Data: 2012-02-03 16:00:25 | |
Autor: witek | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
On 2/3/2012 3:36 PM, froff wrote:
Ale dane mojej karty nadal tam s± i nie znalaz³em ¿adnego sposobu, aby ee, zamiast ich opierdzielac i stanowczo sie domagac, wystarczylo grzecznie zapytac jak usun±æ. pewnie sie da tylko opcji nie doszuka³e¶. |
|
Data: 2012-02-03 23:44:47 | |
Autor: Micha³ | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
On 02/03/2012 11:00 PM, witek wrote:
On 2/3/2012 3:36 PM, froff wrote: Przy okazji zapytaj ich o certyfikacjê PCI-DSS w kontek¶cie przechowywania CVV. M. |
|
Data: 2012-02-04 00:14:57 | |
Autor: froff | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
On 03.02.2012 23:44, Micha³ wrote:
On 02/03/2012 11:00 PM, witek wrote: A my¶lisz, ¿e mog± jej nie posiadaæ? Tutaj raczej nie s±dzê. To jest grubsza ryba. |
|
Data: 2012-02-04 14:29:46 | |
Autor: Kajetan Malkontowicz | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
W dniu 04-02-2012 00:14, froff pisze:
Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.Przy okazji zapytaj ich o certyfikacjê PCI-DSS w kontek¶cie -- pozdrowienia Kajetan http://www.psyniczyje.pl/ - przygarnij, choæby wirtualnie, psa |
|
Data: 2012-02-04 22:07:23 | |
Autor: Krzysztof Halasa | |
nieautoryzowana tr4ansakcja kartÄ… - jeszcze raz | |
Kajetan Malkontowicz <kajetan@malkontent.org> writes:
Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS. A po co mieliby to robić? Przecież wystarczy pojedyncze sprawdzenie CVV2, na początku. Jeśli w ogóle jest potrzebne (abonament można pewnie anulować?). -- Krzysztof Halasa |
|
Data: 2012-02-05 14:40:51 | |
Autor: Kajetan Malkontowicz | |
nieautoryzowana tr4ansakcja kartÄ… - jeszcze raz | |
W dniu 04-02-2012 22:07, Krzysztof Halasa pisze:
Kajetan Malkontowicz <kajetan@malkontent.org> writes:Mówimy o dwóch różnych rzeczach: zgodzie na obciążanie karty oraz o przechowywaniu danych wrażliwych jak CVV/CVV2. To pierwsze jest dość powszechnie stosowane, ale najczęściej w formie zlecenia stałego. Konieczne jest wystawienie upoważnienia firmie obciążającej kartę które trafia do Banku (Issuera) i na tej podstawie karta jest obciążana. Można to w każdej chwili odwołać w banku. Jednocześnie przy takiej formie nigdy nie podaje się kodu autoryzacyjnego. W standardowym formularzu jest tylko rodzaj, numer i data ważności karty oraz podpis właściciela-zleceniodawcy i konkrety tytuł opłaty, np. opłata abonamentowa itd. Stąd w ogóle nie do pomyślenia jest że ktoś w ten sposób umożliwia dowolne zakupy. To drugie ma się nijak do pierwszego i polega na każdorazowym autoryzowaniu obciążenia poprzez kod autoryzacyjny (CVV/CVV2) przechowywany w bazie danych podmiotu na rzecz którego płatność ma nastąpić (Merchanta) i w takiej formie jest niedopuszczalne z punktu widzenia PCI-DSS i wyraźnie zabronione. Konkretnie podpada to pod PCI PA-DSS (Payment Application). -- pozdrowienia Kajetan http://www.psyniczyje.pl/ - przygarnij, choćby wirtualnie, psa |
|
Data: 2012-02-05 23:17:34 | |
Autor: Krzysztof Halasa | |
nieautoryzowana tr4ansakcja kartÄ… - jeszcze raz | |
Kajetan Malkontowicz <kajetan@malkontent.org> writes:
