Weben bankkártya fizetés, CVC kód láthatósága

Security-all

Több helyen belefutottam abba, hogy weben jegyet akarok venni egy rendezvényre (mondjuk legyen rendezveny123.hu) és azt látom hogy

Név
Bankkártya száma
Lejárati dátum
CVC kód

egy az egybe megy HTTP POST adatként a rendezveny123.hu site-ra, ahol az ottani rendszergazda vagy fejlesztő ha akarja ki tudja olvasni magának és akár egy adatbázist építhet belőle.

Én tartok attól hogy egyszer csak kapok egy sms-t hogy 20.000 Ft-ot leemeltek vmelyik országból és azt se tudom majd hol szivárgott ki.

Mindig új bankkártyát igényelni meg idő és macera.
Külön webkártyát használok limittel, de annak a hozzáférési adatait se szívesen adom meg minden site-nak/bárkinek/senkinek.

Régen ezt úgy oldották meg hogy pl az OTP oldala felugrott egy új tab-ban vagy frame-ben és azon keresztül tudtam fizetni, szóval a rendezveny123.hu semmit se látott a bankkártyás adataimból, ami sztem rendben van.

Írtam erről a problémáról az egyik rendezveny123.hu-nak, olyan csarnok ahova naponta több ezren/tízezren mennek, azt a sablon választ kaptam hogy sok évtizede működik és teljesen biztonságos és még sohase volt semmi gond.

Én gondolom rosszul ezt a biztonsági dolgot, vagy ez most tényleg így működik?

A gondom az hogy nagyon sok más helyen is így megy a webes fizetés.

  • 4526 megtekintés

( ulysses v | 2019. 05. 14., k – 11:02 )

Normális helyen átirányítanak a bank/szolgáltató oldalára, és ott adod meg a kártyaadatokat. Ahol ezt nem teszik meg, ne vásárolj, kerüld el messzire.

Na de van olyan, hogy nem is látod, hogy kihez tartozik.

Pl. az egyik tavalyi projektben kellett kártyás fizetés. Mi, érthető módon, nem akartunk kártyainformációkat tárolni és kezelni, szóval az egyik globális fizetési szolgáltató szolgáltatását építettük be a weboldalba.

Az egységsugarú felhasználónak fogalma sincs, hogy az a néhány szövegdoboz, ami az oldal közepefelé van, azt nem a mi szerverünk küldte el neki, és amit oda beír, az nem mihozzánk kerül. Mi csak a választ kapjuk meg, hogy sikeres volt-e vagy nem a fizetés.

Átlag felhasználó olvasni se szokott, pl. azt se olvassa el, amikor kiírjuk neki, hogy ha fizetési hiba van, ne a webshopot hívja, hanem a bankját. De a https badge-et se tudja ellenőrizni, vagy a levél küldő domain nevét (az otp.hu.valami.com még hagyján, de az otp-ben az "o" lehet egy rakás más karakter is, ami szerencsére domain kompatibilis).

Á, értem.

Nos, mi a worldpay nevű szolgáltatót használtuk, és ők maguk adják az iframe-et.

A mi weboldalunkra kellett tennie a fejlesztőknek 3-4 sort, és ezután megjelent a szolgáltató interfésze az oldal többi része között.

(Ezt a fentit emlékezetből írtam, és nem én implementáltam, szóval tévedés jogát fentartom)

Nem tudom, hogy a többi szolgáltató mit csinál, és nem tudom, hogy a worldpay normálisnak számít-e, de az biztos, hogy elég elterjedt. Angliában (a weboldaluk szerint) ők a legnagyobb szolgáltató.

Az a baj gee, hogy ha van alternatíva, akkor nem kezd el senki a forráskódban turkálni, hogy ez most I-Frame, vagy mi a franc, ráadásul, csak egyszer bízzon meg valaki i-frame-nek hitt oldalba, ami lenyúlja a pénzét. Aki nem ellensége magának, elkerüli az olyan oldalakat, ahol nem egy pénzügyi szolgáltató oldalán történik meg az adatok megadása.

Mindenki úgy csinálja, ahogy szeretné. Én pl. hasonló okokból azt szoktam választani, hogy paypallal fizetek (mondjuk a vonatjegyért), pedig bepötyöghetném a kártyaadataimat is.

