Weben bankkártya fizetés, CVC kód láthatósága

 ( KGer | 2019. május 14., kedd - 10:50 )

Több helyen belefutottam abba, hogy weben jegyet akarok venni egy rendezvényre (mondjuk legyen rendezveny123.hu) és azt látom hogy

Név
Bankkártya száma
Lejárati dátum
CVC kód

egy az egybe megy HTTP POST adatként a rendezveny123.hu site-ra, ahol az ottani rendszergazda vagy fejlesztő ha akarja ki tudja olvasni magának és akár egy adatbázist építhet belőle.

Én tartok attól hogy egyszer csak kapok egy sms-t hogy 20.000 Ft-ot leemeltek vmelyik országból és azt se tudom majd hol szivárgott ki.

Mindig új bankkártyát igényelni meg idő és macera.
Külön webkártyát használok limittel, de annak a hozzáférési adatait se szívesen adom meg minden site-nak/bárkinek/senkinek.

Régen ezt úgy oldották meg hogy pl az OTP oldala felugrott egy új tab-ban vagy frame-ben és azon keresztül tudtam fizetni, szóval a rendezveny123.hu semmit se látott a bankkártyás adataimból, ami sztem rendben van.

Írtam erről a problémáról az egyik rendezveny123.hu-nak, olyan csarnok ahova naponta több ezren/tízezren mennek, azt a sablon választ kaptam hogy sok évtizede működik és teljesen biztonságos és még sohase volt semmi gond.

Én gondolom rosszul ezt a biztonsági dolgot, vagy ez most tényleg így működik?

A gondom az hogy nagyon sok más helyen is így megy a webes fizetés.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Normális helyen átirányítanak a bank/szolgáltató oldalára, és ott adod meg a kártyaadatokat. Ahol ezt nem teszik meg, ne vásárolj, kerüld el messzire.

+sok

Sőt, ami nem ismert, szerintem megbízható külső fizetőoldalra irányít, azt is kerülöm, keresek inkább mást.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Na de van olyan, hogy nem is látod, hogy kihez tartozik.

Pl. az egyik tavalyi projektben kellett kártyás fizetés. Mi, érthető módon, nem akartunk kártyainformációkat tárolni és kezelni, szóval az egyik globális fizetési szolgáltató szolgáltatását építettük be a weboldalba.

Az egységsugarú felhasználónak fogalma sincs, hogy az a néhány szövegdoboz, ami az oldal közepefelé van, azt nem a mi szerverünk küldte el neki, és amit oda beír, az nem mihozzánk kerül. Mi csak a választ kapjuk meg, hogy sikeres volt-e vagy nem a fizetés.

Átlag felhasználó olvasni se szokott, pl. azt se olvassa el, amikor kiírjuk neki, hogy ha fizetési hiba van, ne a webshopot hívja, hanem a bankját. De a https badge-et se tudja ellenőrizni, vagy a levél küldő domain nevét (az otp.hu.valami.com még hagyján, de az otp-ben az "o" lehet egy rakás más karakter is, ami szerencsére domain kompatibilis).

javítsatok ki ha tévedek, de nekem úgy rémlik, hogy a legtöbb _normális_ szolgáltató nem enged sem iframe-et, sem más embed-et pont a biztonság miatt.

Milyen szolgáltató? Úgy értem, mit szolgáltat.

Fizetési szolgáltató. Aki a bankkártya tranzakciót és bankkártyaadatokat kezeli.

Á, értem.

Nos, mi a worldpay nevű szolgáltatót használtuk, és ők maguk adják az iframe-et.

A mi weboldalunkra kellett tennie a fejlesztőknek 3-4 sort, és ezután megjelent a szolgáltató interfésze az oldal többi része között.

(Ezt a fentit emlékezetből írtam, és nem én implementáltam, szóval tévedés jogát fentartom)

Nem tudom, hogy a többi szolgáltató mit csinál, és nem tudom, hogy a worldpay normálisnak számít-e, de az biztos, hogy elég elterjedt. Angliában (a weboldaluk szerint) ők a legnagyobb szolgáltató.

Az a baj gee, hogy ha van alternatíva, akkor nem kezd el senki a forráskódban turkálni, hogy ez most I-Frame, vagy mi a franc, ráadásul, csak egyszer bízzon meg valaki i-frame-nek hitt oldalba, ami lenyúlja a pénzét. Aki nem ellensége magának, elkerüli az olyan oldalakat, ahol nem egy pénzügyi szolgáltató oldalán történik meg az adatok megadása.

Mindenki úgy csinálja, ahogy szeretné. Én pl. hasonló okokból azt szoktam választani, hogy paypallal fizetek (mondjuk a vonatjegyért), pedig bepötyöghetném a kártyaadataimat is.

De nem mindig van lehetőség weboldalt elkerülni.

