Visa kártya adatok elmentés engedély nélkül

Security-all

Azt tapasztaltam, hogy befizettem egy számlát, majd a következő számlabefizetésnél, felajánlotta úgy a bankkártya adataimat, hogy nem kértem elmentést. Ráklikkeltem és minden egyéb adatot mellőzve, simán befizette a régi kártyaadatok alapján, amit ezek szerint elmentett, hiszen a bankom nem fogadná el a számlabefizetési kérelmet, ha nincs meg minden adat erre. Tudtommal a bankban sem állítottam be ehhez a szolgáltatóhoz automatikus fizetést. Azt megérteném, ha annyit elmentene, hogy mi a számlaszámom, de hogy minden egyéb érvényestő adatot is eltárol, az nekem fura nagyon. Ez megfelel minden jogszabálynak?

  • 754 megtekintés

( djtacee | 2025. 09. 07., v – 14:35 )

Szerkesztve: 2025. 09. 07., v – 14:37

simán befizette a régi kártyaadatok alapján, amit ezek szerint elmentett, hiszen a bankom nem fogadná el a számlabefizetési kérelmet, ha nincs meg minden adat erre

Ez nem így van. Javaslom ismerkedj meg ezzel a fogalommal: Payment tokenization

Bank card transaction tokens are unique, randomized identifiers that replace a customer's actual credit or debit card number for future payments, enhancing security by preventing the real card details from being used or stored by merchants. This process, called payment tokenization, allows merchants to process recurring payments and refunds without exposing sensitive data, maintaining PCI compliance and reducing the risk of data breaches.

Köszönöm szépen, végigolvastam. Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról, hiszen ha jól értelmeztem, a szolgáltató ugyan nem tárol érzékeny adatokat, viszont elég csak azt elküldenie amit én is megtettem. Tehát elég leszimulálnia azt, ahogyan én is klikkeltem az egyébként "védett" kártyás fizetési opcióra és létrejöhet a kifizetés a tudtom nélkül is?

"https://hunvagyok.hu "

Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról, hiszen ha jól értelmeztem, a szolgáltató ugyan nem tárol érzékeny adatokat, viszont elég csak azt elküldenie amit én is megtettem. Tehát elég leszimulálnia azt, ahogyan én is klikkeltem az egyébként "védett" kártyás fizetési opcióra és létrejöhet a kifizetés a tudtom nélkül is?

Az, hogy a panaszodra a bank elveszi ezt a jogosultságát és kurva nagy büntetést kell fizetnie. Amúgy ez nem több annál, mint a csoportos beszedés, ott is jogot adsz szolgáltatónak, hogy adott gyakorisággal, adott összeghatárig pénz tudjon leemelni a számládról, mert neked az kényelmes.

https://iotguru.cloud

Az első ilyen után annál a kereskedőnél csak egyszerhasználatos kártya. S pont ezért nincs egy csoportos beszedésem se.  Ha valakiben, akkor a szolgáltatóban nem bízok meg. Persze másban se. Nem akarok panaszkodni, jobb megelőzni a bajt, mint utána panaszkodni. Nyilván ezt a bankkártya szolgáltatók nem a vevők, hanem az eladók kérésére fejlesztette. Hisz könnyebben vásárol a paraszt, ha nem kell kitöltenie a bankkártya adatokat. Az impulzus vásárlásokból sokszor nem lesz semmi, ha a pötyögésközben gondolkozik az áldozat. Ezt a lehetőséget ki kellett zárni.

Mert neked az kényelmes, ahogy a kukik is a felhasználói élmény miatt vannak ugye.

lehet limitet rakni. nalam az atlagos havi koltseg +150% (azert ennyi hogyha egyszerre ket honapot akarnak beszedni, akkor ne akadjon fenn + egy kis tartalek). evek ota megy, gond nelkul. raadasul csopbesz nem is egybol vonodik: egyszercsak megjelenik a keres, egy het mulva meg levonjak, aztan boven van ido elutasitani ha nemtetszik.

persze aki szeret kezzel csinalni mindent, annak hajra! :D

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Van. Az appban ingyenesen tudok virtuális kártyát létrehozni, egyszeri vagy többszöri lehetőséggel(választható időtartamra), meg tudok adni neki limitet. Ezt (limit) pl. a Wise-ommal nem tudom megtenni.

Szerk: most néztem: már tudok a wise-on is. Pár éve - mikor csináltam accountot- még nem volt.