De nem mindig van lehetőség weboldalt elkerülni.

Az általunk fejlesztett weboldal pl. annak a folyamatnak a része, amiben az Angliában tartózkodó emberek ilyen-olyan vízumjukat meg tudják hosszabbítani. Tudomásom szerint nincs alternatívája. Ha az ember felhívja az ügyfélszolgálatot, az ügyfélszolgálatos is ugyanazt a webes alkalmazást használja.

A másik fele viszont az, amit máshol is írtam. Ha megbízom egyszer egy iframe-nek hitt oldalban és lenyúlják a pénzem, akkor felhívom a bankom és visszakapom a zsét. A webshop meg magyarázkodhat és fizethet a banknak.

( joco01 v | 2019. 05. 14., k – 11:17 )

Szerintem evvel akkor érdemes foglalkozni, ha a hiányzó 20 ezer forint esetén az éhhalál fenyegetne. Ilyen csalások után előbb-után úgyis visszakapod a pénzed. Credit cardnál előbb, debit cardnál utóbb, de akkor is komolyan szokás venni az ilyen panaszokat. Ha meg direkt webes kártyád van, amin csak akkor van pénz, amikor használni akarod, akkor végképp fölösleges bármilyen aggódás.

Illetve aki lehúzta a pénzt a kártyádról, annak a bankjától és számlájáról is vissza lehet venni pénzt. (Persze ha a 20k ellopása után rögtön kivette az ATM-nél kp-ben és soha többé nem lesz a számlán pénz, akkor ez nem fog működni. De ha rendesen működő cég, akkor igen). A kártyát elfogadó weboldal erősen felelős a visszaélésekért, ezért is van, hogy sok oldal extra ellenőrzést is használ, pl. 3DSecure.

Persze, csak itt is érvényes a verseny. Ha van egy weboldal, aki nem biztonságosan kezeli a vásárlásokat és a sok kamu vásárlás miatt sok büntit kell fizetnie, tehát X+500-ért kínálja a jegyeket, meg van egy másik weboldal, ahol ritka a visszaélés, nem kell sokszor visszatéríteni a jegyek árát, és ezért ezen az oldalon X+50 forint ugyanaz a jegy, akkor az emberek egy idő után átszoknak az olcsóbb oldalra.

A nemtörődöm oldal meg vagy csődbemegy, vagy összekapják magukat és megszüntetik a fals tranzakciókat, hogy újra versenyképes áron tudjanak jegyeket kínálni.

Nekem nem ez a tapasztalatom, hanem az, hogy akár színház, akár koncertjegyet akarok venni, baromi sok helyen meg lehet rendelni online.

A legnagyobb gond nem is az árkülönbség, vagyis hogy lehet, hogy többet fizetsz érte, mint kéne, de láttam már olyan esetet, amikor nem ugyanazokat a jegyeket árusította két weboldal.

Az egyik oldalon csak vacak helyek voltak, cserébe olcsón, a másik oldalon voltak jobb, de drágább jegye is.

Persze, értem én, hogy meg kell célozni a célcsoportot, meg minden, de számomra ez kellemetlen, mert lehet, hogy szívesen kifizetném egy jobb hely árát, de azért ülök majd szar helyen, mert a weboldal csak az olcsó jegyeket kínálta.

Két eset lehet. Az eladó a hunyó, és ő nyúlta le és használta fel rosszul az adatokat. Ez esetben nem kár érte. A másik, hogy az eladó szimplán hülye, és nem foglalkozott a biztonsággal. Akkor pedig vagy rájön, hogy ez neki nem jó, és elkezdi, vagy nem, és akkor előbb-utóbb kimúlik.

( nxu | 2019. 05. 14., k – 11:17 )

Erosen meg lennek lepve, ha ez igy lenne, lasd PCI compliance.

A legtobb ilyen sajat oldalas formnal JS-sel aszinkron modon mennek a kartyaadatok a fizetesi szolgaltatonak, aki csak egy tokent ad vissza, amit el lehet kuldeni szerveroldalnak.

