"Citi Handlowy rozpoczął wydawanie kart kredytowych z mikroprocesorem dla klientów indywidualnych. Zdjęcie identyfikacyjne, 72-godzinna ochrona w przypadku utraty karty oraz mikroprocesor czynią Kartę Kredytową Citibank jednym z najbardziej bezpiecznych produktów tego typu na rynku. Od maja tego roku każdy posiadacz Karty Kredytowej Citibank będzie mógł wymienić dotychczasową kartę na nową z mikroprocesorem. Na razie Karty Kredytowe Citibank wymieniane są transzami."

"Transakcje realizowane kartą z mikroprocesorem, klient za każdym razem potwierdza wpisując swój kod PIN"

http://kartyonline.pl/niusy.php?id=4312&_Citi_Handlowy_zwieksza_bezpieczenstwo_posiadaczy_Kart_Kredytowych


--
Mithos

On 8 Kwi, 11:00, Mithos <f...@adres.pl> wrote:

"Citi Handlowy rozpoczął wydawanie kart kredytowych z mikroprocesorem
dla klientów indywidualnych. Zdjęcie identyfikacyjne, 72-godzinna
ochrona w przypadku utraty karty oraz mikroprocesor czynią Kartę
Kredytową Citibank jednym z najbardziej bezpiecznych produktów tego typu
na rynku. Od maja tego roku każdy posiadacz Karty Kredytowej Citibank
będzie mógł wymienić dotychczasową kartę na nową z mikroprocesorem. Na
razie Karty Kredytowe Citibank wymieniane są transzami."

"Transakcje realizowane kartą z mikroprocesorem, klient za każdym razem
potwierdza wpisując swój kod PIN"

http://kartyonline.pl/niusy.php?id=4312&_Citi_Handlowy_zwieksza_bezpi....

--
Mithos

Wreszcie! 1 maja dzwonię na CitiPhone i zamawiam hybrydę. Ciekawi mnie
tylko, czy chip będzie preferował autoryzację offline. To byłoby
szybkie i wygodne (ostatnio bardzo często płacę kartą Citi).

Mithos wrote:

"Citi Handlowy rozpoczął wydawanie kart kredytowych z mikroprocesorem dla klientów indywidualnych. Zdjęcie identyfikacyjne, 72-godzinna ochrona w przypadku utraty karty oraz mikroprocesor czynią Kartę Kredytową Citibank jednym z najbardziej bezpiecznych produktów tego typu na rynku

taaa, dla banku.

Żadna reklamacja się nie ostoi, bo PIN jest przecież tajny i znany tylko właścicielowi.

witek <witek7205@gazeta.pl.invalid> writes:

Żadna reklamacja się nie ostoi, bo PIN jest przecież tajny i znany
tylko właścicielowi.

Jak to? Przeciez posiadacz karty musi go podawac przy wielu okazjach,
nie mozna mowic o zadnej tajnosci.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> writes:

witek <witek7205@gazeta.pl.invalid> writes:

Żadna reklamacja się nie ostoi, bo PIN jest przecież tajny i znany
tylko właścicielowi.

Jak to? Przeciez posiadacz karty musi go podawac przy wielu okazjach,
nie mozna mowic o zadnej tajnosci.

Prasa - oraz ta grupa - jest pelna przykladow odrzucenia reklamacji
fraudow MO/TO/IO, gdzie podano wylacznie dane wybite na karcie...

  MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Prasa - oraz ta grupa - jest pelna przykladow odrzucenia reklamacji
fraudow MO/TO/IO, gdzie podano wylacznie dane wybite na karcie...

To prawda, ale jakbysmy mieli tylko o tym myslec, to chyba nikt nie
uzywalby kart (przynajmniej takich pozwalajacych na MO/TO/IO, zreszta
nigdy nie wiadomo dokladnie ze jakas karta nie pozwala i nagle nie
zacznie).

Trzeba glosowac nogami, a poszkodowani powinni uzyskiwac sprawiedliwosc
przed sądem.
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Jak to? Przeciez posiadacz karty musi go podawac przy wielu okazjach,
nie mozna mowic o zadnej tajnosci.

Dlatego właśnie autoryzacja PINem jest niebezpieczna.


--
Mithos

Mithos <fake@adres.pl> writes:

Dlatego właśnie autoryzacja PINem jest niebezpieczna.

Jaka tam zaraz autoryzacja. PIN to tylko dodatkowe, slabe
zabezpieczenie, ktore eliminuje niektore mozliwe fraudy.
--
Krzysztof Halasa

Użytkownik "Mithos" <fake@adres.pl> napisał w wiadomości news:grhp4p$cdq$1news.onet.pl...

"Citi Handlowy rozpoczął wydawanie kart kredytowych z mikroprocesorem

/.../

"Transakcje /.../ klient za każdym razem potwierdza wpisując swój kod PIN"

nie wnikając w zalety/wady, i nie chcąc wywoływać wojny co lepsze/gorsze: _ja_ wolałem na podpis. i stąd pytania:


1. czy karty bez chipa/mikroprocesora znikną zupełnie?

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na podstawie wyciągów z citi?

Dnia Wed, 08 Apr 2009 11:11:08 +0200, Końrad N.S. napisał(a):

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na
podstawie wyciągów z citi?

Polbank, ale będzie wymagał zaświadczenia o wysokości zarobków.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

Użytkownik "Olgierd" <no.email.no.spam@no.problem> napisał w wiadomości news:pan.2009.04.08.10.11.08rudak.org...

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na
podstawie wyciągów z citi?

Polbank, ale będzie wymagał zaświadczenia o wysokości zarobków.

nie gniewaj się, ale kicham na polbank:

dwukrotnie składałem tam wnioski.

1. raz o złotą, a po odmowie złożyłem wniosek w citi, i dostałem golda.