Szerintem nem csak azzal kell törődni, hogy hogy jön be -minél több- pénz, hanem azzal is, hogy hogy megy ki. Szeretem lecsekkolni a számlákat. Volt már tévedés, s volt már olyan is, hogy épp másra kellett utalnom(tartalékolnom), s jött egy meglepi összegű, de jogos számla, s így mivel nálam volt a döntés, nem jelentett gondot. Amúgy mivel havi szinten 3 db közüzemem van, ami így 3 db díjnetes(app) bankkártyás fizetést jelent. Szóval havi 3x max. 2 perc.

Nekem egyszerű szabályom van: ami mért, azt én fizetem be manuálisan, ami állandó összegű előfizetés/általánydíj, az mehet automatán.

Pl internet, tévé, fűtés, biztosítás, akármi ezek mehetnek automatán, áram, gáz, víz, telefon, stb azokat meg fizetem én.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Pontosan a csoportos beszedést képzeltem én is bele, meg is néztem a bankban, vannak-e engedélyezett beszedési opciók, minden üres. Akkor ha jól értettem, jelezzem a banknak, hogy ne fogadjanak onnan fizetési kérést? Ha igen, hogyan fogok a jövőben fizetni? Vagy a szolgáltatónak jelezzem, hogy inkább kitöltöm ezentúl, minthogy memorizálják?

"https://hunvagyok.hu "

jogot adsz szolgáltatónak, hogy adott gyakorisággal, adott összeghatárig

 Jellemzően közszolgáltatóknál szokott előfordulni.

Nem szokásuk csalni, legfeljebb adminisztrációs hiba fordulhat elő, az is csak összeghatárig.
Sokkal gyakoribb eset, hogy nem tudja levenni a következő havi díjat mert az megemelkedett. 

A kártyás fizetés pedig összeghatár nélküli ha nem állítottál be külön napi limitet, ami viszont minden kártyás fizetést érint, tehát magadat is korlátozod. 
Random webshopoknál is előfordul az ilyen kártyás fizetés, ahol a megbízhatóság sokkal alacsonyabb szinten áll. A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza. Ha szerencséd van a bank kárpótol. De ez a összegtől is függ. 

Az egyetlen biztos megoldás az egyszer használható bankkártya, ami fizetés után megsemmisül és fizetni már nem lehet vele, de visszautalást még fogad. Többek között ezért érdemes Revolutot használni. 

“Az ellenség keze betette a lábát”

Köszönöm szépen a választ. Erre tartom a paypalt, de ezt a lehetőséget nem ajánlja fel a szolgáltató, pedig már egészen sok helyen opció. Mondjuk eddig egyetlen közmű sem adott paypal lehetőséget, de más havi szinten szolgáltató, mint mondjuk a T-home sem.

"https://hunvagyok.hu "

Ezért is használok helyette Revolutot amióta van. Ott hagyományos bankkártyák vannak, amikkel beágyazottságuk miatt mindenhol lehet fizetni. Az önmegsemmisülő kártyákat nem fogadja el minden kereskedő. Ha egy ismeretlen webshopnál történik ilyen, akkor nem vásárolok náluk. Nagy cégnél, például Google a virtuális állandó kártyát használom, amit be lehet fagyasztani ha éppen nem használom. 

Továbbá mindig csak annyi pénzt tartok Revoluton ami kell. Tény, hogy Revolutot is lehet bután használni, mint ahogy tette az a "nagy" pénzügyi szakember, aki megadott egyenleg alatt automatikus feltöltésre állította a Revolut számláját. Infóbiztonságban egy balfácán volt, akiről a hwsw cikket is írt. Szóval a Revolut is csak akkor ad biztonságot, ha ésszel használjuk. 

“Az ellenség keze betette a lábát”

Mi garantálja azt, hogy a szolgáltató nem fog többszörösen is bekérni fizetést a számlámról

Véleményem szerint semmi. Az egész kártyás fizetés bizalmi alapon működik. Pull, nem push. Olyan, mint a csoportos beszedési megbízás, csak éppen mindenkinek van ilyen "megbízása", aki valaha is megismeri a kártyaadataidat.