Mówimy o dwóch różnych rzeczach: zgodzie na obciążanie karty oraz oSam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS. W każdym razie, w formie jakiegos zlecenia, nie musi mieć np. stałej kwoty, terminów itp. To zresztą sprawa między sprzedawcą i kupującym. Konieczne jest wystawienie upoważnienia firmie Nic takiego nie trafia do wydawcy karty. Wystarczy np. telefoniczne upoważnienie sprzedawcy do obciążania karty. Do banku trafiają autoryzacje i poźniejsze obciążenia, przynajmniej jeśli nie ma kwestii spornych. Właściwie mogłyby to być same obciążenia. Tzn. technicznie rzecz biorąc sprzedawca może obciążać kartę w ogóle bez żadnego upoważnienia ze strony klienta (wystarczy znajomość numeru karty i daty ważności), ale to raczej nie jest rozsądne. Można to w każdej chwili odwołać w banku. (Prawie) dokładnie tak samo jak każdą inną transakcję np. "internetową", czyli w ogólnym przypadku wcale nie musi być tak łatwo, i na pewno nie nazwałbym tej czynności "odwoływaniem". Myślisz może o "poleceniu zapłaty"? Ono nie wykorzystuje karty, ale faktycznie potrzebne jest tam pisemne upoważnienie przesłane do banku (w Polsce, bo "na świecie" niekoniecznie), oraz jest możliwość odwoływania (za granicą także może to różnie wyglądać). Przy kartach można jedynie składać reklamacje. Jednocześnie przy takiej formie nigdy nie podaje się kodu Często można podać CVV2 przy pierwszej transakcji, bo to jest zwykła transakcja "internetowa" (telefoniczna itp). Sprzedawca nie może jedynie przechowywać CVV2, ale po co miałby to robić? Zwłaszcza w takim przypadku. Owszem, istnieją pewne drobne różnice w przypadku reklamacji transakcji, w zależności od tego, czy zweryfikowano CVV2 (/CVC2) (np. w USA w połączeniu z AVS), ale to dotyczy fraudów "lewymi" numerami kart, i.e. to zupełnie inna bajka. W standardowym formularzu jest tylko rodzaj, numer i Nie znam czegoś takiego jak "standardowy formularz". To kwestia sklepu. Rzeczywiście, trudno sobie wyobrazić "dowolne zakupy" w taki sposób, ale np. periodyczne regulowanie salda różnych należności jest do zrobienia. Kiedyś to było bardziej powszechne (gdy nie było jeszcze direct debit - np. płaciło się tym rachunki za telefon itp). To drugie ma się nijak do pierwszego i polega na każdorazowym CVV to kod umieszczony na pasku magnetycznym i jako taki nie jest wykorzystywany w transakcjach bez fizycznej obecności karty (i klienta). przechowywany w bazie danych podmiotu na rzecz którego płatność ma To oczywiście prawda, tyle że nie ma to znaczenia, bo przechowywanie CVV2 (jak napisałem) nie jest w takich zastosowaniach przydatne. -- Krzysztof Halasa |
|
Data: 2012-02-03 23:54:42 | |
Autor: Andrzej Lawa | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
W dniu 03.02.2012 23:00, witek pisze:
On 2/3/2012 3:36 PM, froff wrote:No bo czytanie instrukcji to taaaaaaaaaaki straszny ból ;) |
|
Data: 2012-02-03 18:15:33 | |
Autor: witek | |
nieautoryzowana tr4ansakcja kart± - jeszcze raz | |
On 2/3/2012 4:54 PM, Andrzej Lawa wrote:
No bo czytanie instrukcji to taaaaaaaaaaki straszny ból ;) ogólnie my¶lenie strasznie boli. Czasami a¿ widzê grymas na twarzy, jak kto¶ musi pomy¶leæ. |
|