I guess this is bad, right?
modifica
In base alle nuove informazioni che solo l'indirizzo email, non l'indirizzo fisico, è l'autenticatore utilizzato dal commerciante ......
È ancora solo leggermente male.
Non stanno violando nessuna legge. Non stanno violando lo standard PCI DSS o qualsiasi altro marchio di cui sono a conoscenza. Stanno aumentando drasticamente la probabilità che vengano effettuati acquisti fraudolenti sul loro sito, il che aumenta la loro responsabilità di chargeback e (dopo un numero sufficiente di abusi) potenzialmente la loro capacità di elaborare i pagamenti con carta.
È dannoso per te nel fatto che qualcuno potrebbe addebitare fraudolentemente la tua carta. Dovrai quindi accorgertene nelle tue dichiarazioni e richiedere un chargeback. Riceverete indietro i vostri soldi, quindi alla fine è un inconveniente piuttosto che una tragedia. Probabilmente voterai con i tuoi piedi e non usare quel mercante. Che danneggia anche il commerciante.
Se vuoi aiutare altre persone a evitare quel potenziale destino, puoi pubblicizzare il nome del commerciante. Probabilmente è l'unica cosa che li porterà a cambiare le loro pratiche.
risposta originale:
Dolcemente, ma per chi?
Non penso che ci sia una violazione del PCI DSS qui. Il commerciante è pronto ad autenticare la tua identità prima di caricare la tua carta. Chiaramente lo stanno facendo in qualche modo; forse considerano l'uso dello stesso indirizzo email e indirizzo di spedizione come "autenticazione". Ma il DSS non stabilisce i requisiti su come i commercianti autenticano i clienti, quindi forse questo è un metodo valido.
La memorizzazione della carta (crittografata o tokenizzata) è completamente legittima. L'archiviazione in testo semplice e la visualizzazione delle prime 6 e ultime 4 cifre sono completamente legittime. Dalle informazioni che hai fornito, non hai alcuna indicazione che il commerciante stia facendo qualcosa di diverso dall'archiviazione e dall'uso della scheda in un modo conforme allo standard PCI DSS.
Sono responsabili per eventuali addebiti fraudolenti sulla tua carta e mangeranno il chargeback se qualcuno abusa di questo (ad esempio, inserisce la tua email e il tuo indirizzo e poi afferra il pacco quando il postino lo interrompe). Ma questo è uno scenario piuttosto limitato, non è utilizzabile da estranei casuali su Internet. Questo vettore di attacco non consente a qualcuno di recuperare le tue informazioni, il tuo numero di carta o di spedire ovunque tranne il tuo indirizzo di spedizione conosciuto.
Se le persone abusavano regolarmente di questo, i numeri di chargeback del commerciante aumenterebbero, il punteggio di rischio salirà e il processore li abbandonerà. A quel punto, è certamente un male per il commerciante.
Nel frattempo, sei protetto. Le società di carte ripagheranno qualsiasi reclamo contestato contro la tua carta, e avrai i tuoi soldi indietro. Ecco perché sei disposto ad utilizzare una carta di credito, per la comodità e le protezioni che ti offre. Se il commerciante sta facendo qualcosa che alla fine farà male a loro, beh, questo si controllerà da solo.