Az SCA (pl. 3-D Secure) sem téged véd (közvetlenül) a nevedben történő hamis fizetéstől, hanem a kereskedőt védi. Attól védi a kereskedőt, hogy te le tudd tagani a fizetési szándékot / személyes jóváhagyást. Ami téged véd az SCA-ban (közvetve), az az, hogy a kereskedő nem akar olyan helyzetbe kerülni, ahol sok vásárló panaszt tesz a nem általuk kezdeményezett fizetés miatt. (A Wise-nál mondjuk már van olyan megkötésre lehetőség a Card Controls-ban, hogy SCA nélküli fizetési kérelmeket azonnal elutasítson; az már a fizető felet is védi közvetlenül, ha jól értem.)

Mindenesetre az nem derült ki számomra, hogy a token tárolása és kiszivárgása ugyan miért lenne kisebb probléma, mint az eredeti kártyaszám kiszivárgása. Ha megnézed a diagramot itt:

https://en.wikipedia.org/wiki/Tokenization_(data_security)

akkor látszik, hogy egy ismétlődő fizetésre használt token ismétlődően egyenértékűen használható -- legalábbis ugyanabban a kontextusban -- az eredeti káryaszámmal. Az ellopott vagy kiszivárgott tokent a tokenszolgáltató ugyanúgy fel fogja oldani később is.

Hosszas keresgéléssel találtam egy cikket, amely egy kicsivel jobban részletekbe megy:

https://www.clearlypayments.com/blog/network-tokenization-vs-pci-tokeni…

Enhanced Security: Since the token is unique to each transaction and merchant, even if it gets stolen, it can’t be reused elsewhere.

Ez nyilván nem pontos; nem lehet pontos. Az rendben van, hogy ha a tokent korlátozzuk egy adott kereskedőre, akkor az ellopott / kiszivárgott tokennel történő visszaélés lehetőségét csökkentjük: máshol nem lehet azzal fizetni. Onnantól kezdve viszont, hogy a token csak egyetlen tranzakcióra jó, már nem lehet ismétlődő fizetésre (= előfizetésre) használni. Tehát én azt állítom, hogy ismétlődő fizetésre használt tokennel igenis vissza lehet élni, ha ellopják / kiszivárog. Nem teljesen általánosan, de az adott kontextusban semmi sem akadályoz meg egy "replay attack"-ot.

Nagyon szépen köszönöm, elolvastam az utolsó linken lévő dolgot. Azt értem, hogy ellopott adatok esetén nem lehet visszafejteni a token által elrejtett adatokat ami a kártyáinkkal kapcsolatos.

"Például, ha cipőt vásárolsz egy online áruházból, a kártyaszolgáltató hálózat kicseréli a hitelkártyaszámodat egy tokennel. Ezt a tokent használják ezután a tranzakcióhoz, így a kereskedő soha nem látja a tényleges kártyaszámodat."

Na ez ami nekem fura, hiszen amikor a szolgáltató weboldalán fizetnék, felkínálja a már előzőleg megadott kártyaszámomat, ami igaz hogy csak az utolsó 4 számjegyet mutatja felém, így lehet mégsem látja a teljes kártyaszámot? Vagy erre írtad, hogy bizalmi alapon kell működjön a kártyás fizetés, mert ugyan a szolgáltató is "rákattinthat" arra, ahol én is jelzem, hogy indulhat a fizetés az előző kártya adataival, de mégsem kellene ezt feltételezzük? Olyan nem lehetőség, hogy semmit sem ment el a felhasználó kérésére, aki inkább minden alkalommal beírja az adatokat?

"https://hunvagyok.hu "

amikor a szolgáltató weboldalán fizetnék, felkínálja a már előzőleg megadott kártyaszámomat, ami igaz hogy csak az utolsó 4 számjegyet mutatja felém, így lehet mégsem látja a teljes kártyaszámot

Nem kellene ferdíteni. Ha neked csak négy számjegyet mutat, miből gondolod hogy mindet tárolja? A helyzet az, hogy nem tárolja a kártyaszámodat, nem teheti meg a beleegyezésed nélkül. Az utolsó négy számjegyet pedig nem tilos tárolni.

(Komolyan, ilyet felnőtt embernek magyarázni kell? Meddig süllyedünk még?)

Akkor ha nekem csak az utolsó 4 számjegyet mutatja csak, hogyan mehet tovább a fizetési folyamat anélkül, hogy én egyetlen karaktert is írnék a fizetési klikkelés után? Ha sehol-senki sem tárol el semmit sem, miért fog mégis fizetni a bankom a szolgáltatónak?