2. mając golda z citi składałem wniosek o srebrną w polbanku ("na wyciągach z citi"), i mi odmówiono.
równocześnie tak samo na podstawie wyciągów z citi dostałem:
- amex gold w millenium, podnieśli limit o 10%
- visa gold w raiffeisen, podnieśli limit o 30%.
oczywiście citi zachowałem, mam i używam nadal.


jak widać polbankowi się nie spodobałem, więc odwzajemniam ich stosunek: mam ich głęboko w... nosie.



K>N>S>

Dnia Wed, 08 Apr 2009 13:34:37 +0200, Końrad N.S. napisał(a):

Polbank, ale będzie wymagał zaświadczenia o wysokości zarobków.

nie gniewaj się, ale kicham na polbank:

Nie gniewam się.
Polbank tak między październikiem a listopadem miał taki przestój. Mi też początkowo odmówili wydania karty, za jakiś czas ponowiłem wniosek i już było dobrze.

A dwa miesiące później bardzo ładnie załatwili sprawę kolejnej karty.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

Końrad N.S. pisze:

1. czy karty bez chipa/mikroprocesora znikną zupełnie?

Z tego co napisano to tak.

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na podstawie wyciągów z citi?

Z tymi kartami na podpis to teraz będzie kiepsko, więc moim zdaniem tylko chwilowo odroczysz przejście na kartę chip + pin.


--
Mithos

Użytkownik "Końrad N.S." <najswiezy@op.pl> napisał w wiadomości news:grhpjq$hsb$1opal.icpnet.pl...

1. czy karty bez chipa/mikroprocesora znikną zupełnie?

Taki ma być stan docelowy. Prawdopodobnie nie obejmie to najwyższych segmentów kart.

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na podstawie wyciągów z citi?

Prawdopodobnie BPH oraz Getin.

MarekZ pisze:

Taki ma być stan docelowy. Prawdopodobnie nie obejmie to najwyższych segmentów kart.

W sensie private banking ? Bo różne platyny przecież jak najbardziej już są chipowo-pinowe (w innych bankach).


--
Mithos

On Apr 8, 11:17 am, Mithos <f...@adres.pl> wrote:

MarekZ pisze:

> Taki ma by stan docelowy. Prawdopodobnie nie obejmie to najwy szych
> segment w kart.

W sensie private banking ? Bo r ne platyny przecie jak najbardziej ju
s chipowo-pinowe (w innych bankach).

--
Mithos

ZBP i banki ustalily, ze wszystkie karty beda z "czipem".

Użytkownik "Mithos" <fake@adres.pl> napisał w wiadomości news:grhq5c$fn9$1news.onet.pl...

W sensie private banking ? Bo różne platyny przecież jak najbardziej już są chipowo-pinowe (w innych bankach).

p-b i te tam MC-WS,VI i Centuriony. Chip ma raczej być, bo musi być, ale autoryzacja ma być zawsze podpisem mimo obecności mikroprocesora. Mamy to już teraz np. w przypadku VP ING. Czyli chip jako dekoracja, aby spełnić jakieś tam prawne wymogi, ale autoryzacja podpisem, a o to przeciez chodzi.

"MarekZ" <marekz_usun_@irc.pl> wrote in message news:grhqe2$jnt$1srv.cyf-kr.edu.pl...

Użytkownik "Mithos" <fake@adres.pl> napisał w wiadomości news:grhq5c$fn9$1news.onet.pl...

W sensie private banking ? Bo różne platyny przecież jak najbardziej już są chipowo-pinowe (w innych bankach).

p-b i te tam MC-WS,VI i Centuriony. Chip ma raczej być, bo musi być, ale autoryzacja ma być zawsze podpisem mimo obecności mikroprocesora. Mamy to już teraz np. w przypadku VP ING. Czyli chip jako dekoracja, aby spełnić jakieś tam prawne wymogi, ale autoryzacja podpisem, a o to przeciez chodzi.

jeśli tak ma być rzeczywiście to dla mnie bomba.
Paradoksalnie w potwierdzeniu tylko PINem widze wieksze niebezpieczenstwo niz teraz (mam na podpis).

owszem kopiowac bedzie trudniej, ale w łeb bedzie można dostać szybciej...
osobiście wolę stracic dzienny limit niz sie narazaz sie na utratę zdrowia lub życia jak ktoś źle wyważy młotek...

george

george pisze:

jeśli tak ma być rzeczywiście to dla mnie bomba.
Paradoksalnie w potwierdzeniu tylko PINem widze wieksze niebezpieczenstwo niz teraz (mam na podpis).

Ponieważ ?

owszem kopiowac bedzie trudniej, ale w łeb bedzie można dostać szybciej...
osobiście wolę stracic dzienny limit niz sie narazaz sie na utratę zdrowia lub życia jak ktoś źle wyważy młotek...

A co to ma wspólnego ze sposobem potwierdzania transakcji ?


--
Mithos

"Mithos" <fake@adres.pl> wrote in message news:grhrv4$m6b$2news.onet.pl...

george pisze:

jeśli tak ma być rzeczywiście to dla mnie bomba.
Paradoksalnie w potwierdzeniu tylko PINem widze wieksze niebezpieczenstwo niz teraz (mam na podpis).

Ponieważ ?

krótka scenka, stoisz w hipermarkecie, za toba łysy, potwierdzasz i wychodzisz, potem dostajesz w łeb, łysy idzie i wypłaca a bank mówi że ma cie w dupie bo potwierdziłeś swoją tożsamość pinem. koniec opowiesci.
Teraz bedziesz musiał udowodnić że nie jesteś wielbłądem. ( np że łysy nie był z tobą w zmowie).
W przypadku pinu Bank przenosi całe ryzyko "nieautoryzowanych" transakcji na klienta.
Z popisem masz punkt zaczepienia aby odzyskać kasę z prawidłowym pinem dużo mniejsze szanse.

Poniższe zdanie jest prawdziwe.
"Karta z chipem potwierdzana pinem jest bezpieczniejsza"... szkoda że nie dodali najważniejszego...
bezpieczniejsza to ona  jest dla banku.

owszem kopiowac bedzie trudniej, ale w łeb bedzie można dostać szybciej...
osobiście wolę stracic dzienny limit niz sie narazaz sie na utratę zdrowia lub życia jak ktoś źle wyważy młotek...

