Come mascherare correttamente le informazioni SEPA (IBAN e BIC)?

Question

Come mascherare correttamente le informazioni SEPA (IBAN e BIC)?

#1 da (6 voti)
#2 da (3 voti)

5

Attualmente sto sviluppando un sistema di pagamento in cui gli utenti possono utilizzare SEPA-debito per pagare il servizio. L'utente ha la possibilità di inserire i dati una volta e può quindi selezionare lo stesso metodo di pagamento quando si effettua un altro pagamento in futuro.

Quindi, per consentire all'utente di selezionare l'account corretto da addebitare, ho bisogno di mostrare alcune informazioni sui suoi account. Nel mondo delle carte di credito è normale mascherare tutte le ultime 4 cifre del numero della carta, ad es. XXXX-XXXX-XXXX-1234

Devo nascondere anche tutte le ultime 4 cifre durante la visualizzazione dei numeri IBAN? E dovrei fare lo stesso per il BIC, o è sicuro visualizzare il codice BIC completo?

credit-card confidentiality

posta devsnd 04.02.2015 - 13:02

fonte

2 risposte

Leggi altre domande sui tag credit-card confidentiality

Le richieste SSL possono essere inoltrate tramite proxy emettendo un secondo certificato? Il traffico inviato da Mouse senza bordi è crittografato?

score 6 · Answer 1

A differenza dei numeri di carta di credito, i numeri IBAN non sono segreti. Se qualcuno conosce il tuo numero di conto bancario, può ricavarne il numero IBAN. E avrebbero bisogno di sapere il tuo numero di conto bancario per pagarti.

Allo stesso modo, BIC non è un segreto neanche.

Detto questo, a volte è possibile utilizzare un numero di conto bancario e altre informazioni identificative per ordinare cose, quindi potrebbe essere una buona idea non mostrare più informazioni sul numero di conto bancario / IBAN di quanto sia necessario. Questo è anche un compromesso tra la privacy dell'utente e l'esperienza dell'utente.

(Lo scenario esemplificativo potrebbe essere qualcuno che ti fa del male, forse come vendetta per qualcosa: ottengono il tuo numero di conto bancario, altre informazioni personali e iniziano a ordinare cose nel tuo nome. Ovviamente questo è illegale e stupido, ma è non impossibile: potresti annullare il danno, ma ti richiederebbe tempo e impegno che preferiresti spendere in modo più piacevole).

Il numero dell'account è quasi sempre gli ultimi numeri dell'IBAN , e solitamente gli ultimi numeri dell'account identificare i diversi account che un utente può avere nella stessa banca. A seconda dei paesi in cui stai operando, dovrebbero essere sufficienti solo le ultime 3 o 4 cifre, insieme all'ID della banca.

score 3 · Answer 2

Senza conoscere le specifiche del paese, non vedo differenze, perché i numeri delle carte di credito sono segreti e IBAN no. Conoscendo qualcuno di loro (ok, nel caso dell'IBAN, è necessario anche un nome), uno potrebbe effettuare pagamenti, ordinare merci su Internet in alcuni paesi (ad esempio, in Germania per ordinare da Amazon sono necessari solo IBAN e nome). Per favore vedi Qualcuno può rubare soldi dal mio conto in banca se conoscono il mio IBAN e i dettagli personali? .

Quindi, consiglierei di proteggere sia il numero di conto che le parti BIC dell'IBAN, dal momento che se elimini solo poche cifre del conto bancario, utilizzando il checksum IBAN e conoscendo i numeri di conto tipici (ad esempio, ci sono banche in cui l'ultimo 2 account cifre numeriche sono sempre 00) per banca specifica (identificata con BIC), qualcuno potrebbe rinforzare un numero di conto.

Prendiamo l'IBAN tedesco come esempio. Sembra sempre

DEcc bbbb bbbb aaaa aaaa aa

DE - codice paese, cc - checksum, b - parte BIC, a - numero parte account.

Diciamo che lo maschera come:

DEcc bbbb bbbb XXXX aaaa XX

Ai miei occhi non è affatto buono, perché ora conosco il checksum e il BIC. Dal BIC, potrei sapere che la banca (1) non ha tanti account e (2) le ultime 2 cifre sono riservate per altri tipi di account, ad es. 00 per l'account principale, 01 potrebbe essere un account partner, 02 potrebbe essere un deposito a lungo termine e così via. Quindi, le ultime 2 cifre sono sempre 00 per questo conto bancario e operativo / di regolamento.

Ora abbiamo 4 cifre a sinistra. Ma da (1) concludo che la banca ha meno di 1.000.000 di clienti. I conti di questa banca saranno sempre come

00aa aaaa 00

Quindi ora ho solo bisogno di indovinare i primi due "a". Ma ho un checksum, il che rende molto facile. Se la banca ha più di milioni di clienti, potrebbe comunque avere un sistema, in cui la prima cifra identifica la regione del paese, dove è stato aperto un conto e così via.