"https://hunvagyok.hu "

Upsz, ezen átsiklottam, vagy ezt nem értettem ki belőle. Akkor hogy nekem is tiszta-e. Az első fizetés alkalmával a bankom megjegyezte a szolgáltató adatait, amit tokennel jelölt meg, így bármikor lehet használni ezt úgy, hogy csak a bank látja a kártyaadatokat.

Amennyiben ez így van, még mindig úgy érzem, hogy hiába nem látja a szolgáltató a kártyaadatokat, ám ő is klikkelhet arra, hogy induljon el a fizetés, akár többször is, hiszen csak egy klikk és készen is van így a fizetés még akkor is, ha továbbra sem lát fontos adatokat a szolgáltató. Hol vagyok vakon ebben?

"https://hunvagyok.hu "

Szerintem jól látod. A kereskedőnek megvan a kártyád utolsó 4 számjegye (amivel fizetést nem indíthat, csak neked jelzi a felületen, hogy "ez volt az, amivel korábban fizettél -- ez volt az, amiből első alkalommal tokent generáltattam"), plusz megvan neki a nevezett token, amely az első fizetésnél előállt. És ha az a token olyan, hogy kereskedőhöz kötött ugyan, viszont többszöri fizetést (pl. előfizetés havi díjának terhelését) engedélyezi, akkor bizony a kereskedő technikailag a megkérdezésed nélkül többször is terhelhet vele.

Köszönöm szépen. Majd jól kitalálom, hogy hogyan "szabaduljak" meg ettől az automata fizetési lehetőségtől, a következő fizetésnél már kipróbálok valami mást, jelzem mire jutottam.

Miért akarsz ettől megszabadulni, ha amúgy közel 0 visszaélés történik ezzel a megoldással?

https://iotguru.cloud

Mert csak közel 0 és nem 0.

Ez mindennel így van, gondolom autóba se ülsz és utcára se mész, mert nem 0 az, hogy egy balesetben meghalsz. Na, a téves leemelések aránya sokkal kisebb, mint a halálos közlekedési balesetek száma aránya.

És az egésznek a működése nem az Ő érdeke, hanem az eladóé(és a kártyaszolgáltatóé).

WTF? Ez egy totálisan önkéntesen választott szolgáltatás az ügyfelek részéről, akik ezt igénylik, senki nem kényszeríti rá őket, hogy használják.

https://iotguru.cloud

önkéntesen választott szolgáltatás az ügyfelek részéről,

Ha ez így lenne, nem született volna meg kikepzo topikja. Mert, ha elolvasod, nem az automata vásárlásról szól, hanem az automata kártyaadat kitöltésről, azaz csak 1db klikk legyen a vásárlás. Ez nem önkéntes. 

2. az autós hasonlat tisztán és szándékoltan hamis. Ha közlekedsz, az neked is jó, a tokenezett bankkártya adatok meg csak az impulzus vásárlást segítik, magyarul a kártyás céget meg az eladót. (Ha minden rendben működik, ha nem, akkor a zsiványt is.). Tehát kockáztassak akármilyen kis esélyű téves leemelés miatti vesztességet*, mert a kártyaszolgáltató kitalálta milyen jó is lesz ez, és  még kimutatásokat is végzett hány %-al növekszik a várható vásárlások száma, ha ezt beépítik a rendszerbe.

Ha minden esetben be kell írnod a bankkártya adatokat, az téged véd, hogy még véletlenül se vegyél olyat, amit nem akarsz. No, és ez az amit nem akar az eladó. De a kártyaszolgáltató se, hisz ő is a forgalomból él.

Így nem értem a haszon/kockázat alapján miért is jó ez nekem, vagy a kiképzőnek. Ha közlekedek, akkor meg igen.

Tehát maradok a már említett megoldásnál, ahol ilyet tapasztalok, azonnal átírom a kártyaszámot, egy egyszerhasználatos kártyáéra. Azt tokenezheti, ha akarja.

*  Ahogy jevgenyij leírta, " A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza."

@Franko: Itt már nem tényekről hanem érzelmekről van szó. Érzelmekkel pedig nem vitatkozunk.

@Bdede: az autós hasonlatot azzal egészíteném ki, hogy kismotorral nem mész fel az autópályára. Nem csak azért mert nem szabad, hanem azért is mert nem akarsz meghalni. 