Pedig simán így van ez implementálva nagyon sok helyen. Főleg Ámerikában. (ahol egyébként még az is megszokott és normális, hogy egy kocsmában a pincér elviszi a kártyádat, és valahol hátul húzza le a számla ellenértékét)

A "webshopok" ezt egyébként kényelmi fícsörként "adják el" a userek felé, hogy legközelebb már nem kell megadnod a kártya adataidat, csak jóváhagynod a tranzakciót.
Sőt, rendszeres előfizetés esetén még csak jóvá sem kell hagyni, automatikusan levonják.

a PCI pedig pont azoknak szól, akik kártya adatokat kezelnek ;)
A "bad design" ellen nem véd, de a gyakorlatban kártya felhasználón sem sokat segít...

--
zrubi.hu

Azért egy valamire kíváncsi volnék. Ha egy webshop bekéri a kártyaadatokat, azt továbbítaniuk kell egy payment processornak (vagy mi a neve). Utóbbi esetében szinte biztos, hogy van compliance meg audit meg stb. Na és ők vajon auditálják-e, hogy az ügyfeleik - a random weboldalak - hogyan kezelik a kártyaadatokat, amit küldenek nekik? Szerintem illene, mert nekik is szívás, ha nem.

nyilván, ha kártyaadatokat kezelnek (amit csak úgy lehet megúszni, ha külső szolgáltatást építenek a webshop-ba), akkor kell PCI compliance. Ennek meglétét - feltételezem - érdeke ellenőrizni az üzleti partnereknek is...

De ettől még Te mint vásárló, ugyan úgy odaadtad egy harmadik félnek az adataidat - tehát megbítzál bennük annyira, hogy ezt megtedd.
Az, hogy az adatkezelő átment egy PCI auditon - engem személy szerint - biztosan nem nyugtat meg :D
(Legfőképp azért nem, mert láttam már közelről ilyen rendszereket is és PCI auditot is)

off:
a BKK "rendszerei" is biztosan el voltak/vannak látva mindenféle compliance pecséttel... aztán, látod. :D

--
zrubi.hu

Németeknél is simán email-ben kértek kártyaadatokat hotelszámlához. A fent említett magyar weblapnál sem lepne meg, ha a drágának hírlő magyar bankos szolgáltatás helyett külföldi payment processort használnának.

Normális megoldásként az ismétlődő fizetésekhez is csak egy tokent kapnak, amivel a következő fizetést indíthatják és a rákövetkező tokent megkapják.

pedig siman igy van. tobb ugyfelunk weboldala is olyan, hogy siman bekeri web formon az adatokat, majd a szerveren futtat valami cib banktol kapott binaris szutykot ami vegrehajtja a tranzakciot a parameterbe megkapott adatokkal. ami szepen be is kerul a logokba...

az otp-nel van a bank oldalara atiranyitos moka, az korrektebb szerintem, es implementalni is egyszerubb, nem kell a szreveren mokolni a php-bol execelt binarissal.

A'rpi

Legfeljebb "alapos gyanúja" cimkével illendő bármely btk-s tényállást melegetni addig, amíg bíróság jogerősen ki nem mondja, hogy adott cselekményt elkövették. Én nem védek senkit, csak olvastam már elég sok kritikus munkakörre vonatkozó munkaszerződést, speciális feladatok elvégzésére készített NDA-t, és bizony harmadik félnek (és ebbe akár az adott projektben részt nem vevő munkatárs is beletartozik) nulla információ adható, és nem csak a (munka)szerződés fennállása alatt, hanem annak megszüntét követő x éven belül is. Hatósági megkeresés, illetve hatóságok felé kötelező adatszolgáltatás természetesen kivétel.

Szerinted a "GDPR biztosok" azok mennyivel "jobbak" a PCI DSS auditoroknál?

elárulom:
Mindkettő csak egy profit orientált cég. Tehát egyetlen érdekük hogy pénzt szerezzenek. Mivel szereznek? Audittal. Namost, ha az audit tényleg komoly (lenne) ahhoz nagyon dárga mérnököket kéne fizetni, akik várhatóan kicsontoznák az ügyfelet, a vackaikkal együtt. Ez viszont egyik félnek sem "jó".

