Quante cifre di un numero di carta Visa possono rivelare i distributori sulle ricevute?

77

Ho visitato un McDonald's locale e ho notato una parte del mio numero di Visa ripetuta sullo scontrino in questo modo: NNNN NN__ ____ NNNN . (Quindi su un totale di 16 cifre si scompone in questo modo: le prime sei cifre rivelate, le sei cifre centrali nascoste, le ultime quattro cifre rivelate di nuovo.)

Quindi sono state nascoste solo 6 cifre. Trovare il numero corretto richiederebbe 1.000.000 di ipotesi, ma c'è anche un checksum che riduce ulteriormente il numero di tentativi necessari a 100.000 (dal mio calcolo, forse errato).

Esiste una politica sul numero di cifre che possono essere rivelate? Le carte potrebbero essere in pericolo se le aziende nascondono solo le sei cifre centrali?

    
posta SimZal 12.12.2016 - 05:12
fonte

7 risposte

105

Come per PCI, possono essere mostrati i primi 6 (BIN) e gli ultimi 4, altri devono essere mascherati:

Da un PDF ufficiale del 2008: Archiviazione dei dati PCI Cosa fare e cosa non fare :

Never store the personal identification number (PIN) or PIN Block. Be sure to mask PAN whenever it is displayed. The first six and last four digits are the maximum number of digits that may be displayed.

PAN è Numero account principale

Quindi, per quanto riguarda la conformità, il terminale dati utilizzato per stampare la ricevuta è conforme.

    
risposta data 12.12.2016 - 09:16
fonte
18

Ricorda che sensibile non significa segreto . Il numero della carta è "sensibile" perché può essere utilizzato per avviare transazioni finanziarie, ma non è segreto. Solo il codice PIN è.

In precedenza, il numero intero è stato annotato sullo scontrino, come se il numero completo del conto fosse scritto su un assegno. Poiché le aziende online utilizzano solo numeri di carte VISA senza convalida, le banche si sono rese conto che il rischio di frode era troppo alto e ha scelto di nascondere parzialmente le informazioni sulla ricevuta. Ma il numero completo della carta è noto (o almeno accessibile) a quasi tutti i dipendenti di un sito web in cui hai avviato un acquisto online.

TL / DR: se la banca è troppo pigra per nascondere il numero della carta su una ricevuta stampata, è il loro problema, non il tuo. Poiché non sei responsabile per questo, non c'è alcuna negligenza da parte tua.

    
risposta data 12.12.2016 - 08:37
fonte
12

Negli Stati Uniti, la legge sulle transazioni di credito corrette e accurate del 2005 (FACTA) vieta di stampare più di cinque cifre di un numero di carta di credito. Quindi, mentre la ricevuta è conforme alle norme PCI, non sarebbe conforme alla legge se ti trovavi negli Stati Uniti. Tuttavia, il tuo profilo dice che sei in Slovenia e non sono a conoscenza di leggi slovene o comunitarie simili.

    
risposta data 12.12.2016 - 11:42
fonte
7

Dato che circolano in tutto il mondo circa 1 miliardo di carte Visa (c'erano 883,5 milioni nel 2012 ) e ogni carta ha 14 cifre univoche (la prima è sempre 4 e l'ultima è il checksum), ci vorrebbero in media 50.000 ipotesi per trovare un numero valido senza informazioni precedenti.

In tal senso, se l'hacker non è interessato a indovinare il tuo numero in particolare , molto probabilmente ignorerà la ricevuta anche se l'ha ricevuta.

    
risposta data 12.12.2016 - 12:46
fonte
5

Come un altro utente ha dichiarato, per le regole di conformità PCI, questo è perfettamente accettabile.

Volevo chiarire un po 'esattamente il motivo per cui le cose stanno così. Prima di tutto, le prime sei cifre del numero della carta costituiscono il BIN, un numero che è considerato "noto". Questo è un numero assegnato all'istituzione che ha emesso la carta e tutti gli altri titolari di carta che sono membri di tale istituzione condividono il BIN. Quindi mostrare il BIN non fornisce ad un attaccante alcuna informazione che non può ottenere semplicemente guardando la lista BIN. Poiché oscurare il BIN fornisce solo una quantità marginale (alcuni direbbe "banale") di sicurezza, perché mascherarla? Il testo in chiaro BIN viene utilizzato di routine nell'elaborazione dei pagamenti e il mascheramento creerebbe molti più mal di testa per un aumento quasi nulla della sicurezza.

La visualizzazione degli ultimi quattro è in genere il miglior compromesso tra la visualizzazione di troppe informazioni e le informazioni insufficienti per identificare in modo univoco la scheda quando utilizzata per la riconciliazione, ecc. Se lavori spesso con numeri di carte di credito, occasionalmente incontri due identici mascherati numeri di carta, ma con una probabilità di 1 / 10.000 succede.

Queste due cose prese insieme, probabilmente tornerai al punto "stai dando a un ladro di dati dieci numeri, che riduce il suo spazio di ricerca a 1 milione e il checksum, che lo riduce a 100.000! "

Hai un punto valido, ma cosa significa? Significa che il ladro ora ha una lista di 99.999 numeri di carta di credito cattivi e 1 buono, senza alcun modo di dire quale sia quella giusta. Il numero della carta di credito non contiene intrinsecamente alcuna informazione che ti consente di sapere quando hai il numero "giusto". Non è come risolvere un puzzle crittografico; è necessario presentare la carta per un pagamento per sapere se è "buono" o meno. Ciò significa, per rompere anche una sola carta, devi compromettere la piattaforma di pagamento di un commerciante ed eseguire una media di 50.000 transazioni per trovarlo. Considerando che i commercianti sono addebitati per transazione, è molto nel loro interesse assicurarsi che qualcuno non possa fare questo genere di cose. E anche se il commerciante era un po 'a rischio nel proteggere le credenziali del suo account commerciante, i processori di pagamento spesso rilevano questo genere di cose e chiudono l'account in pochi secondi.

    
risposta data 14.12.2016 - 20:14
fonte
-1

Negli anni '90 ti saresti dovuto preoccupare un po '. Al giorno d'oggi no, la clonazione del chip RFID o l'ottenimento del codice di sicurezza a 3 cifre e la data di scadenza insieme al numero della carta sono molto più preoccupanti del semplice fatto di "indovinare il numero della carta".

In teoria, conosco già il numero della tua scheda a causa dell'algoritmo che hai citato, modulo 10 o Luhn. Questa informazione da sola è senza valore senza il resto dei dati. Se la ricevuta della carta di credito non ce l'ha, stai bene.

    
risposta data 12.12.2016 - 11:02
fonte
-1

Il numero PAN può variare da 13 a 19 cifra e secondo Standard di sicurezza dei dati dell'industria delle carte di pagamento i primi sei digit e i ultimi quattro cifre del PAN possono essere visibili e il numero tra i numeri dovrebbe essere mascherato

    
risposta data 14.12.2016 - 11:30
fonte

Leggi altre domande sui tag