Nagyon sokan savazzák a hitelkártyát is hogy az micsoda dolog már. Egész addig amíg egyszer autót kell bérelniük külföldön és mondjuk blokkolnak 1000 EUR-t a kártyájukon. Másodszor akkor amikor egy indokolatlan terhelés befut: a hitelkártya tulajdonosnak ekkor annyi dolga van a bankja felé, hogy "fuck, no". Pénzét visszakapja, a bank és a kereskedő dolga az ügyet lefocizni.

zászló, zászló, szív

Ha ez így lenne, nem született volna meg kikepzo topikja. Mert, ha elolvasod, nem az automata vásárlásról szól, hanem az automata kártyaadat kitöltésről, azaz csak 1db klikk legyen a vásárlás. Ez nem önkéntes. 

Szinte 100 százalékig biztos vagyok benne, hogy kikepzo hibázott és választott olyan fizetési módszert, aminél az ismétlődő vásárlást engedélyezte és/vagy a kártyaadatok letárolását engedélyezte. Ráadásul az automatikus kitöltés se kötelező, ha nem állítod be, nem történik meg.

 Ha közlekedsz, az neked is jó, a tokenezett bankkártya adatok meg csak az impulzus vásárlást segítik, magyarul a kártyás céget meg az eladót.

A tokenezett bankkártya adatok tipikus felhasználási célja az ismétlődő vásárlások kezelése. Pont olyan, mint a közlekedés: ha már kell, mert van ismétlődő vásárlásom, akkor már ne kelljen minden hónapban szopnom. De választhatom, hogy szopok minden egyes közüzemi számlámmal minden egyes hónapban. 100 százalékban az én döntésem.

mert a kártyaszolgáltató kitalálta milyen jó is lesz ez, és  még kimutatásokat is végzett hány %-al növekszik a várható vásárlások száma, ha ezt beépítik a rendszerbe.

Kurvára nem erre van, de úgy látom, hogy nem tudod megugrani ezt az mentális blokkot.

A bank elveszi a jogosultságot és büntetést szab ki egy bedőlésre tervezett cégnél amit ha csalásra hoztak létre direkt addigra már üres a kassza.

Oké, és egyrészt hány ilyen történt? Másrészt mennyi esetben nem térítette vissza a bank a pénzt? Fingreszelés.

https://iotguru.cloud

Meglepetés: ha tényleg autorizáltad az ismétlődő fizetést akkor következő fizetéskor _nem_fog_kérdezni_ hanem levonja, hiszen "ezt akartad" és erről neki logja is van! Ha meggondolod magad és mégse akarod akkor bemész az accountba és törlöd a fizetési módot (kártyaadatokat).

zászló, zászló, szív

( denton | 2025. 09. 07., v – 17:14 )

Hol, melyik online helyen? Biztos vagyok benne, hogy felajánlotta a mentést és nem figyeltél csak elfogadtad.

Igazad van, sok esetben lehet menteni, viszont nagyon figyelek arra, hogy ne pipáljak ki sem csoportos beszedést, sem havi ismétlés, se kártyamentést. Csak ez az egyetlen szolgáltató, ahol ezt tapasztaltam. Elméletileg el lehet nézni, ám tudatosan keresem azt, hogy hol ne pipáljam ki a kártyamentést.

"https://hunvagyok.hu "

( gabrielakos v | 2025. 09. 08., h – 08:11 )

Már a topicindítóban keveredik a kártyaszám és a számlaszám. 
Saccra-tippre telekom befizetésről van szó és igen, a telekom képes PCI-DSS konform módon tárolni a szükséges adatokat.

Az authorizációs adat (CVV2) nem kerül tárolásra 

Meglepetés: a telekomnál ezeket a tárolt adataidat törölheted is.

(emlékezetből mert kb 4 éve nem foglalkozom ezzel) amikor a tranzakciót beküldöd akkor a telekom és a bank oldalán is annyi tárolódik el, hogy "érvényesen authorizáltál" ekkor-és-ekkor és engedélyezted hogy ezt az authorizációt ismétlődő fizetésre felhasználják.

Azt eléggé kizártnak tartom hogy erre ne kérdeztek volna explicit rá, és nem lepődnék meg ha ezen az apróságon átsiklottál.

zászló, zászló, szív

( end | 2025. 09. 08., h – 08:13 )

És az biztos, hogy a böngésződben a fizetési adatok mentését nem engedélyezted? - (MS-Edge, G.Pay, stb.)

( guszti | 2025. 09. 08., h – 08:21 )

Azokat az adatokat nem a böngésződ automatikus kitöltés opciója csinálta?