Restrizioni PCI sull'uso del numero di carta di credito (con hash) per identificare un cliente abituale?

Naviga le tue risposte
11

Domanda per eventuali esperti PCI là fuori:

I chioschi dei biglietti per l'aeroporto possono utilizzare la carta di credito per trovare la prenotazione al momento del check-in. Quindi chiaramente PCI deve consentire l'uso di numeri di carte di credito per identificare i clienti. Presumo che la compagnia aerea stia memorizzando un hash irreversibile del mio numero di carta di credito con la mia prenotazione, e quando visito il chiosco di controllo loro cancellano di nuovo la mia carta e usano il valore di hash per cercare la mia prenotazione.

Ma quando vado in un supermercato o in una farmacia e voglio ottenere sconti dal loro programma fedeltà, devo passare una carta speciale che il negozio mi ha dato (o inserire il mio numero di telefono).

Usando la mia carta di credito per identificarmi sarebbe più facile per me e per il commerciante, quindi sono sorpreso che i commercianti al dettaglio non sembrano offrire questa possibilità. Questo mi ha portato a chiedermi se ci sia un PCI o una restrizione legale al lavoro qui.

Esiste una restrizione PCI o legale che impedisce ai negozi di utilizzare il numero della mia carta di credito per identificarmi ai fini del programma fedeltà, ma ciò non impedisce alle compagnie aeree di fare la stessa cosa ai chioschi di controllo?

    
posta Justin Grant 24.06.2011 - 03:08
fonte

4 risposte

11

I commercianti possono utilizzare i dati della carta per rivedere o agire sulle transazioni. Ciò include l'elaborazione dei resi, la convalida della carta d'imbarco, ecc. Non possono usarli per identificare te, solo le tue transazioni precedenti. Non sono sicuro che si tratti di una legge da qualche parte o di accordi commerciali.

Una volta che l'acquisto è completo, i dati della carta devono essere cancellati dal record. Questo può diventare un po 'diverso quando si salvano i dati della carta su un account per comodità. Anche in questo caso, se dovessi cambiare le carte dovresti rimuovere i vecchi dati della carta.

Dubito strongmente che qualcuno faccia un hash a senso unico di carte, e sarebbe relativamente inutile. Dato che ci sono 16 numeri, la carta deve corrispondere a un codice di controllo, e i primi numeri possono essere determinati da una lista limitata, si può rapidamente costruire un database di tutti gli hash possibili. Immagino che i dati vengano archiviati e trasmessi in modo crittografato. Se dovessi fare una recensione, considererei l'hash a senso unico delle carte come uguale al salvataggio di un numero di carta in testo semplice.

    
risposta data 24.06.2011 - 05:06
fonte
9

Penso che il motivo per cui i commercianti utilizzano un identificatore separato (sia il tuo numero di telefono, sia una carta fedeltà) ha meno a che fare con problemi normativi, piuttosto che praticità.

Se il commerciante legava la tua identità solo sulla tua carta di credito, dovresti avere quella carta di credito presente durante tutte le transazioni per le quali desideri il credito fedeltà, indipendentemente dal fatto che tu sia effettivamente usando quella carta per quegli acquisti. Pertanto, se si desidera utilizzare una carta di credito diversa, o utilizzare denaro contante, o utilizzare una carta regalo, è comunque necessario presentare e / o scorrere la carta originale.

Quindi, considera il caso in cui il metodo di pagamento è un credito alternativo o una carta regalo. Quante probabilità pensi che Joe User possa confondere l'ordine con cui striscia le carte, e magari finire per caricare la carta sbagliata?

Probabilmente è molto più semplice (e più sicuro) per loro associare il tuo account di ricompense con un identificatore che non dipende dal tuo metodo di pagamento.

    
risposta data 24.06.2011 - 06:34
fonte
4

Non usano PAN fuori dalla banda magnetica, solo il nome. Non devi usare la stessa carta con la quale hai acquistato il biglietto, è solo una ricerca per nome delle persone che volano fuori dall'aeroporto in cui ti trovi oggi. Quindi sì, nell'improbabile eventualità che qualcuno con il tuo nome stia volando fuori dallo stesso aeroporto nello stesso giorno, ti offrirà il loro biglietto .. questo è il motivo per cui alcuni sistemi chiedono alla tua città di destinazione, di ridurre le false corrispondenze.

    
risposta data 25.06.2011 - 07:10
fonte
2

Non darei per scontato nulla su come stanno memorizzando i tuoi dati. Un sacco di posti sbagliano, e più grande è il sistema, più difficile è cambiarlo per farlo correttamente. L'unica cosa che non possono memorizzare sono i dati completi della traccia. Quindi non dovrebbero memorizzare il PIN crittografato o CVC2.

Per quanto riguarda la carta di credito, a condizione che non sia leggibile in chiaro o in transito, è possibile memorizzarla con altre informazioni identificabili personalmente ("PII"). Hai fatto una domanda abbastanza grande, non c'è davvero una risposta semplice. Esistono molti modi per archiviare i dati delle carte di credito, come crittografarli o sostituirli con un token, di solito uno che può superare la verifica di Luhn, in quanto si sta solo scaricando la riservatezza dei dati sulla chiave.

Il problema con l'utilizzo della carta di credito per identificarti porta a una domanda sui controlli di cui hanno bisogno per quel programma di fidelizzazione del cliente. Quindi ora usando la carta di credito come fattore di autenticazione. Lo store ha effettivamente introdotto tutti questi sistemi nello scope PCI. Non dimentichiamo che cos'è il PCI, è un modo per i marchi delle carte di indennizzare e scaricare il costo di una violazione per gli acquirenti che a loro volta lo trasferiscono ai commercianti.

    
risposta data 27.07.2011 - 16:31
fonte

Leggi altre domande sui tag

Linux o Windows: il problema di sicurezza [duplicato] Una parte di un file crittografato è più facile da decifrare?