A co to ma wspólnego ze sposobem potwierdzania transakcji ?

czego nie rozumiesz ?

george

george pisze:

czego nie rozumiesz ?

Źle odczytałem poprzednią wypowiedź. Oczywiście całkowicie się zgadzam :)


--
Mithos

"Mithos" <fake@adres.pl> wrote in message news:gri3ha$hn0$1news.onet.pl...

george pisze:

czego nie rozumiesz ?

Źle odczytałem poprzednią wypowiedź. Oczywiście całkowicie się zgadzam :)

jeśli tak to sorki :)

"george" <george___@vp.pl> writes:

krótka scenka, stoisz w hipermarkecie, za toba łysy, potwierdzasz i wychodzisz, potem dostajesz w łeb, łysy idzie i wypłaca a bank mówi że ma cie w dupie bo potwierdziłeś swoją tożsamość pinem. koniec opowiesci.

A czym zasadniczym to sie rozni od podpisu? Poza ew. zdaniem banku, ale
rozumiem, ze przy tym scenariuszu to ma niewielkie znaczenie?

W przypadku pinu Bank przenosi całe ryzyko "nieautoryzowanych" transakcji na klienta.

Ustawa mu na to nie pozwala, takie rzeczy ocenia sąd. BTW: nie wiem skad
przekonanie o braku ryzyka klienta w przypadku transakcji "na podpis".

PINy sa problemem w przypadku kart, ktore moze (w calosci) skopiowac.
W przypadku kart procesorowych dodatkowe bezpieczenstwo (w przypadku
zgubienia/kradziezy/itp. karty) jest zdecydownaie wieksze niz dodatkowy
problem z udowodnieniem bankowi ze sie nie jest wielbladem. W skrocie,
jesli do fraudu nie dojdzie, nie ma znaczenia kto mialby za niego
placic.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> writes:

PINy sa problemem w przypadku kart, ktore moze (w calosci) skopiowac.
W przypadku kart procesorowych dodatkowe bezpieczenstwo (w przypadku
zgubienia/kradziezy/itp. karty) jest zdecydownaie wieksze niz dodatkowy
problem z udowodnieniem bankowi ze sie nie jest wielbladem.

Pod warunkiem, ze karta NIE MA paska magnetycznego. A nasze maja, i w
dalszym ciagu mozna je skopiowac. Czipa nie skopiujesz, ale to nie
przeszkadza krasc.

  MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Pod warunkiem, ze karta NIE MA paska magnetycznego. A nasze maja, i w
dalszym ciagu mozna je skopiowac. Czipa nie skopiujesz, ale to nie
przeszkadza krasc.

Ale karta z paskiem (i chipem) dokladnie tak samo chroni bank jak karta
bez paska. No, nie chroni sprzedawcy, ale jesli sprzedawca nie ma
terminala obslugujacego chipy, to wybor miedzy skorzystaniem z karty
hybrydowej a nieskorzystaniem w ogole jest taki sobie.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> writes:

Pod warunkiem, ze karta NIE MA paska magnetycznego. A nasze maja, i w
dalszym ciagu mozna je skopiowac. Czipa nie skopiujesz, ale to nie
przeszkadza krasc.

Ale karta z paskiem (i chipem) dokladnie tak samo chroni bank jak karta
bez paska. No, nie chroni sprzedawcy, ale jesli sprzedawca nie ma
terminala obslugujacego chipy, to wybor miedzy skorzystaniem z karty
hybrydowej a nieskorzystaniem w ogole jest taki sobie.

Nie rozumiem.

  MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Ale karta z paskiem (i chipem) dokladnie tak samo chroni bank jak karta
bez paska. No, nie chroni sprzedawcy, ale jesli sprzedawca nie ma
terminala obslugujacego chipy, to wybor miedzy skorzystaniem z karty
hybrydowej a nieskorzystaniem w ogole jest taki sobie.

Nie rozumiem.

Czego dokladnie?
Pasek jest w praktyce potrzebny, to chyba oczywiste.

W przypadku fraudu przy uzyciu paska (karty hybrydowej, np. skradzionej
lub skopiowanej), odpowiedzialnosc za ten fraud ponosi sprzedawca (a nie
bank i teoretycznie nie jego klient). Niezaleznie od PINow itp.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> writes:

Czego dokladnie?
Pasek jest w praktyce potrzebny, to chyba oczywiste.

Nie wiem. Byl gdzies watek o szukaniu bankomatu nieumiejacego czipa -
to chyba nie jest juz czeste? A jak jest w sklepach?

W przypadku fraudu przy uzyciu paska (karty hybrydowej, np. skradzionej
lub skopiowanej), odpowiedzialnosc za ten fraud ponosi sprzedawca (a nie
bank i teoretycznie nie jego klient). Niezaleznie od PINow itp.

Jeszcze klient musi udowodnic, ze w ogole nastapil fraud.

  MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

Pasek jest w praktyce potrzebny, to chyba oczywiste.

Nie wiem. Byl gdzies watek o szukaniu bankomatu nieumiejacego czipa -
to chyba nie jest juz czeste? A jak jest w sklepach?

Kiepsko, generalnie.

Jeszcze klient musi udowodnic, ze w ogole nastapil fraud.

Watpie, mysle ze wystarczy oswiadczenie klienta, ktoremu nie da sie
przeciwstawic np. oswiadczenia banku.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> writes:

Jeszcze klient musi udowodnic, ze w ogole nastapil fraud.

Watpie, mysle ze wystarczy oswiadczenie klienta, ktoremu nie da sie
przeciwstawic np. oswiadczenia banku.

Ty chyba zyjesz w innym matriksie.

  MJ

Dnia Wed, 08 Apr 2009 22:22:28 +0200, Michal Jankowski napisał(a):

Watpie, mysle ze wystarczy oswiadczenie klienta, ktoremu nie da sie
przeciwstawic np. oswiadczenia banku.

