdo. Y más en sitios de dudosa reputación. Aunque visto lo visto....

#1 si cumplen con PCI debería dar igual... De un HSM no van a volcarlas... Lo que me parece de coña es como las gestionaban Air Europa...

#7 Rara vez se guardan los datos abiertos de la tarjeta. Hay una normativa muy estricta al respecto

#27 Lo que sí es de viejuno es lo de "la nube es el ordenador de otro"

Todos los servicios que no están en tus equipos están en (que no son) "el ordenador de otro". Y nada te impide desplegar una nube en tus propios equipos, como hacen tantas y tantas empresas... incluida la mía. Para mis jefes la nube no es "el ordenador de otro".

#38 #15 #14 #33 Air Europa tiene la certificación PCI DSS, con lo cual está autorizado a guardar esos datos. Y ahí viene la cuestión. Cómo es posible que una empresa que obtiene la certificación PCI DSS (que implica la existencia de protocolos que permiten la máxima protección posible de datos de usuario) tiene ese tipo de brechas de seguridad.

#1 yo lo hago, pero mi tarjeta bancaria para compras de internet es monedero, o le meto pasta o buena suerte para robarme algo.

#53 Menuda cuñadez, cuñao Si lo tienes tu no es "la nube"

#14 es que para trabajar con tarjetas exigen certificación PCI y para esto exigen HSM que es un hardware de cifrado especifico... Si no han cumplido PCI se les va a caer el pelo y si lo han hecho ... Es virtualmente imposible que hayan volcado las tarjetas y cvv

#40 Si!

#33 para eso están las auditorías y certificaciones ... A más de uno se le debería caer el pelo

#18 #15 Las aerolíneas como Air Europa tienen flujos de autorización complejos que les obliga a almacenar las tarjetas de crédito. Y no se están pasando por el forro ninguna estandarización, porque precisamente por esto las aerolíneas tienen sus sistemas de pagos certificados por normativa PCI. Si eres certificado PCI, puedes guardar las tarjetas de crédito.

Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.

#1 De siempre, jamás he guardado la tarjeta ni en local ni en ninguna web. Es de lo peor que puedes hacer, por muy cómodo que sea.

Acordarse de lo que pasó con Sony...

www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html

#17 precisamente eso es lo que se criticó a Sony, que no cifrara las tarjetas de crédito y estas estaban en texto plano.

Por suerte, para autorizar pagos muchas tarjetas necesitan una confirmación en la app.

#22 Evidentemente que es su deber protegerlo. Pero me habia parecido que #2 iba mas en darles un palo por "guardarlo". Cuando es algo perfectamente normal.

#1 muchas tiendas entre ellas amazon, no preguntan si quiere que almacene la tarjeta de crédito, directamente la almacenan y listo, las compañías aéreas igual.

#54 pues ahí está la historia.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.

Air Europa dispone de certificación PCI DSS y eso le permite almacenar las tarjetas. El problema es precisamente si cumplen con la certificación, cómo es posible esta brecha. Están en un problema gordo, y a lo mejor la certificadora también, ya que está obligada a realizar auditorías que verifiquen su cumplimiento. No es necesario autorizar implícitamente el guardado de estos datos.

#15 normalmente, el banco prefiere que el origin de la transacción no almacene nada, uno porque no es su negocio, y dos, porque así se vuelven más necesarios… (Y el esquema más seguro)

En cualquier caso, no hablan de tarjetas almacenadas, sino tarjetas usadas… puede ser que en la arquitectura haya habido algún punto donde se loggease “inocentemente” esta información, o bien que hayan sufrido un esquema de “MiM”, o bien, que algún dato no viajase suficientemente securizado…

Nunca he comprado personalmente con ellos ningún vuelo, pero suelo volar, y tanto la web como la aplicación móvil, funcionan bastante mal… Con muchos errores y cuelgues

#42 algunas auditorías PCI son de risa. Y las compañías suelen mentir para conseguir la certificación.

#65 Air Europa está en un problema gordo, pero la certificadora puede estar en otro si no ha cumplido con las inspecciones para su implementación. Se pone en duda el valor de esta certificación.