Az általunk fejlesztett weboldal pl. annak a folyamatnak a része, amiben az Angliában tartózkodó emberek ilyen-olyan vízumjukat meg tudják hosszabbítani. Tudomásom szerint nincs alternatívája. Ha az ember felhívja az ügyfélszolgálatot, az ügyfélszolgálatos is ugyanazt a webes alkalmazást használja.

A másik fele viszont az, amit máshol is írtam. Ha megbízom egyszer egy iframe-nek hitt oldalban és lenyúlják a pénzem, akkor felhívom a bankom és visszakapom a zsét. A webshop meg magyarázkodhat és fizethet a banknak.

Aliexpress? :) Vagy náluk lehet van paypal, de mintha rögtön ki lenne jelölve a saját fizetési kapujuk. De mintha a deezer-nél és valami másnál is láttam volna ezt, patreon talán.

Aliexpressen AliPay van.

+1

+1
Ha nem a közé a pár szolgáltató közé tartozik amiben megbízom, akkor nem fizetek online. Pont azért, mert nem hiányzik hogy lenyúlja valaki az adataimat.

Szerintem evvel akkor érdemes foglalkozni, ha a hiányzó 20 ezer forint esetén az éhhalál fenyegetne. Ilyen csalások után előbb-után úgyis visszakapod a pénzed. Credit cardnál előbb, debit cardnál utóbb, de akkor is komolyan szokás venni az ilyen panaszokat. Ha meg direkt webes kártyád van, amin csak akkor van pénz, amikor használni akarod, akkor végképp fölösleges bármilyen aggódás.

nyilvan a kart a bank lenyeli, es nem fogja a felhasznaloktol aprankent behajtani... :)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Normalis helyen ez ugy megy, hogy a beszedett penzeket nem csak a fonok nyaralojabva fektetik, hanem csinalnak kockazati alapot, amibol ezeket lehet fedezni.

Persze technikailag igazad van, behajtjak a usereken, de nem az aldozaton, hanem mindenkin, es nem utolag, hanem elore.

Illetve aki lehúzta a pénzt a kártyádról, annak a bankjától és számlájáról is vissza lehet venni pénzt. (Persze ha a 20k ellopása után rögtön kivette az ATM-nél kp-ben és soha többé nem lesz a számlán pénz, akkor ez nem fog működni. De ha rendesen működő cég, akkor igen). A kártyát elfogadó weboldal erősen felelős a visszaélésekért, ezért is van, hogy sok oldal extra ellenőrzést is használ, pl. 3DSecure.

Az ilyen kárt a bank szépen áthárítja az elfogadó oldali bankra, az pedig ráterheli az eladóra.

az elado meg a sajat vevoire, igy pl a legkozelebbi koncert nem X penz lesz, hanem X+500 penz. tehat lenyegeben ugyanugy mi fizetjuk a kart :(

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Persze, csak itt is érvényes a verseny. Ha van egy weboldal, aki nem biztonságosan kezeli a vásárlásokat és a sok kamu vásárlás miatt sok büntit kell fizetnie, tehát X+500-ért kínálja a jegyeket, meg van egy másik weboldal, ahol ritka a visszaélés, nem kell sokszor visszatéríteni a jegyek árát, és ezért ezen az oldalon X+50 forint ugyanaz a jegy, akkor az emberek egy idő után átszoknak az olcsóbb oldalra.

A nemtörődöm oldal meg vagy csődbemegy, vagy összekapják magukat és megszüntetik a fals tranzakciókat, hogy újra versenyképes áron tudjanak jegyeket kínálni.

versenyképes áron tudjanak jegyeket kínálni

Hát ja, de egy eseményre általában egy helyen lehet jegyet venni, ergó nincs verseny.

Nekem nem ez a tapasztalatom, hanem az, hogy akár színház, akár koncertjegyet akarok venni, baromi sok helyen meg lehet rendelni online.

A legnagyobb gond nem is az árkülönbség, vagyis hogy lehet, hogy többet fizetsz érte, mint kéne, de láttam már olyan esetet, amikor nem ugyanazokat a jegyeket árusította két weboldal.

Az egyik oldalon csak vacak helyek voltak, cserébe olcsón, a másik oldalon voltak jobb, de drágább jegye is.

Persze, értem én, hogy meg kell célozni a célcsoportot, meg minden, de számomra ez kellemetlen, mert lehet, hogy szívesen kifizetném egy jobb hely árát, de azért ülök majd szar helyen, mert a weboldal csak az olcsó jegyeket kínálta.

Két eset lehet. Az eladó a hunyó, és ő nyúlta le és használta fel rosszul az adatokat. Ez esetben nem kár érte. A másik, hogy az eladó szimplán hülye, és nem foglalkozott a biztonsággal. Akkor pedig vagy rájön, hogy ez neki nem jó, és elkezdi, vagy nem, és akkor előbb-utóbb kimúlik.