Ty chyba zyjesz w innym matriksie.

Nie, tak właśnie jest, to na banku spoczywa ciężar dowodu, iż doszło do naruszenia zasad bezpieczeństwa przez klienta. Dopóki tego nie zrobi, działa domniemanie, że klient jednak prawidłowo zabezpieczył dane karty.

--
pozdrawiam, Olgierd

Olgierd pisze:

Nie, tak właśnie jest, to na banku spoczywa ciężar dowodu, iż doszło do naruszenia zasad bezpieczeństwa przez klienta. Dopóki tego nie zrobi, działa domniemanie, że klient jednak prawidłowo zabezpieczył dane karty.

Doszło do nieuprawnionej transakcji. Transakcja została autoryzowana PINem, który zna tylko posiadacz karty. Wniosek : PIN został ujawniony przez posiadacza karty, bo nikt inny tego nie mógł dokonać. A czy posiadacz dał sobie ten PIN podejrzeć czy też komuś go przekazał to już ma znaczenie dalsze.


--
Mithos

Dnia Wed, 08 Apr 2009 22:59:17 +0200, Mithos napisał(a):

Nie, tak właśnie jest, to na banku spoczywa ciężar dowodu, iż doszło do
naruszenia zasad bezpieczeństwa przez klienta. Dopóki tego nie zrobi,
działa domniemanie, że klient jednak prawidłowo zabezpieczył dane
karty.

Doszło do nieuprawnionej transakcji. Transakcja została autoryzowana
PINem, który zna tylko posiadacz karty. Wniosek : PIN został ujawniony
przez posiadacza karty, bo nikt inny tego nie mógł dokonać.

No nie wiem skąd taki wniosek. Przepisy wyraźnie mówią o odpowiedzialności klienta w przypadku ujawnienia poufnego kodu, a nie: ogólnej odpowiedzialności.

A czy
posiadacz dał sobie ten PIN podejrzeć czy też komuś go przekazał to już
ma znaczenie dalsze.

Są jeszcze inne przypadki. I owszem, ma to znaczenie bardzo duże.

--
pozdrawiam serdecznie, Olgierd
http://olgierd.bblog.pl [Lege Artis]

Olgierd pisze:

No nie wiem skąd taki wniosek. Przepisy wyraźnie mówią o odpowiedzialności klienta w przypadku ujawnienia poufnego kodu, a nie: ogólnej odpowiedzialności.

Wniosek wynika stąd, że nikt inny PINu ujawnić nie mógł. Nie da się go odczytać z karty, ani w żaden inny sposób (chyba, że telepatycznie). Tak więc ujawnić go może tylko posiadacz karty. Skoro więc dochodzi do ujawnienia PINu to kto jest temu winny ?

Są jeszcze inne przypadki. I owszem, ma to znaczenie bardzo duże.

Owszem ale tak jak pisałem (w tej konkretnej dyskusji) ma to znacznie dalsze.


--
Mithos

Użytkownik "Mithos" <fake@adres.pl> napisał w wiadomości news:grj3p4$ue7$2news.onet.pl...

Wniosek wynika stąd, że nikt inny PINu ujawnić nie mógł. Nie da się go odczytać z karty, ani w żaden inny sposób (chyba, że telepatycznie). Tak więc ujawnić go może tylko posiadacz karty. Skoro więc dochodzi do ujawnienia PINu to kto jest temu winny ?

    Wiesz. PIN to tylko 10.000 kombinacji. Do tego masz 3 próby, co redukuje tą liczbę do 3.333. W dużego lotka prawdopodobieństwo trafienia szóstki wynosi blisko 1/19.000.000, a jednak ludzie w odniesieniu do całej populacji całkiem często ją trafiają. Statystycznie rzecz biorąc (zakładając, że w Polsce wydano np. 10.000.000 kart) aż tysiąc osób posiada taki sam pin jak Ty. Klient może stać na stanowisku, że widocznie komuś udało się ten numer odgadnąć - i niech bank udowodni, że było inaczej.
    Czwórkę w ekspress lotka o 50% trudniej trafić, niż PIN karty w 3 próbach. Żeby było śmieszniej np. we wtorkowym losowaniu czwórkę trafiło 186 osób. Gdyby obstawiali PIN twojej karty (mając po 3 próby), to statystycznie rzecz biorąc trafiło by go blisko trzysta osób.

Użytkownik "Marcin Wasilewski" <jakis@adres.pewnie.je.st> napisał w wiadomości news:grj6bq$vfa$1news.task.gda.pl...

redukuje  tą liczbę do 3.333. W dużego lotka prawdopodobieństwo
trafienia szóstki  wynosi blisko 1/19.000.000, a jednak ludzie w
odniesieniu do całej populacji  całkiem często ją trafiają.

Powyższe pisałem z pamięci.
Prawdopodobieństwo to wynosi dokładnie 1/13.983.816.

Marcin Wasilewski pisze:

Powyższe pisałem z pamięci.
Prawdopodobieństwo to wynosi dokładnie 1/13.983.816.

Powodzenia z taką argumentacją przed sądem. Ewentualna analogia do lotto zapewne również sprawi, iż sąd będzie patrzył na argumentującego bardzo przychylnie.


--
Mithos

Użytkownik "Mithos" <fake@adres.pl> napisał w wiadomości news:grj81l$brh$1news.onet.pl...

Marcin Wasilewski pisze:

Powyższe pisałem z pamięci.
Prawdopodobieństwo to wynosi dokładnie 1/13.983.816.

Powodzenia z taką argumentacją przed sądem. Ewentualna analogia do lotto zapewne również sprawi, iż sąd będzie patrzył na argumentującego bardzo przychylnie.

Sąd też człowiek, a prawdopodobieństwo 1/3333 to całkiem spore prawdopodobieństwo.
To raczej bank będzie musiał wykazać, że PIN jest na tyle silnym zabezpieczeniem, że
uzyskanie go bez ujawnienia przez posiadacza jest niemożliwe.

