La compañía pide a sus usuarios que se pongan en contacto con su banco para cancelar la tarjeta que hayan usado para realizar pagos en la web de la empresa. En concreto, los datos sustraídos son el número de varias tarjetas, sus fechas de caducidad y el CVV.
|
etiquetas: air europa , datos bancarios , aerolíneas , tarjetas , cvv
No se yo si la AEPD va a tener nada que ver con eso.
llámame boomer,no se...
Pero vamos, que mejor no aceptar nunca la opción de recordar tarjeta de crédito.
Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.
Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.
Piénsalo. Si se le mete un palo grande, la empresa cerrará, echará a los trabajdores, los que la han cagado no pierden nada, los directivos se han llevado calentito su sueldo, y al dia siguiente abre una nueva empresa, Air Eupora, con los mismos directivos, contratando a los mismos trabajadores con peores condicioens, y dispuestos a hacer la misma mierda.
Personalmente, creo que toda cagada de empres debería repercutir directamente en todo trabajador de la misma y todo accionista, en el porcentaje que le corresponda. Si cobras 1M€ de la empresa, y ésta se valora en 100M, tu solito vas a pagar el 1% de la multa. Así de simple. Hasta los cojones de las mamadurrias de "la empresa no tiene pasta", cuando el directivo de turno viaja en porsche y tiene piso en Madrid y casa en la Costa Brava y apartamento en Canarias. Al dia siguiente abre otra, y suma y sigue. Andatomarporculoya.
Aún tengo grabado en la cabeza el puto frío que hacía en el avión, que se les había estropeado la climatización
Yo haría responsable de todos los perjuicios a la empresa.
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.
A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.
Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.
Luego también podrías cifrar y descifrar.
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
Edit: Es más, lo acabo de mirar en RAE y lo ponen como anglicismo: Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.
Edit 2: No hace ni un año de esto: www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encri
Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.
Pues ya lo ha comentado #15 también
Lo ideal es pagar siempre con tarjeta virtual desechable como comenté en #34
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
Lo que mencionas se guardaía en el almacén de contraseñas local, de tu ordenador y no sería accesible en un ataque a air-europa sino a tu ordenador. No obstante, es en general, un consejo de seguridad a considerar.
Y me solicita autorización en la app del banco.
El último pago que hice la web ofrecía pago por bizum, solo pones el numero de teléfono y luego autorizas en la app del banco. Y visa o mastercard no se llevan comisión.
Yo nunca doy a guardar tarjeta porsiaca...
es.wikipedia.org/wiki/Pasarela_de_pago
#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.
Todos los servicios que no están en tus equipos están en (que no son) "el ordenador de otro". Y nada te impide desplegar una nube en tus propios equipos, como hacen tantas y tantas empresas... incluida la mía. Para mis jefes la nube no es "el ordenador de otro".
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
Acordarse de lo que pasó con Sony...
www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
#17 precisamente eso es lo que se criticó a Sony, que no cifrara las tarjetas de crédito y estas estaban en texto plano.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.
En cualquier caso, no hablan de tarjetas almacenadas, sino tarjetas usadas… puede ser que en la arquitectura haya habido algún punto donde se loggease “inocentemente” esta información, o bien que hayan sufrido un esquema de “MiM”, o bien, que algún dato no viajase suficientemente securizado…
Nunca he comprado personalmente con ellos ningún vuelo, pero suelo volar, y tanto la web como la aplicación móvil, funcionan bastante mal… Con muchos errores y cuelgues
Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25
Muchas gracias de antemano.
"PCI DSS does not prohibit the collection of card verification codes/values prior to authorization of a specific purchase or transaction. However, it is not permitted to retain card verification codes/values once the specific purchase or transaction for which it was collected has been authorized.".
Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?
"Informático" dice ¿Montabas ordenadores?
Yo uso una tarjeta monedero donde no suelo tener más de 200 euros.
Y una polla.
Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.
Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?
Que yo recuerde ahora es más cosa de permitir un único pago más que limitarlas a 10 minutos, también puedes limitar el importe pero compro poco últimamente online y puedo estar equivocado.