Ha meg direkt webes kártyád van, amin csak akkor van pénz, amikor használni akarod, akkor végképp fölösleges bármilyen aggódás.
+1

--
zrubi.hu

Erosen meg lennek lepve, ha ez igy lenne, lasd PCI compliance.

A legtobb ilyen sajat oldalas formnal JS-sel aszinkron modon mennek a kartyaadatok a fizetesi szolgaltatonak, aki csak egy tokent ad vissza, amit el lehet kuldeni szerveroldalnak.

Pedig simán így van ez implementálva nagyon sok helyen. Főleg Ámerikában. (ahol egyébként még az is megszokott és normális, hogy egy kocsmában a pincér elviszi a kártyádat, és valahol hátul húzza le a számla ellenértékét)

A "webshopok" ezt egyébként kényelmi fícsörként "adják el" a userek felé, hogy legközelebb már nem kell megadnod a kártya adataidat, csak jóváhagynod a tranzakciót.
Sőt, rendszeres előfizetés esetén még csak jóvá sem kell hagyni, automatikusan levonják.

a PCI pedig pont azoknak szól, akik kártya adatokat kezelnek ;)
A "bad design" ellen nem véd, de a gyakorlatban kártya felhasználón sem sokat segít...

--
zrubi.hu

Azért egy valamire kíváncsi volnék. Ha egy webshop bekéri a kártyaadatokat, azt továbbítaniuk kell egy payment processornak (vagy mi a neve). Utóbbi esetében szinte biztos, hogy van compliance meg audit meg stb. Na és ők vajon auditálják-e, hogy az ügyfeleik - a random weboldalak - hogyan kezelik a kártyaadatokat, amit küldenek nekik? Szerintem illene, mert nekik is szívás, ha nem.

nyilván, ha kártyaadatokat kezelnek (amit csak úgy lehet megúszni, ha külső szolgáltatást építenek a webshop-ba), akkor kell PCI compliance. Ennek meglétét - feltételezem - érdeke ellenőrizni az üzleti partnereknek is...

De ettől még Te mint vásárló, ugyan úgy odaadtad egy harmadik félnek az adataidat - tehát megbítzál bennük annyira, hogy ezt megtedd.
Az, hogy az adatkezelő átment egy PCI auditon - engem személy szerint - biztosan nem nyugtat meg :D
(Legfőképp azért nem, mert láttam már közelről ilyen rendszereket is és PCI auditot is)

off:
a BKK "rendszerei" is biztosan el voltak/vannak látva mindenféle compliance pecséttel... aztán, látod. :D

--
zrubi.hu

Németeknél is simán email-ben kértek kártyaadatokat hotelszámlához. A fent említett magyar weblapnál sem lepne meg, ha a drágának hírlő magyar bankos szolgáltatás helyett külföldi payment processort használnának.

Normális megoldásként az ismétlődő fizetésekhez is csak egy tokent kapnak, amivel a következő fizetést indíthatják és a rákövetkező tokent megkapják.

pedig siman igy van. tobb ugyfelunk weboldala is olyan, hogy siman bekeri web formon az adatokat, majd a szerveren futtat valami cib banktol kapott binaris szutykot ami vegrehajtja a tranzakciot a parameterbe megkapott adatokkal. ami szepen be is kerul a logokba...

az otp-nel van a bank oldalara atiranyitos moka, az korrektebb szerintem, es implementalni is egyszerubb, nem kell a szreveren mokolni a php-bol execelt binarissal.

A'rpi

Az fura, mert előző munkahelyemen kellett CIB-es fizetést csinálnom, ott külső oldalra irányít át.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

A PCI compliance nem azt mondja, hogy nem tárolhatsz ilyet, hanem, hogy becsszóra biztonságosan tárolod.

Nem becsszó: auditálnak.

Aha. Auditálnak. Igen. Több ilyenben vettem részt, attól még ugyanugy plain textben tárolják az adatot a db-be és teljesen okésan megkapták a plecsnit.

Neveket!
--

Majd x évvel az adott munkaszerződésének megszünése után. Talán. De inkább akkor sem. Munkaszerződés, titoktartási meg ilyen apróságok is vannak a világon ugyanis...

