Come un altro utente ha dichiarato, per le regole di conformità PCI, questo è perfettamente accettabile.
Volevo chiarire un po 'esattamente il motivo per cui le cose stanno così. Prima di tutto, le prime sei cifre del numero della carta costituiscono il BIN, un numero che è considerato "noto". Questo è un numero assegnato all'istituzione che ha emesso la carta e tutti gli altri titolari di carta che sono membri di tale istituzione condividono il BIN. Quindi mostrare il BIN non fornisce ad un attaccante alcuna informazione che non può ottenere semplicemente guardando la lista BIN. Poiché oscurare il BIN fornisce solo una quantità marginale (alcuni direbbe "banale") di sicurezza, perché mascherarla? Il testo in chiaro BIN viene utilizzato di routine nell'elaborazione dei pagamenti e il mascheramento creerebbe molti più mal di testa per un aumento quasi nulla della sicurezza.
La visualizzazione degli ultimi quattro è in genere il miglior compromesso tra la visualizzazione di troppe informazioni e le informazioni insufficienti per identificare in modo univoco la scheda quando utilizzata per la riconciliazione, ecc. Se lavori spesso con numeri di carte di credito, occasionalmente incontri due identici mascherati numeri di carta, ma con una probabilità di 1 / 10.000 succede.
Queste due cose prese insieme, probabilmente tornerai al punto "stai dando a un ladro di dati dieci numeri, che riduce il suo spazio di ricerca a 1 milione e il checksum, che lo riduce a 100.000! "
Hai un punto valido, ma cosa significa? Significa che il ladro ora ha una lista di 99.999 numeri di carta di credito cattivi e 1 buono, senza alcun modo di dire quale sia quella giusta. Il numero della carta di credito non contiene intrinsecamente alcuna informazione che ti consente di sapere quando hai il numero "giusto". Non è come risolvere un puzzle crittografico; è necessario presentare la carta per un pagamento per sapere se è "buono" o meno. Ciò significa, per rompere anche una sola carta, devi compromettere la piattaforma di pagamento di un commerciante ed eseguire una media di 50.000 transazioni per trovarlo. Considerando che i commercianti sono addebitati per transazione, è molto nel loro interesse assicurarsi che qualcuno non possa fare questo genere di cose. E anche se il commerciante era un po 'a rischio nel proteggere le credenziali del suo account commerciante, i processori di pagamento spesso rilevano questo genere di cose e chiudono l'account in pochi secondi.