Mi van a gyakorlatban?
Alkalmaznak inkább olcsó munkaerőt, kevesebb szakmai, sokkal több soft skillel felvértezve. Az ügyféllel nem kötözködnek - de azért fetárnak egy-két "hibát" hogy legyen látszatja a munkának - így mindekettőjük jól jár. Az ügyfél kap pecsétet - anélkül hogy újra kéne tervezni az összetákolt szaraikat. Az auditor cég meg olcsó munkaerővel szakít igen nagy hasznot, minimális befektetéssel.

Szomorú, de ez a gyakorlat.

De persze ehhez nincsenek nevek, és mind csak az én őrült elmém szüleménye. A valósággal való minden egyezés a véletlen következménye lehet csak. Sőt, lehet csak álmodtam.

--
zrubi.hu

Én igy ezt nem akartam mondani, de valahol ez volt a lényeg. Mindig öröm olvasni, hogy megint kikerült 5-10-20 millió hitelkártyaszám, névvel, lakcimmel stb. és ez egyértelműen a szakma szégyene. Valóban, nem olyan közvetlen életveszély, mintha a szarul megtervezett Boeing szoftver miatt lezuhan a gép, és megdöglik 150-300 ember, vagy szoftverhiba miatt felrobban az atomerőmű és rákos lesz 1 millió ember. De attól még szégyennek szégyen.
--

( riverman | 2019. 05. 14., k – 11:20 )

Nem fejlesztettem meg soha webshoppot vagy barmi olyan feluletet, ahol fizetest kellett volna bonyolitani, de amit vazolsz az bizony valoban ijeszto es szerintem is security risk. Ettol fuggetlenul tobb nagyobb szolgaltato is maga kezeli a kartyaadatokat kozvetito beekelese nelkul (hirtelen peldakent a jatek kiadok jutnak eszembe, mint Steam, Blizzard, stb..)

A szamomra normalis oldalakon a fizetes egy tokenes atiranyitassal a szerzodott bank oldalan tortenik vagy valamilyen megbizhato kozvetito segitsegevel (Simple, PayPal, Barion, PayU, stb..).
Nem tudom, hogy kell-e/lehet-e ebbol balhet csinalni, mint Te is mondtad, nem ok az egyetlen precedens erre.

Ha akarsz vele foglalkozni, dobd vissza nekik, hogy ez bizony bad design es linkeld be a BKK Online berletes botrany cikket, mint pelda egy rossz implementaciora.
Amugy szerintem ez ilyen, de hatha jon valami feketeoves web guru es megmondja, hogy ez miert biztonsagos :)

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

Sok szolgáltató kínál az oldalba ágyazhatóan async JS fizetési modult, így nem kell elnavigálni az oldalról (jellemzően nem a bankok!). Itt UK-ben pl a Worldpay ad neked cdn-ről egy JS-t, meg egy 4 soros scriptet amit be kell rakni az oldaladba, amitől az oldalon belül megjelenik a fizetési form.
Bár hozzáteszem itt simán bemondják telefonba a kártyaszám/név/CVC kódot ha így rendelsz :)

( gee v | 2019. 05. 14., k – 12:20 )

Én nem tartok attól nagyon, hogy ellopják az adataimat.

Volt már olyan, hogy felhívott a kártya kibocsátó bank, hogy ilyen-olyan tranzakciót látnak. Én voltam? Nem. OK, akkor ezt most visszafordítják, a kártyámat letiltják, holnap megkapom az új kártyát.

Ha én veszem észre a tranzakciók között a kakuktojást, akkor annyi a különbség, hogy nekem kell telefonálnom először.

A kártyát Angliában kapom meg postán másnap. Ha valahol járom a világot, akkor simán lehet sokkal hosszabb is az idő.

Amikor Brazíliában éltem, volt olyan, hogy egy haverom meglátogatott minket. Miközben beszélgettünk, jött az SMS a telefonjára, hogy Miamiban (ott volt, mielőtt hozzánk jött), éppen fizetett a kártyájával. Fogta a telefonját, felhívta a magyarországi bankját, szólt, hogy a kártya itt van a kezében, nem pedig ott. Tranzakciót visszafordították, kártyát letiltották. Nem tudom, mikor kapta meg a cserekártyát.