Amit elkövettek az szimpla csalás (az auditor és a megrendelő ügyvezetője is nyugodtan mehetne böribe) és érzékeny adatok tudatos szándékos hanyag kezelése. A GDPR-biztosok erre harapnak legelőször. De te persze a kapitalista üzleti érdeket véded...
--

Legfeljebb "alapos gyanúja" cimkével illendő bármely btk-s tényállást melegetni addig, amíg bíróság jogerősen ki nem mondja, hogy adott cselekményt elkövették. Én nem védek senkit, csak olvastam már elég sok kritikus munkakörre vonatkozó munkaszerződést, speciális feladatok elvégzésére készített NDA-t, és bizony harmadik félnek (és ebbe akár az adott projektben részt nem vevő munkatárs is beletartozik) nulla információ adható, és nem csak a (munka)szerződés fennállása alatt, hanem annak megszüntét követő x éven belül is. Hatósági megkeresés, illetve hatóságok felé kötelező adatszolgáltatás természetesen kivétel.

Szerinted a "GDPR biztosok" azok mennyivel "jobbak" a PCI DSS auditoroknál?

elárulom:
Mindkettő csak egy profit orientált cég. Tehát egyetlen érdekük hogy pénzt szerezzenek. Mivel szereznek? Audittal. Namost, ha az audit tényleg komoly (lenne) ahhoz nagyon dárga mérnököket kéne fizetni, akik várhatóan kicsontoznák az ügyfelet, a vackaikkal együtt. Ez viszont egyik félnek sem "jó".

Mi van a gyakorlatban?
Alkalmaznak inkább olcsó munkaerőt, kevesebb szakmai, sokkal több soft skillel felvértezve. Az ügyféllel nem kötözködnek - de azért fetárnak egy-két "hibát" hogy legyen látszatja a munkának - így mindekettőjük jól jár. Az ügyfél kap pecsétet - anélkül hogy újra kéne tervezni az összetákolt szaraikat. Az auditor cég meg olcsó munkaerővel szakít igen nagy hasznot, minimális befektetéssel.

Szomorú, de ez a gyakorlat.

De persze ehhez nincsenek nevek, és mind csak az én őrült elmém szüleménye. A valósággal való minden egyezés a véletlen következménye lehet csak. Sőt, lehet csak álmodtam.

--
zrubi.hu

Ez a gyakorlat csak ideig-óráig működik. Aztán egyszer beüt a krach, és pl. sorban kétszer lezuhan az új repülő típus. És hosszabb távon mégiscsak ez a mindenkinek jó megoldás lesz az, ami mindenkinek rossz lesz...

:)
én lassan 20 éve az IT security területen dolgozom.

biztos több idő kell.. ;)

--
zrubi.hu

Mar miért? A PCI DSS nem konkrét technikai megoldásokat ír elő, hanem mrtodusokat, auditalasoka stb. Kockás füzetben vezetett megoldás is lehet PCI megfelelő, van ilyen szintje is.

"Több ilyenben vettem részt, attól még ugyanugy plain textben tárolják az adatot"

Hát akkor szégyelld magad :D

Én igy ezt nem akartam mondani, de valahol ez volt a lényeg. Mindig öröm olvasni, hogy megint kikerült 5-10-20 millió hitelkártyaszám, névvel, lakcimmel stb. és ez egyértelműen a szakma szégyene. Valóban, nem olyan közvetlen életveszély, mintha a szarul megtervezett Boeing szoftver miatt lezuhan a gép, és megdöglik 150-300 ember, vagy szoftverhiba miatt felrobban az atomerőmű és rákos lesz 1 millió ember. De attól még szégyennek szégyen.
--

Hogy is mondta Buffon...? "Le style est l' homme même"... Remélem, nem kerülsz olyan helyzetbe, hogy közvetlen hozzátartozód/ismerősöd "döglik meg" egy közlekedési - ide értve autót, hajót, repülőt - balesteben. Ha érted egyáltalán, mi a gondom a hozzászólásoddal...

Direkt irtam h. öröm és megdöglik x millió ember. Nyilván akik miatt ezek történtek, azokat nem itéled el, csak engem mert ezt a posztot leirtam ilyen sarkosan. Ha érted mire gondoltam.
--

Engem anno úgy neveltek, hogy emberről nem írunk olyat, hogy megdöglik.

Engem meg úgy neveltek, hogy nem adok ki olyan munkát a kezemből, amivel emberéletet veszélyeztetek.
--

Nem fejlesztettem meg soha webshoppot vagy barmi olyan feluletet, ahol fizetest kellett volna bonyolitani, de amit vazolsz az bizony valoban ijeszto es szerintem is security risk. Ettol fuggetlenul tobb nagyobb szolgaltato is maga kezeli a kartyaadatokat kozvetito beekelese nelkul (hirtelen peldakent a jatek kiadok jutnak eszembe, mint Steam, Blizzard, stb..)

A szamomra normalis oldalakon a fizetes egy tokenes atiranyitassal a szerzodott bank oldalan tortenik vagy valamilyen megbizhato kozvetito segitsegevel (Simple, PayPal, Barion, PayU, stb..).
Nem tudom, hogy kell-e/lehet-e ebbol balhet csinalni, mint Te is mondtad, nem ok az egyetlen precedens erre.