Dnia Wed, 08 Apr 2009 23:07:50 +0200, Mithos napisał(a):

No nie wiem skąd taki wniosek. Przepisy wyraźnie mówią o
odpowiedzialności klienta w przypadku ujawnienia poufnego kodu, a nie:
ogólnej odpowiedzialności.

Wniosek wynika stąd, że nikt inny PINu ujawnić nie mógł. Nie da się go
odczytać z karty, ani w żaden inny sposób (chyba, że telepatycznie). Tak
więc ujawnić go może tylko posiadacz karty. Skoro więc dochodzi do
ujawnienia PINu to kto jest temu winny ?

Jak to się nie da odczytać pinu??? Z karty się nie da, ale z bankomatu się da, z terminala się da, podejrzeć się da.
Popatrz, że wydawcy kart i bankomaciarze też mają swoje obowiązki.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

"Krzysztof Halasa" <khc@pm.waw.pl> wrote in message news:m3iqlfgxo1.fsfintrepid.localdomain...

"george" <george___@vp.pl> writes:

krótka scenka, stoisz w hipermarkecie, za toba łysy, potwierdzasz i
wychodzisz, potem dostajesz w łeb, łysy idzie i wypłaca a bank mówi że ma
cie w dupie bo potwierdziłeś swoją tożsamość pinem. koniec opowiesci.

A czym zasadniczym to sie rozni od podpisu? Poza ew. zdaniem banku, ale
rozumiem, ze przy tym scenariuszu to ma niewielkie znaczenie?

dość łatwo przyuważyć czyjś pin, a przy bankomacie nie ma nikogo aby ewentualnie podpis zweryfikowac.
Pokusa wiec mniejsza aby kogoś walnąć... bo trzeba sie natrudzić (jakies zwroty towaru ... etc, straszne kombinacje). Jak znasz PIN i masz kartę... jesteś free.

Druga sprawa to dochodzenie od banku zwrotu... (juz opisałem).

W przypadku pinu Bank przenosi całe ryzyko "nieautoryzowanych" transakcji na
klienta.

Ustawa mu na to nie pozwala, takie rzeczy ocenia sąd. BTW: nie wiem skad
przekonanie o braku ryzyka klienta w przypadku transakcji "na podpis".

ryzyko istnieje... ale sądowanie udowodnić że nie wydało sie pinu dobrowolnie... a podpis -> grafolog i po sprawie.

PINy sa problemem w przypadku kart, ktore moze (w calosci) skopiowac.
W przypadku kart procesorowych dodatkowe bezpieczenstwo (w przypadku
zgubienia/kradziezy/itp. karty) jest zdecydownaie wieksze niz dodatkowy
problem z udowodnieniem bankowi ze sie nie jest wielbladem. W skrocie,
jesli do fraudu nie dojdzie, nie ma znaczenia kto mialby za niego
placic.

o kopiowaniu sie nie sprzeczam... tutaj rzeczywiście chip lepszy, z tym że banki przy niejako okazji szaleją z tym "sposobem" potwierdzenia wmawiając że jak z chipem to tylko PIN i ryzyko im spada.

Krzysztof Halasa

"george" <george___@vp.pl> writes:

Druga sprawa to dochodzenie od banku zwrotu... (juz opisałem).

Przeciwnie, roznica jest zasadnicza, bo odpowiedzialnosc banku
(w zaleznosci od rodzaju karty) jest zasadniczo rozna.

ryzyko istnieje... ale sądowanie udowodnić że nie wydało sie pinu dobrowolnie... a podpis -> grafolog i po sprawie.

Teoretycznie to kazdy moze poleciec na Ksiezyc.

W praktyce jesli to klient musi udowodnic bankowi, ze nie dokonal
transakcji (= ani nie bral udzialu we fraudzie), to nic nie zdziala.
Jesli klient musi tylko uprawdopodobnic, ze tak bylo, i ew. wykazac, ze
bank nie wie kto naprawde dokonal transakcji oraz ze wina banku jest
taki stan rzeczy, to zarowno PIN jak i podpis daja spora nadzieje.

o kopiowaniu sie nie sprzeczam... tutaj rzeczywiście chip lepszy, z tym że banki przy niejako okazji szaleją z tym "sposobem" potwierdzenia wmawiając że jak z chipem to tylko PIN i ryzyko im spada.

Zasadniczo to powinna byc klauzula niedozwolona. Tak czy owak, sąd moze
zdecydowac inaczej w obu przypadkach. Banki bardzo chetnie obciaza
kosztami fraudow klienta zarowno w przypadku podpisu jak i PINu
(i lepiej niech nikt nie mysli ze to lokalny, polski obyczaj).
--
Krzysztof Halasa

"Krzysztof Halasa" <khc@pm.waw.pl> wrote in message news:m31vs3gvfg.fsfintrepid.localdomain...

"george" <george___@vp.pl> writes:

Druga sprawa to dochodzenie od banku zwrotu... (juz opisałem).

Przeciwnie, roznica jest zasadnicza, bo odpowiedzialnosc banku
(w zaleznosci od rodzaju karty) jest zasadniczo rozna.

ryzyko istnieje... ale sądowanie udowodnić że nie wydało sie pinu
dobrowolnie... a podpis -> grafolog i po sprawie.

Teoretycznie to kazdy moze poleciec na Ksiezyc.

W praktyce jesli to klient musi udowodnic bankowi, ze nie dokonal
transakcji (= ani nie bral udzialu we fraudzie), to nic nie zdziala.
Jesli klient musi tylko uprawdopodobnic, ze tak bylo, i ew. wykazac, ze
bank nie wie kto naprawde dokonal transakcji oraz ze wina banku jest
taki stan rzeczy, to zarowno PIN jak i podpis daja spora nadzieje.

o kopiowaniu sie nie sprzeczam... tutaj rzeczywiście chip lepszy, z tym że
banki przy niejako okazji szaleją z tym "sposobem" potwierdzenia wmawiając
że jak z chipem to tylko PIN i ryzyko im spada.