Igen hát ez nekem is így volt egyszer. Ellopták a kártyaadataimat és lenyúltak 8 ezret. A bank egyből hívott is, hogy én voltam-e, mert gyanús a tranzakció, mondtam, hogy nem, mondták, hogy akkor vissza az egész és küldik az új kártyát. A jövő havi kivonaton láttam, hogy 5000 volt a letiltás és 5000 az újragyártás...

Hogy is szokták mondani, hogy választani tudni kell?

Nekem pl. 0 volt a letiltás is és az új kártya küldése is. Ugyanúgy 0, mint az éves díj.
Beszedi a bank a saját profitját a kártyahasználati díjakból meg a kamatból azoktól a felhasználóktól, akik nem állítottak be beszedési megbízást és elfelejtettek időben fizetni.
Én valahogy nem hiszem, hogy egy letiltásért 5000 forint reális ár lenne.

Megnéztem a hirdetményt:
magyar debitkártyám letiltási díja: 0
magyar debitkártyám ujragyártási díja: 0
éves kártyadíj: 0
számlavezetési díj (ha elég összeg érkezik a számlára a hónapban): 0

magyar hitelkártya letiltási díja: 0
magyar hitelkártya újragyártási díja: 0
hitelkártyám éves díja: 19 231 Ft

Citibanktól Erste által átvett bankszámla és hitelkártya.

Nem.

Nem a legolcsóbb hitelkártyát választottam. Amikor én igényeltem, ezüst és arany közül lehetett választani. Én az aranyat kértem, a lényegesen magasabb hitelkeret, és a hozzá tartozó utazási biztosítás miatt. Hitelkártya nélkül többet kifizettem korábban biztosításra.

Azóta lefolyt egy kevés víz a dunán, most már nem aranyszínű a kártyám, hanem fehér. Jelenleg már nincs semmi látható előnye azokhoz a kártyákhoz képest, amik úgy lettek fehérek, hogy korábban valami más színük volt. Minden fehér kártya ugyanazt adja, de az éves díj attól függ, hogy korábban milyen színű volt. Ez mondjuk elég nagy hülyeség :-D
Az imént, amikor megnéztem a hirdetményt, úgy tűnt, hogy valami 6-7 ezer forint éves díjért kapják ugyanezt a szolgáltatáscsomagot azok, akik korábban valami olcsóbb kártyát választottak.

Most, hogy ezt láttam, lehet hogy utánanézek majd, meg lehet-e ezt változtatni... de lehet, hogy túl lusta leszek hozzá. Évi 12 ezer forint nem olyan óriási különbség, hogy túl sokat vacakoljak vele, és arra számítok, hogy vacakolós lesz.

Érdekes adalék: volt egy projektünk, amikor egy magyar szolgáltatónak a számlázórendszerét néztük át. Több dologra panaszkodtak, többek között lassúnak találták. Miután átnéztük, kiderült, hogy van mondjuk 200 különböző tarifacsomag a rendszerben, és ez volt az egyik oka, hogy soká tartott a számlázás. Javasoltuk nekik, hogy a régi tarifacsomagokat szüntessék meg, tereljék át a csomagonkénti 3-10 előfizetőt a jelenleg éppen árusított csomagokra, és akkor majd a rendszer felgyorsul.
Erre felhördültek, hogy azt nem lehet, mert a (hasamra ütök) 150 legrégebbi csomag összesen 500 előfizetője havonta 3,5 millióval több pénzt fizet be, mintha valamelyik jelenleg élő csomag előfizetői lennének.
Szóval a cég inkább lehúzta ezeket a "hülyéket", és elviselte, hogy lassú a rendszere.

Na, az Erste bank számára én vagyok az egyik ilyen hülye, aki évente kifizet nekik 19 231 forintot. Nekem megéri, mert így, hogy nem Magyarországon élek, nincs magyarországi jövedelmem, nem hiszem, hogy találnék másik bankot, aki megszavaz nekem két milliós hitelkeretet ha egyáltalán ad hitelkártyát.

Minden bank durván lehúz valahogy. Ebből élnek.