Ha akarsz vele foglalkozni, dobd vissza nekik, hogy ez bizony bad design es linkeld be a BKK Online berletes botrany cikket, mint pelda egy rossz implementaciora.
Amugy szerintem ez ilyen, de hatha jon valami feketeoves web guru es megmondja, hogy ez miert biztonsagos :)

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

Sok szolgáltató kínál az oldalba ágyazhatóan async JS fizetési modult, így nem kell elnavigálni az oldalról (jellemzően nem a bankok!). Itt UK-ben pl a Worldpay ad neked cdn-ről egy JS-t, meg egy 4 soros scriptet amit be kell rakni az oldaladba, amitől az oldalon belül megjelenik a fizetési form.
Bár hozzáteszem itt simán bemondják telefonba a kártyaszám/név/CVC kódot ha így rendelsz :)

Én nem tartok attól nagyon, hogy ellopják az adataimat.

Volt már olyan, hogy felhívott a kártya kibocsátó bank, hogy ilyen-olyan tranzakciót látnak. Én voltam? Nem. OK, akkor ezt most visszafordítják, a kártyámat letiltják, holnap megkapom az új kártyát.

Ha én veszem észre a tranzakciók között a kakuktojást, akkor annyi a különbség, hogy nekem kell telefonálnom először.

Ennyi... SMS értesítő legyen, aztán kész.

+1, tul van lihegve a tema

m.o.?

--
GPLv3-as hozzászólás.

gee valoszinuleg nem, de az ismerosi koromben tobbszor igen

talan az sem mindegy, melyik bankrol van eppen szo

A kártyát Angliában kapom meg postán másnap. Ha valahol járom a világot, akkor simán lehet sokkal hosszabb is az idő.

Amikor Brazíliában éltem, volt olyan, hogy egy haverom meglátogatott minket. Miközben beszélgettünk, jött az SMS a telefonjára, hogy Miamiban (ott volt, mielőtt hozzánk jött), éppen fizetett a kártyájával. Fogta a telefonját, felhívta a magyarországi bankját, szólt, hogy a kártya itt van a kezében, nem pedig ott. Tranzakciót visszafordították, kártyát letiltották. Nem tudom, mikor kapta meg a cserekártyát.

Fincsi lehet braziliában lenni egy letiltott magyar bankkártyával. :)

Senki nem megy Braziliába egy szál bankkártyával... egy kártya nem kártya, egy bank nem bank, egy bankkártya társaság nem bankkártya társaság. Rendes informatikus redundáns rendszereket használ :D

Igen hát ez nekem is így volt egyszer. Ellopták a kártyaadataimat és lenyúltak 8 ezret. A bank egyből hívott is, hogy én voltam-e, mert gyanús a tranzakció, mondtam, hogy nem, mondták, hogy akkor vissza az egész és küldik az új kártyát. A jövő havi kivonaton láttam, hogy 5000 volt a letiltás és 5000 az újragyártás...

Hogy is szokták mondani, hogy választani tudni kell?

Nekem pl. 0 volt a letiltás is és az új kártya küldése is. Ugyanúgy 0, mint az éves díj.
Beszedi a bank a saját profitját a kártyahasználati díjakból meg a kamatból azoktól a felhasználóktól, akik nem állítottak be beszedési megbízást és elfelejtettek időben fizetni.
Én valahogy nem hiszem, hogy egy letiltásért 5000 forint reális ár lenne.

Ez igaz, bevallom nem böngésztem át a kondíciós listát sajnos. A vállalkozói számlámhoz adták “ingyen” ezt a másik számlát, de mint kiderült azért vannak rejtett költségek.

Pedig Magyarorszagon, dombornyomott kartyaval kb realis, meg csak nem is kifejezetten draga.

+1
Nekem 14k volt a letiltás + új kártya (dombornyomott MasterCard Standard).

Megnéztem a hirdetményt:
magyar debitkártyám letiltási díja: 0
magyar debitkártyám ujragyártási díja: 0
éves kártyadíj: 0
számlavezetési díj (ha elég összeg érkezik a számlára a hónapban): 0

magyar hitelkártya letiltási díja: 0
magyar hitelkártya újragyártási díja: 0
hitelkártyám éves díja: 19 231 Ft

Citibanktól Erste által átvett bankszámla és hitelkártya.

> hitelkártyám éves díja: 19 231 Ft

itt valami eliras lesz, nem? :D

hat nekem meg 25000-ert akartak adni valami gold lofaxt, mondtam koszi nem kerem

Nem.

Nem a legolcsóbb hitelkártyát választottam. Amikor én igényeltem, ezüst és arany közül lehetett választani. Én az aranyat kértem, a lényegesen magasabb hitelkeret, és a hozzá tartozó utazási biztosítás miatt. Hitelkártya nélkül többet kifizettem korábban biztosításra.