Zasadniczo to powinna byc klauzula niedozwolona. Tak czy owak, sąd moze
zdecydowac inaczej w obu przypadkach. Banki bardzo chetnie obciaza
kosztami fraudow klienta zarowno w przypadku podpisu jak i PINu
(i lepiej niech nikt nie mysli ze to lokalny, polski obyczaj).
-- Krzysztof Halasa

może masz racje, może nie, sprawa dochodzenia za bankiem sprawiedliwości jest i tak drugorzędna..

george

Krzysztof Halasa pisze:

PINy sa problemem w przypadku kart, ktore moze (w calosci) skopiowac.
W przypadku kart procesorowych dodatkowe bezpieczenstwo (w przypadku
zgubienia/kradziezy/itp. karty) jest zdecydownaie wieksze niz dodatkowy
problem z udowodnieniem bankowi ze sie nie jest wielbladem. W skrocie,
jesli do fraudu nie dojdzie, nie ma znaczenia kto mialby za niego
placic.

Problem tym, że karty w Polsce nie są chipowe ale hybrydowe. Łączą więc w sobie niebezpieczeństwo wynikające z paska magnetycznego oraz autoryzacji PINem. Moim zdaniem takie "kombo" (pasek magnetyczny + pin) jest rozwiązaniem najbardziej niebezpiecznym dla klienta, a niestety wszystkie karty idą właśnie w tym kierunku.


--
Mithos

Mithos <fake@adres.pl> writes:

Problem tym, że karty w Polsce nie są chipowe ale hybrydowe.

Co ma do tego Polska? Karty wszedzie maja pasek, i to sie szybko nie
zmieni.

Łączą
więc w sobie niebezpieczeństwo wynikające z paska magnetycznego oraz
autoryzacji PINem.

Tyle ze bank (a wiec w normalnych ukladach takze jego klient) nie
powinien potrzebowac sie tym interesowac.
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Co ma do tego Polska? Karty wszedzie maja pasek, i to sie szybko nie
zmieni.

Obecność paska magnetycznego w karcie, która jest autoryzowana pinem to jest sytuacja niebezpieczna dla klienta. Obojętnie czy to jest Polska czy inny kraj.

Tyle ze bank (a wiec w normalnych ukladach takze jego klient) nie
powinien potrzebowac sie tym interesowac.

Do czasu aż coś się stanie. Ja jednak wolę czuć się bezpiecznie wcześniej niż być zdanym na łaskę/niełaskę banku, który zawsze może stwierdzić, że podejście proklienckie już mu nie pasuje. Niespecjalnie trudno jest mi przewidzieć taki scenariusz.


--
Mithos

Mithos <fake@adres.pl> writes:

Obecność paska magnetycznego w karcie, która jest autoryzowana pinem
to jest sytuacja niebezpieczna dla klienta. Obojętnie czy to jest
Polska czy inny kraj.

Obecnosc jakiejkolwiek karty w portfelu, albo jej brak, to jest sytuacja
niebezpieczna. Sa w ogole jakies sytuacje nie niebezpieczne?

Inna sprawa, ze karty powinny byc "na PIN" w przypadku wykorzystania
procesora oraz "na podpis" w pozostalych przypadkach.

Tyle ze bank (a wiec w normalnych ukladach takze jego klient) nie
powinien potrzebowac sie tym interesowac.

Do czasu aż coś się stanie.

Nie ma takiego czasu, caly czas "cos" sie dzieje (zwlaszcza dla banku).
Jesli bank nie odpowiada za fraudy karta hybrydowa (bez wykorzystania
procesora), to czego mialby bac sie klient?

Ja jednak wolę czuć się bezpiecznie
wcześniej niż być zdanym na łaskę/niełaskę banku, który zawsze może
stwierdzić, że podejście proklienckie już mu nie pasuje. Niespecjalnie
trudno jest mi przewidzieć taki scenariusz.

Obawiam sie wiec ze niestety musisz wypowiedziec bankom wszystkie umowy,
i chyba poczekac jakis czas na wygasniecie zgody na egzekucje :-(
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Obecnosc jakiejkolwiek karty w portfelu, albo jej brak, to jest sytuacja
niebezpieczna. Sa w ogole jakies sytuacje nie niebezpieczne?

Dyskutujemy normalnie czy w ten sposób ?

Inna sprawa, ze karty powinny byc "na PIN" w przypadku wykorzystania
procesora oraz "na podpis" w pozostalych przypadkach.

Ale tak nie jest.

Nie ma takiego czasu, caly czas "cos" sie dzieje (zwlaszcza dla banku).
Jesli bank nie odpowiada za fraudy karta hybrydowa (bez wykorzystania
procesora), to czego mialby bac sie klient?

Jeśli bank nie odpowiada to kto odpowiada ? Domyślnie to klient ujawnił PIN. W jaki klient wykaże, iż tego nie zrobił tj. że nie jest wielbłądem ?

Obawiam sie wiec ze niestety musisz wypowiedziec bankom wszystkie umowy,
i chyba poczekac jakis czas na wygasniecie zgody na egzekucje :-(

Mam dwie karty. Jedna na podpis w Citi, druga na PIN w Multibanku ale za to z pakietem ubezpieczeń - mimo wszystko planuje ją zamknąć (po części z przyczyn niezależnych ode mnie).

Poza tym ja używam karty Multibanku (chip + PIN) i czuję się z nią w miarę bezpiecznie z uwagi na limity jakie sam mogę ustawiać przez www. W zasadzie to gwarantują one całkowite bezpieczeństwo (wypłaty gotówkowe wszelkiego typu wyłączone, a liczbę transakcji bezgotówkowych można ustawić np. na 1 lub 2 dziennie).


--
Mithos

Mithos <fake@adres.pl> writes:

Obecnosc jakiejkolwiek karty w portfelu, albo jej brak, to jest sytuacja
niebezpieczna. Sa w ogole jakies sytuacje nie niebezpieczne?