#15 Por saber: Entonces cuando Amazon te dice "Visa / 4B / Euro6000 Tarjeta de crédito que termina en •••• 9999", ¿no tiene el número completo? Doy por supuesto que Amazon lo hace bien, claro. Sí veo que guarda la fecha de caducidad.

Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25

Muchas gracias de antemano.

#46 Y está prohibido por los estándares de PCI DSS

#49 como amazon?

#66 Pero sólo pueden guardar algunos datos. Estos son los permitidos y los que no. Que tienen un serio problema ahora está claro.  

Pues si tenían las tarjetas en la base de datos sin cifrar de ninguna manera, da para denuncia gorda

#73 sí pueden guardarlo, pero tienen que borrarlo una vez se finalice el proceso de autorización:

"PCI DSS does not prohibit the collection of card verification codes/values prior to authorization of a specific purchase or transaction. However, it is not permitted to retain card verification codes/values once the specific purchase or transaction for which it was collected has been authorized.".

#1 o usar PayPal, Apple/Google Pay (usan otro número), o la tarjeta virtual del banco (Wise te las crea gratis).

#36 También estoy afectado, informa en cuanto sepas por favor.

Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?

#56 Vamos, que ni puta idea de lo que es una nube privada

"Informático" dice ¿Montabas ordenadores?

#1 Eso es si las tarjetas las han robado de una base de datos, si estaban espiando las transacciones da exactamente igual. Dudo que guardaran el CVV. De todas maneras les va a caer un puro.

#31 Sí, ya está Alberto Garzón trabajando en ello

#69 de esta y del resto de certificaciones que ha emitido la misma.

#57 No pueden haber cumplido PCI si tenian almacenado el CVV. Según PCI el CVV no se puede almacenar nunca

#34 Desde el desconocimiento, ¿eso existe? Es decir, una opción en tu banco que te genere aleatoriamente un número de tarjeta de débito, fecha y CVV para usar en 10 minutos, por ejemplo, simplemente para pasar el cargo a cuenta y luego desaparezca y te genere tantos como precises. Evidentemente, para las de crédito no funcionaría.
Yo uso una tarjeta monedero donde no suelo tener más de 200 euros.

#75 a eso me refería en mi comentario de #33, seguramente durante el proceso el dato se ha volcado en algún tipo de log, de forma que se guardado indeseadamente.

#67 tu servidores no pueden recibir información alguna de tarjetas si no tienes la certificación que te permite guardarlas. Ni como log, ni registro de transacción, ni para autorizar nada en los proveedores externos.

#84 goto #85

#9 a todo trabajador
Y una polla.

#1 Si crees que ese truco "funciona", y que los datos de tus tarjetas no se almacenan en ningún sitio tras una transacción

#61 ¿Cómo que no se guarda? A ver si no vas a guardar las transacciones realizadas un tiempo. Hablamos de dinero, por lo que guardas todo lo que puedes el máximo de tiempo que te permitan, por si acaso hay que reclamar en algún momento.

#69 Viendo como se pasan muchas certificaciones, no dudes solo de ésta, duda de todas.

#1 Positivo y buen consejo pero quisiera añadir es no dar el número en la web en cuestión del proveedor sino en la pasarela bancaria que te sale a la hora de pagar, así los webadmins no ven los datos. Y si puedes usar una tarjeta virtual o de un solo uso, mejor.

#8 Si los datos los das en la página de RedSys o la pasarela del banco, el proveedor no los ve. Lo malo es dárselos al proveedor.

#43 Es lo ideal, RedSys y doble verificación.

Y los usuarios son los que tienen el problema 

#89 Guardas la transacción, no el número de tarjeta.

#15 Venía a comentar eso, RedSys te da la opción de guardar los datos pero quien los custodia es la pasarela, RedSys u otra y no el proveedor.

Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.

Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?

#60 Primera noticia de eso, gracias por la info

#95 Ya ves que hay casos donde no se hace ...

#83 Si, casi todos te ofrecen muchas alternativas al respecto. Yo trabajo bastante con Revoult para eso y suele ser muy cómodo.
Que yo recuerde ahora es más cosa de permitir un único pago más que limitarlas a 10 minutos, también puedes limitar el importe pero compro poco últimamente online y puedo estar equivocado.

#27 hostias qué buena, no me la sabía. Me la guardo