Azóta lefolyt egy kevés víz a dunán, most már nem aranyszínű a kártyám, hanem fehér. Jelenleg már nincs semmi látható előnye azokhoz a kártyákhoz képest, amik úgy lettek fehérek, hogy korábban valami más színük volt. Minden fehér kártya ugyanazt adja, de az éves díj attól függ, hogy korábban milyen színű volt. Ez mondjuk elég nagy hülyeség :-D
Az imént, amikor megnéztem a hirdetményt, úgy tűnt, hogy valami 6-7 ezer forint éves díjért kapják ugyanezt a szolgáltatáscsomagot azok, akik korábban valami olcsóbb kártyát választottak.

Most, hogy ezt láttam, lehet hogy utánanézek majd, meg lehet-e ezt változtatni... de lehet, hogy túl lusta leszek hozzá. Évi 12 ezer forint nem olyan óriási különbség, hogy túl sokat vacakoljak vele, és arra számítok, hogy vacakolós lesz.

Érdekes adalék: volt egy projektünk, amikor egy magyar szolgáltatónak a számlázórendszerét néztük át. Több dologra panaszkodtak, többek között lassúnak találták. Miután átnéztük, kiderült, hogy van mondjuk 200 különböző tarifacsomag a rendszerben, és ez volt az egyik oka, hogy soká tartott a számlázás. Javasoltuk nekik, hogy a régi tarifacsomagokat szüntessék meg, tereljék át a csomagonkénti 3-10 előfizetőt a jelenleg éppen árusított csomagokra, és akkor majd a rendszer felgyorsul.
Erre felhördültek, hogy azt nem lehet, mert a (hasamra ütök) 150 legrégebbi csomag összesen 500 előfizetője havonta 3,5 millióval több pénzt fizet be, mintha valamelyik jelenleg élő csomag előfizetői lennének.
Szóval a cég inkább lehúzta ezeket a "hülyéket", és elviselte, hogy lassú a rendszere.

Na, az Erste bank számára én vagyok az egyik ilyen hülye, aki évente kifizet nekik 19 231 forintot. Nekem megéri, mert így, hogy nem Magyarországon élek, nincs magyarországi jövedelmem, nem hiszem, hogy találnék másik bankot, aki megszavaz nekem két milliós hitelkeretet ha egyáltalán ad hitelkártyát.

Minden bank durván lehúz valahogy. Ebből élnek.

Mi - mint ügyfelek - meg vagy váltunk évente, fejest ugorva a bürokrácia legmélyebb bugyraiba, vagy beletörődünk hogy durván lehúznak. Nyilván mérlegelni kell kinek mi éri meg. Nekem pl sem kedvem, sem időm nincs hogy ilyenekkel szarakodjak.

Személy szerint az összes bankot rühellem. De egy kötelező rossz (a sok közül) az életemben.

Most mondjuk pont a revolut ami felkeltette az érdeklődésemet, de nem tudom megérné-e (teljesen) átnyergelni hozzájuk.

--
zrubi.hu

Szóval a bank is profitorientált, nem csak az IT cégek. Fuj.

nem az a baj ha profitorientált egy cég

hanem a módszerek

En ezen egyaltalan nem ragodom. A jogosulatlan kartyahasznalatbol eredo karokat a bank megteriti. Persze, ez nem jelenti azt, hogy minden otvar webshopba el kell menteni a kartya adatokat, de en pl rabiztam a sajat es a ceges kartyat is az amazonra. A franc se akarja potyogtetni minden alkalommal a kartyaszamot.

Magyarorszagon a paypass elterjedeseig az volt a gyakorlat, hogy ha kartyaval fizetett az ember, akkor azt odaadta a kasszasneninek es o kezelte a terminalt. En ezt peldaul sokkal nagyob biztonsagi kockazatnak tartom. A penztaros semmifele banki auditon nem ment at, pedig hozaferese volt az osszes kartyaadathoz.
Ha egy webshop viszont ket resztvevos fizetesi megoldast akar uzemeltetni, annak vannak banki feltetelei is.

http://sajat-webaruhaz-nyitas.hu/blog/view/bankkartyas_fizetes_a_webaruhazamban_otp_bank-117

Az ősi módszert javaslom:
- ha nem tűnik biztonságosnak a fizetés: NE fizess bankkártyával (és nyiss a HUP-on azért egy témát, ki tudja)
- ha azt gondolod, biztonságos, akkor akár fizethetsz is bankkártyával (ebben az esetben is nyithatsz, csak kevesebb hozzászólás lesz)

Minden más esetre ott a készpénz! :-)

Sakk-matt,
KaTT :)

> nem tűnik biztonságosnak
> azt gondolod, biztonságos

^ this is what people actually believe

Hali!