Dyskutujemy normalnie czy w ten sposób ?

Taka jest po prostu prawda, i to nie ta moskiewska.
Mozna prawde akceptowac lub nie, to wiele nie zmienia.

Inna sprawa, ze karty powinny byc "na PIN" w przypadku wykorzystania
procesora oraz "na podpis" w pozostalych przypadkach.

Ale tak nie jest.

Jest, nie jest - zalezy od karty. Sa takie, ze jest wlasnie tak.
Sa tez takie zawsze "na podpis" (takze przy chipie) - gorsze wyjscie
IMHO.

Jeśli bank nie odpowiada to kto odpowiada ?

Druga strona - sklep, albo w wyjatkowych okolicznosciach acquirer.

Domyślnie to klient
ujawnił PIN. W jaki klient wykaże, iż tego nie zrobił tj. że nie jest
wielbłądem ?

Co to jest domyslnie? Domyslnie to bank moze odmownie odpowiadac na
wszelkie pisma, ale to nie bank jest ostateczna instancja.
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Co to jest domyslnie? Domyslnie to bank moze odmownie odpowiadac na
wszelkie pisma, ale to nie bank jest ostateczna instancja.

Posiadacz karty to jedyna osoba, która zna PIN. Tak więc kto może owy PIN ujawnić ? Jedyna poprawna odpowiedź to : posiadacz karty.


--
Mithos

Mithos <fake@adres.pl> writes:

Posiadacz karty to jedyna osoba, która zna PIN. Tak więc kto może owy
PIN ujawnić ? Jedyna poprawna odpowiedź to : posiadacz karty.

Powaznie piszesz? Chyba nie.
--
Krzysztof Halasa

Użytkownik "MarekZ" <marekz_usun_@irc.pl> napisał w wiadomości news:grhqe2$jnt$1srv.cyf-kr.edu.pl...

p-b i te tam MC-WS,VI i Centuriony. Chip ma raczej być, bo musi być, ale autoryzacja ma być zawsze podpisem mimo obecności mikroprocesora

w zupełności mi to odpowiada.
tylko które karty takie coś będą mieć?(i nie umiem odszyfrować skrótów p-b/MC-WS/VI).


K>N>S>

Użytkownik "Końrad N.S." <najswiezy@op.pl> napisał w wiadomości news:gri1hf$ren$1opal.icpnet.pl...

w zupełności mi to odpowiada.
tylko które karty takie coś będą mieć?(i nie umiem odszyfrować skrótów p-b/MC-WS/VI).

private banking, MasterCard World Signia, Visa Infinite, ale ja to pisałem w trybie przypuszczającym, a nie jako pewnik. To wystawca karty w końcu decyduje w jaki sposób ma się odbywać autoryzacja karty, w przypadku obecnie wydawanych kart platynowych np. ING zdecydował o podpisie, a np. mBank o PIN.

Wiadomo, że w przypadku najwyższego segmentu kart, jak bank klientowi każe zapamiętywać jakies PINy, to część klientów może chcieć zamienić ten bank na inny, więc tutaj wystawcy kart będą musieli być bardzo ostrożni i prawo, jakiekolwiek by nie zostało uchwalone, będzie musiało ustąpić miejsca rzeczywistości.

Taki ma być stan docelowy. Prawdopodobnie nie obejmie to najwyższych segmentów kart.

Ma objąć wszystkich, nawet najbogatszych, którzy lubię się podpisywać...

2. jaki bank jeszcze wyda mi kartę+dodatkową na podpis, najlepiej na podstawie wyciągów z citi?

Prawdopodobnie BPH oraz Getin.

Polbank Era też jest na podpis i można ją w łatwy sposób uzyskać ;-)

--
pozdrawiam
RobertS

Skoro zwiększyli SWOJE, bo nie klienta bezpieczeństwo, bo ogromnym atutem dla mnie był fakt, że PINa nie używałem, więc tylko "szczęśliwy traf" lub "nóż przy mojej szyi" mógł sprawić, że ktoś go by poznał, to mogli by choć dołożyć do karty opcję płatności bezstykowej, a tu jakoś im się "dobro klienta" nie uśmiecha...
Pozdraiwam
Marcin

Dnia Thu, 09 Apr 2009 15:04:55 +0200, MD napisał(a):

Skoro zwiększyli SWOJE, bo nie klienta bezpieczeństwo, bo ogromnym
atutem

Regulamin jak dotąd się nie zmienił. Pytanie jak będą potwierdzane transakcje tymi nowemi kartami.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

Olgierd pisze:

Regulamin jak dotąd się nie zmienił. Pytanie jak będą potwierdzane transakcje tymi nowemi kartami.

"Dodatkowo, transakcja realizowana kartą kredytową z popularnym chipem każdorazowo potwierdzana jest przez wprowadzenie kodu PIN. Dzięki temu możemy zapewnić jeszcze wyższy poziom bezpieczeństwa transakcji realizowanych Kartami Kredytowymi Citibank– tłumaczy Jolanta Ożdżeńska, Dyrektor Departamentu Rozwoju Biznesu Kart Kredytowych. "


--
Mithos

Dnia Thu, 09 Apr 2009 15:24:18 +0200, Mithos napisał(a):

Regulamin jak dotąd się nie zmienił. Pytanie jak będą potwierdzane
transakcje tymi nowemi kartami.

"Dodatkowo, transakcja realizowana kartą kredytową z popularnym chipem
każdorazowo potwierdzana jest przez wprowadzenie kodu PIN.

W sumie logiczne ;-) moja wątpliwość była podchwytliwa.

Szukam w jakichś regulaminach z czego wynika, że "w przypadku utraty karty, Bank przejmuje odpowiedzialność za transakcje bez użycia PIN dokonane bez Twojej wiedzy i zgody, nawet do 72 godzin przed zgłoszeniem" -- i nie potrafię znaleźć.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

Szukam w jakichś regulaminach z czego wynika, że "w przypadku utraty
karty, Bank przejmuje odpowiedzialność za transakcje bez użycia PIN
dokonane bez Twojej wiedzy i zgody, nawet do 72 godzin przed zgłoszeniem"
-- i nie potrafię znaleźć.