Mi - mint ügyfelek - meg vagy váltunk évente, fejest ugorva a bürokrácia legmélyebb bugyraiba, vagy beletörődünk hogy durván lehúznak. Nyilván mérlegelni kell kinek mi éri meg. Nekem pl sem kedvem, sem időm nincs hogy ilyenekkel szarakodjak.

Személy szerint az összes bankot rühellem. De egy kötelező rossz (a sok közül) az életemben.

Most mondjuk pont a revolut ami felkeltette az érdeklődésemet, de nem tudom megérné-e (teljesen) átnyergelni hozzájuk.

--
zrubi.hu

( uid_21239 | 2019. 05. 14., k – 12:49 )

En ezen egyaltalan nem ragodom. A jogosulatlan kartyahasznalatbol eredo karokat a bank megteriti. Persze, ez nem jelenti azt, hogy minden otvar webshopba el kell menteni a kartya adatokat, de en pl rabiztam a sajat es a ceges kartyat is az amazonra. A franc se akarja potyogtetni minden alkalommal a kartyaszamot.

Magyarorszagon a paypass elterjedeseig az volt a gyakorlat, hogy ha kartyaval fizetett az ember, akkor azt odaadta a kasszasneninek es o kezelte a terminalt. En ezt peldaul sokkal nagyob biztonsagi kockazatnak tartom. A penztaros semmifele banki auditon nem ment at, pedig hozaferese volt az osszes kartyaadathoz.
Ha egy webshop viszont ket resztvevos fizetesi megoldast akar uzemeltetni, annak vannak banki feltetelei is.

http://sajat-webaruhaz-nyitas.hu/blog/view/bankkartyas_fizetes_a_webaru…

( KaTT v | 2019. 05. 14., k – 13:04 )

Az ősi módszert javaslom:
- ha nem tűnik biztonságosnak a fizetés: NE fizess bankkártyával (és nyiss a HUP-on azért egy témát, ki tudja)
- ha azt gondolod, biztonságos, akkor akár fizethetsz is bankkártyával (ebben az esetben is nyithatsz, csak kevesebb hozzászólás lesz)

Minden más esetre ott a készpénz! :-)

Sakk-matt,
KaTT :)

( Aadaam v | 2019. 05. 14., k – 13:22 )

Mindenki nyugodjon le a ‘csába :)

Ahhoz, hogy kártyaadatokat kezelhess, PCI DSS compliant-nak kell lenned. Ez nem egy egyszerű audit, a legtöbb cég fél tőle, mint a tűztől (én egyet végigcsináltam, annyira szerintem nem vészes mint beállítják, de tényleg nem egyszerű).

Addig ezekből az adatokból pénzt magadnak nem igazán tudsz előállítani, hacsak meg nem adod a revolutnak mint saját bankkártya vagy nem fizetsz vele az amazonon stb.

Ahhoz, hogy egy bank átvegye ezt az adatot, és pénzt csináljon a kedvedért a számládra, ennek kell megfelelni, vagy az első csalásnál nem csak a weboldal, de a bank is megy a levesbe a mastercardnál. Márpedig olyan bank ami nem kezel mastercardot, az elég nagy hátránnyal indul a webshopoknál.

Trükkös gyerekek persze mindig vannak, de a PCI DSS compliance logot keressétek mint a https lakatát..

szerintem leszarjak. tobb olyan oldalt is tudok ahol 1000% hogy nem volt audit, raadasul elegge osszekokanyolt az egesz, megis lehet rajtuk kartyaval fizetni, es nem a bankra atiranyitos hanem a webformon adatbekeros modon.
sot olyan is volt, ami egy kulso hosting cegnel futott es onnan http get-ben (!) kuldte el a ceg belso szerverere az adatokat a form... es amikor ezt lattam a logokban es megemlitettem a fejlesztonek, nem ertette mi a problemam...

de amugy muti hol van pl. a dijnet.hu oldalon a PCI DSS compliance?
azt gondolnam, hogy ekkora cegnel talan foglalkoztak vele, de nem ugy tunik

( uid_4263 v | 2019. 05. 14., k – 15:58 )

Rendes bank olyan virtuális kártyát ad, amit egész pontosan egyetlen egyszer lehet fizetésre használni, utána meg eltűnik: https://blog.revolut.com/introducing-disposable-virtual-cards

De ha rendes bankoknál maradunk, a revolut minden egyes tranzakcióról értesít app notif-ban, nem sms-ben, ingyen. És messze köröket ver egyébként a nagy bankok biztonsági lehetőségeire.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

( answ | 2019. 05. 14., k – 16:55 )

1/A) Ilyen helyen nem vasarolunk.
1/B) Ilyen helyen csak virtualis kartyaval vasarolunk, amire pont akkor es annyi penzt rakunk, amennyi szukseges.