Hasi-tasi nem kér kódot... :-D

Üdv:
Feri

Mindenki nyugodjon le a ‘csába :)

Ahhoz, hogy kártyaadatokat kezelhess, PCI DSS compliant-nak kell lenned. Ez nem egy egyszerű audit, a legtöbb cég fél tőle, mint a tűztől (én egyet végigcsináltam, annyira szerintem nem vészes mint beállítják, de tényleg nem egyszerű).

Addig ezekből az adatokból pénzt magadnak nem igazán tudsz előállítani, hacsak meg nem adod a revolutnak mint saját bankkártya vagy nem fizetsz vele az amazonon stb.

Ahhoz, hogy egy bank átvegye ezt az adatot, és pénzt csináljon a kedvedért a számládra, ennek kell megfelelni, vagy az első csalásnál nem csak a weboldal, de a bank is megy a levesbe a mastercardnál. Márpedig olyan bank ami nem kezel mastercardot, az elég nagy hátránnyal indul a webshopoknál.

Trükkös gyerekek persze mindig vannak, de a PCI DSS compliance logot keressétek mint a https lakatát..

A PCI compliance hogy védi ki hogy az ottani rendszergazda/fejlesztő kitrace-lje az adataim magának és eladja pénzért?

Ez reszben HR issue es csak masodreszben IT. IT vonalon tudjak titkositva tarolni es csak adott esetben dekoldolni es kuldeni a banknak. Nyilvan lesz mindig aki ismeri a lehetoseget, meg trace-elhet, de ennyi erovel kizarolag boltban es kp-vel tudod intezni a vasarlasokat.

És az Amazon "rendszergazdája"? Vagy a PayPal-é?

Sot, a banke is. Azert azt ne felejtsuk el, hogy ezek a cegek altalaban a fizetesi rendszerre es annak mukodesere epitik a puszta letezesuket, feltehetoen jobban biztositott a korrekt, szabalyozasnak megfelelo mukodes, mint a pirosgombkaphato.hu webshop eseten.

azokban jobban megbízok mint a pár fős IT-vel üzemelő pici cégekben

Ők a legritkább esetben csinálnak végig egy PCI-DSS auditot, de ha mégis, akkor egyszerűen nem fizetsz náluk kártyával.

szerintem leszarjak. tobb olyan oldalt is tudok ahol 1000% hogy nem volt audit, raadasul elegge osszekokanyolt az egesz, megis lehet rajtuk kartyaval fizetni, es nem a bankra atiranyitos hanem a webformon adatbekeros modon.
sot olyan is volt, ami egy kulso hosting cegnel futott es onnan http get-ben (!) kuldte el a ceg belso szerverere az adatokat a form... es amikor ezt lattam a logokban es megemlitettem a fejlesztonek, nem ertette mi a problemam...

de amugy muti hol van pl. a dijnet.hu oldalon a PCI DSS compliance?
azt gondolnam, hogy ekkora cegnel talan foglalkoztak vele, de nem ugy tunik

díjneten nem fizetsz közvetlenül ha jól tudom.
átutalsz nekik, ők egy pár napig forgatják a pénzt, aztán határnapon átutalják a szolgáltatónak.
igaz, ettől még lehetnének compilance-ok.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

en upc-nel akartam volna kartyaval szamlat fizetni: https://www.upc.hu/ugyfelszolgalat/szamlazas/bankkartyas-fizetes/

ez login utan szepen atdob a dijnet domainjen futo bankkartya adatokat bekero form-ra.

akkor már van ilyen szolgáltatásuk is :)

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

Díjnet OTP-s fizetésre irányít át.

Rendes bank olyan virtuális kártyát ad, amit egész pontosan egyetlen egyszer lehet fizetésre használni, utána meg eltűnik: https://blog.revolut.com/introducing-disposable-virtual-cards

De ha rendes bankoknál maradunk, a revolut minden egyes tranzakcióról értesít app notif-ban, nem sms-ben, ingyen. És messze köröket ver egyébként a nagy bankok biztonsági lehetőségeire.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

1/A) Ilyen helyen nem vasarolunk.
1/B) Ilyen helyen csak virtualis kartyaval vasarolunk, amire pont akkor es annyi penzt rakunk, amennyi szukseges.

En is fejlesztettem ezer eve ilyen rendszert (ekicrypt), mindig bank feluletre kell iranyitani. Barki elhiszi, hogy teljesiteni tudja egy atlagos magyar webshop a bankkartya adatok kezelesere szolgalo szabalyokat? Barki elhiszi, hogy biztonsagban lesznek az adatok egy ilyen webshopnal?