Tak, ale niejednokrotnie masz w regulaminie, że transakcje autoryzowane PINem są traktowane jako dokonane przez właściciela (co jest logiczne, bo to tylko on ma PIN, a skoro tak, to tylko on może go niedopilnować). A potem już konieczność toczenia batalii, niekoniecznie wygranej, przed sądem. Jak udowodnić, że nie podało się PINu, skoro tylko użytkownik go znał? Pół biedy jak skorzytał z miejsca, gdzie więcej osób zostało podobnie oszukanych, bo wtedy może być trochę łatwiej, ale gdy tylko on? Albo jak bank/operator np. terminala nie ujawni, że sprawa dotyczy nie jednej, a 10 czy 100 osób, którzy skorzystali z tego samego POSa?
Pozdrawiam
Marcin

Dnia Thu, 09 Apr 2009 15:38:16 +0200, MD napisał(a):

Szukam w jakichś regulaminach z czego wynika, że "w przypadku utraty
karty, Bank przejmuje odpowiedzialność za transakcje bez użycia PIN
dokonane bez Twojej wiedzy i zgody, nawet do 72 godzin przed
zgłoszeniem" -- i nie potrafię znaleźć.

Tak, ale niejednokrotnie masz w regulaminie, że transakcje autoryzowane
PINem są traktowane jako dokonane przez właściciela (co jest logiczne,
bo to tylko on ma PIN, a skoro tak, to tylko on może go niedopilnować).

Po pierwsze regulamin nie jest od ustalania takich zasad, skoro przepis ustawy o EIP wyraźnie określa zasady użycia pina. Po drugie regulamin Citi nic o tym nie mówi. W ogóle nic.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

Po pierwsze regulamin nie jest od ustalania takich zasad, skoro przepis
ustawy o EIP wyraźnie określa zasady użycia pina.
Po drugie regulamin Citi nic o tym nie mówi. W ogóle nic.

A co powiesz na ten punkt:
"4. U˝ycie numeru Karty i CitiPhone PIN przy sk?adaniu telefonicznych zlecef Transakcji stanowi potwierdzenie
tych zlecef i upowa˝nienie dla Banku do ich wykonania i obciŕ˝enia Rachunku Karty. Powy˝sze upowa˝-
nienie jest wiŕ˝ŕce dla Banku tak˝e w przypadku, gdy telefoniczne zlecenie zosta?o wydane przez osob´
innŕ ni˝ Klient, o ile poda?a ona prawid?owy numer Karty i CitiPhone PIN."
Pozdrawiam
Marcin

Dnia Thu, 09 Apr 2009 16:05:27 +0200, MD napisał(a):

Po pierwsze regulamin nie jest od ustalania takich zasad, skoro przepis
ustawy o EIP wyraźnie określa zasady użycia pina. Po drugie regulamin
Citi nic o tym nie mówi. W ogóle nic.

A co powiesz na ten punkt:
"4. U˝ycie numeru Karty i CitiPhone PIN przy sk?adaniu telefonicznych
zlecef Transakcji

To jest PIN to telefonu, jak rozumiem chodzi o ustanowienie przelewu itd.

--
pozdrawiam serdecznie, Olgierd
Lege Artis http://olgierd.bblog.pl

To jest PIN to telefonu, jak rozumiem chodzi o ustanowienie przelewu itd.

W sumie masz rację, jakoś nie pomyślałem, że PIN do telefonu jest inny.
W takim razie w Citi nie ma w regulaminie punktu uznającego transakcje autoryzowane pinem za dokonane przez właściciela karty - czyli teoretycznie chip nie powinien zmniejszyć bezpieczeństwa. Choć jakoś tak pewniej się czuję przy podpisie :-)
Pozdrawiam
Marcin

MD <tuwysylac@poczta.onet.pl> had the courage to write:

Po pierwsze regulamin nie jest od ustalania takich zasad, skoro przepis
ustawy o EIP wyraźnie określa zasady użycia pina.
Po drugie regulamin Citi nic o tym nie mówi. W ogóle nic.

A co powiesz na ten punkt:
"4. U˝ycie numeru Karty i CitiPhone PIN przy sk?adaniu telefonicznych
zlecef  Transakcji stanowi potwierdzenie
tych zlecef i upowa˝nienie dla Banku do ich wykonania i obciŕ˝enia
Rachunku  Karty. Powy˝sze upowa˝-
nienie jest wiŕ˝ŕce dla Banku tak˝e w przypadku, gdy telefoniczne
zlecenie  zosta?o wydane przez osob´
innŕ ni˝ Klient, o ile poda?a ona prawid?owy numer Karty i CitiPhone PIN."
Pozdrawiam
Marcin

Masz coś nie tak z kodowaniem.
k.

Masz coś nie tak z kodowaniem.
k.

To był efekt przekopiowania z PDF z regulaminem karty Citi.
Pozdrawiam
Marcin

"Dodatkowo, transakcja realizowana kartą kredytową z popularnym chipem
każdorazowo potwierdzana jest przez wprowadzenie kodu PIN. Dzięki temu możemy zapewnić jeszcze wyższy poziom bezpieczeństwa transakcji realizowanych Kartami Kredytowymi Citibank- tłumaczy Jolanta Ożdżeńska, Dyrektor Departamentu Rozwoju Biznesu Kart Kredytowych. "

Do 2011 roku mam spokój...
A może by tak tego typu stwierdzenia do UOKiK skierować jako podawanie informacji nieprawdziwych? W końcu jak długo mam także pasek z tym samym PINem, to chip nic nie zmienia, a zmusza (tzn. tak chcą banki, aby zmusiło) do używania PINu, co daje możliwość jego przejęcia przez złodzieja.
Pozdrawiam
Marcin