En is fejlesztettem ezer eve ilyen rendszert (ekicrypt), mindig bank feluletre kell iranyitani. Barki elhiszi, hogy teljesiteni tudja egy atlagos magyar webshop a bankkartya adatok kezelesere szolgalo szabalyokat? Barki elhiszi, hogy biztonsagban lesznek az adatok egy ilyen webshopnal?

Voltam karosult (Visa debit), a bank huzta a szajat es azt allitotta, hogy csak hozza fordulhatsz, direkten a Visahoz nem. A magyar bankokat pedig ismerjuk.. Vegul BBB-vel valo fenyegetes utan visszakaptam a penzem.

( wladek1 | 2019. 05. 14., k – 18:05 )

Sokan emlegettek ezt a PCI DSS megfeleloseget. Ugyanezzel reklamozza magat a Telekom is. Most mar csak az a kerdes, hogy az audit olyan volt -e, mint a BKK eseten?
De pl. ott van a Wikipedia is, ahol ugyszint hazon belul intezik az adomanyozast; errol mindossze ennyit lathatunk: " A BANKKÁRTYA-ADATAIDAT BIZTONSÁGOSAN KEZELJÜK."
Vagy ott vannak azok az oldalak, ahol pl. az Unicredit scam-emailek szovegezeset meghazudtolo csodajat hasznaljak.
Virtualis kartya mindenhol :)

( noorbertt v | 2019. 05. 14., k – 20:11 )

Nem olvastam a kommenteket, de gránit bank kártyáit lehet mobil approl ingyenesen zárni. Úgy is hogy automatikusan lezárja magát, nyitás után x perc elteltével.

( arpi_esp v | 2019. 05. 14., k – 20:15 )

pont ezert nem fizetek az upc-nel kartyaval, mert atiranyit a dijnet sajat webes formjara, es ott kene cvc-ig bezarolag megadni mindent...

amugy ezen az oldalon sincs PCI compliance vagy mi logo, csak a szokasos VISA stb.

a dijnet nalam bevan kotve az erstes netbankba, egy kulon menupont alatt latom a fizetendo szamlakat, es akkor "utalom" amikor nekem jol esik. (es megneztem hogy nem akarnak-e kummantani valami extra dijat)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( Fisher v | 2019. 05. 14., k – 21:43 )

Szerintem ott a probléma, hogy bárki azt hiszi, hogy "a bankkártya" alapból biztonságos. Szerintem kevésbé az, mint pl. a pénztárca. Persze ettől még lehet jól használni.

NFC-vel meg jo is lehetne, csak azzal nehez neten fizetni... pedig meg lehetne oldani, ha pl. okostelefonnal nfc-n huzna le a webshop a kartyat

de olyan mint a windows, a kompatibilitas miatt a 30 eves techniologiakat is (dombornyomas, magnescsik) el kell fogadni... nem olyan reg meg voltam olyan szallodaban ahol mechanikusan huztak le a kartyat azaz a dombornyomast masoltak ra indigos papirra...

( prozherum v | 2019. 05. 15., sze – 00:31 )

A bunq(.com) bank egyik altalam hasznalt feature-je segithetne: csinalj egy virtualis Mastercard kartyat, tegyel ra pont annyi penzt, amennyibe kerul a jegy, fizetes utan torold a kartyat, vagy valtoztasd meg a cvc kodot.

( bennyh | 2019. 05. 18., szo – 05:14 )

Virtuális kártyám van, neten csak azt használom, csak annyit tudnak leszedni, amennyit elōtte webbankon rátettem vásárlás előtt.