Voltam karosult (Visa debit), a bank huzta a szajat es azt allitotta, hogy csak hozza fordulhatsz, direkten a Visahoz nem. A magyar bankokat pedig ismerjuk.. Vegul BBB-vel valo fenyegetes utan visszakaptam a penzem.

+1

Sokan emlegettek ezt a PCI DSS megfeleloseget. Ugyanezzel reklamozza magat a Telekom is. Most mar csak az a kerdes, hogy az audit olyan volt -e, mint a BKK eseten?
De pl. ott van a Wikipedia is, ahol ugyszint hazon belul intezik az adomanyozast; errol mindossze ennyit lathatunk: " A BANKKÁRTYA-ADATAIDAT BIZTONSÁGOSAN KEZELJÜK."
Vagy ott vannak azok az oldalak, ahol pl. az Unicredit scam-emailek szovegezeset meghazudtolo csodajat hasznaljak.
Virtualis kartya mindenhol :)

Ez alapjan a thread alapjan most elgondolkozik az ember, hogy elo merjen -e fizetni ;)

Nem olvastam a kommenteket, de gránit bank kártyáit lehet mobil approl ingyenesen zárni. Úgy is hogy automatikusan lezárja magát, nyitás után x perc elteltével.

Fizikai kartyat automatikusan letiltani, majd aktivalni? Jol hangzik, dijaznam.
Sot: mar azt is, ha megkovetelnek mindenhol a VbV/MSC hasznalatat.

Jól működik, de ha zárva akkor csak netbankon vagy mobilon keresztül tudod aktíválni.
Nekem nem okoz gondot, sőt amúgy is mobillal fizetek ahol lehet.

pont ezert nem fizetek az upc-nel kartyaval, mert atiranyit a dijnet sajat webes formjara, es ott kene cvc-ig bezarolag megadni mindent...

amugy ezen az oldalon sincs PCI compliance vagy mi logo, csak a szokasos VISA stb.

a dijnet nalam bevan kotve az erstes netbankba, egy kulon menupont alatt latom a fizetendo szamlakat, es akkor "utalom" amikor nekem jol esik. (es megneztem hogy nem akarnak-e kummantani valami extra dijat)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A díjnet az OTP oldalra irányít, illetve az OTP-nél lehet talán menteni/regisztrálni a kártyát.

Szerintem ott a probléma, hogy bárki azt hiszi, hogy "a bankkártya" alapból biztonságos. Szerintem kevésbé az, mint pl. a pénztárca. Persze ettől még lehet jól használni.

NFC-vel meg jo is lehetne, csak azzal nehez neten fizetni... pedig meg lehetne oldani, ha pl. okostelefonnal nfc-n huzna le a webshop a kartyat

de olyan mint a windows, a kompatibilitas miatt a 30 eves techniologiakat is (dombornyomas, magnescsik) el kell fogadni... nem olyan reg meg voltam olyan szallodaban ahol mechanikusan huztak le a kartyat azaz a dombornyomast masoltak ra indigos papirra...

nem olyan reg meg voltam olyan szallodaban ahol mechanikusan huztak le a kartyat azaz a dombornyomast masoltak ra indigos papirra

Ilyen eddig velem idehaza még nem történt, csak kivétel nélkül a fejlett ángliában v. más külföldi országokban.

A bunq(.com) bank egyik altalam hasznalt feature-je segithetne: csinalj egy virtualis Mastercard kartyat, tegyel ra pont annyi penzt, amennyibe kerul a jegy, fizetes utan torold a kartyat, vagy valtoztasd meg a cvc kodot.

a CVC "kód" az nem csak egy sima checksum a kártyaszám+lejárati időre, azaz nem változtatgatható szabadon, különben az offline (azaz helyben történő megadáskori, még bármilyen elindított tranzakciót megelőző) ellenőrzésen azonnal kibukik?
--

Nem valaszthato szabadon, de szabadon generalhato a mobil app-bol.

Fantasztikus korban élünk :)
--

hat sok ertelme nem lenne ha az csak egy checksum lenne...

Revolut ezt alapból tudja. Minden egyes vásárlás után automatikusan megváltozik a kártyaszámod.

Havi 8 euróért. Ez kb. duplája az összes magáncélú havi banki költségemnek. (Igaz, ha a hitelkártya-visszatérítést is beleszámolom, akkor ingyé' bankolok.)

Igen, bunq-ban kapcsolhato, manualisan cserelheto vagy automatikusan 5 percenkent. Szinten havi kb 8 euroert. Nem olcso.

Ha a webshop atiranyit valamelyik "payment processor" ceg oldalara az sem mindig teljesen biztonsagos...

https://www.riskiq.com/blog/labs/magecart-british-airways-breach/

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

uhh köszi szépen, ez jó volt

Virtuális kártyám van, neten csak azt használom, csak annyit tudnak leszedni, amennyit elōtte webbankon rátettem vásárlás előtt.