Oldal elkérheti a bankkártyaszámot és az ellenőrző kódot?

Flame

A jegy.hu online jegy értékesítési oldal egyszerűen maga kéri el fizetéskor a bankkártyaszámot, a nevet, a lejárati dátumot és az ellenőrző kódot is.

Én eddig online mindig úgy fizettem, hogy egy banknak (például CIB) a fizető felületére kerültem és a payment gateway-nek írtam be az adataim, hogy ne kerülhessenek az adott oldalhoz a bizalmas információk. Aztán persze visszairányított mindig a bolt oldalára.

Magyarországon bármilyen oldal elkérheti a felhasználó bankkártyájának adatait?

Szerk:
Ja és most látom hogy 400 Ft kezelési költséget is felszámítanak.

  • 5222 megtekintés

( chx | 2010. 05. 06., cs – 07:40 )

Persze hogy kérheti a kártyád adataid, a szomszédod is elkérheti, vagy egy járókelő az utcán. Te döntöd el hogy odaadod-e nekik, én biztosan nem tenném.
Azért a 400 Ft kezelési költséget pofátlannak érzem.

_______________________
echo crash > /dev/kmem

( cheeky v | 2010. 05. 06., cs – 07:56 )

Elkérheti, de hülye vagy, ha megadod.
Másrészt viszont az aki kártyaadatokat kezel, meg kellene, hogy feleljen a PCI DSS-nek, amit meglehetősen nehezen feltételezek az általad említett honlapról.

Szóval jegy.hu kick and ban.

Ez az a PCI DSS: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml ?

Mert - így első ránézésre - ezek egyike se nagy dolog, egy komolyabb helyen kb. az összes feltételnek meg kell lennie. Bár lehet, hogy a részletes leírásban már vannak olyan részek, amin felhúznám a szemöldökömet :)

Az az. De ne a címszavakat nézd, az valóban gyérnek tűnik, az ördög a részletekben rejlik.
Olvasd el a részletes speckót, ingyenesen letölthető elvileg, azért ott már leesik a hajad. Maradjunk annyiban, hogy a PCI DSS compliance még igen potens pénzintézetek számára sem egyszerű dolog, nem hogy egy himihumi wepshopnak.

Megpróbálom kicsit helyrerakni ezt a PCI DSS követelményt. Először is, ez a megoldás teljesen legális, tehát a kereskedő minden további nélkül fogadhat a weboldalán kártyaadatokat elektronikusan. Csak nálunk nem terjedt el ez a megoldás, általában a nagy bankok szolgáltatásaira építenek. Második tévhit, hogy nem feltétlenül kell minden PCI DSS követelménynek megfelelnie a kereskedőnek. Anélkül, hogy bármilyen fogalmam lenne a cégről, nagyjából a következő lehet a helyzet.

A PCI DSS megfelelést kártyaforgalom és kereskedő típus alapján lehet beosztani. Mivel itt látszólag egy nemzetközi cégről van szó, feltételezem, hogy az elektronikus jegyvásárlások nála évente 20.000 és 1 millió között lehet, ami a VISA terminológiája szerint Level 3 kereskedő szint. A VISA követelményei szerint tehát évente ki kell töltenie egy ún. Self Assessment Questionnaire-t (SAQ) és negyedévente egy Approved Scanning Vendor (ASV) segítségével sebezhetőségvizsgálatot kell lefolytatnia. Ennek eredményeit pedig jelentenie kell annak az elfogadónak (acquirer), akivel kapcsolatban áll. Az elfogadó teszi le a jelentést a VISA (és a többiek) részére.

SAQ-ból 4 típus létezik. A cég valószínűleg elektronikus formában tárol kártyaadatokat, tehát a SAQ D Merchants vonatkozik rájuk (https://www.pcisecuritystandards.org/saq/docs/aoc_saq_d_merchants.doc). Ez tulajdonképpen azt jelenti, hogy a kereskedőnek teljesítenie kell minden PCI DSS követelményt, ezt azonban külső fél nem vizsgálja meg, önbevallással történik meg a jelentés.

DE! Elsősorban az elfogadó kötelessége ezt a kereskedőből kivasalni. Ha bármilyen visszaélés történik, először az elfogadót fogják elővenni, a merchant pedig egyből Level 1 szintre kerül, ami évente teljes auditot jelent.

Összességében tehát a tisztelt felhasználóra van bízva a döntés, hogy használja-e ezt a szolgáltatást vagy nem. Valószínűsíthetően az elfogadó megköveteli a biztonságos adatfogadást, ráadásul a jelek szerint az OTP is ott áll a cég mögött. Nekem tehát különösebb aggályaim nincsenek, egyszerűen itt Magyarországon nem vagyunk hozzászokva ehhez a megoldáshoz. Mondjuk, ha magyar a cég, akkor nem tartom kizártnak, hogy a PPO-hoz hasonlóan egyszer csak kitalálnak valami "okosságot", de ez nagyon-nagyon sokba fog kerülni a mögötte levő elfogadónak.

Apropó PPO, megérne egy misét (és próbapert) ott is a PCI DSS megfelelés feszegetése...

Ha valakit esetleg érdekel ez az egész, ajánlom az alábbi cikkemet: http://csabika25.blog.hu/2010/04/28/elmenybeszamolo_a_hivatalos_pci_dss…

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, support@blog.hu and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

ps: mar jo. furcsa.

Tyrael

"hogy feleljen a PCI DSS-nek, amit meglehetősen nehezen feltételezek az általad említett honlapról." ezt a következtetést honnan lehet így levonni?

Nem közvetlenül kapcsolódik de:
"Biztonságos bankkártyatranzakciók
Fizetési oldalunkon keresztül fizethet bankkártyával, az OTP Bank által nyújtott szolgáltatás segítségével. Az InterTicket minden vásárlói adatot a nemzetközi szabványoknak megfelelő, biztonságos, 128 bites SSL titkosítással védetten kezel.

Tranzakcióra alkalmas bankkártyák
1. Minden Visa, MasterCard, American Express dombornyomott kártya (függetlenül a kibocsátó banktól)
2. Electron (nem dombornyomott), kibocsátótól függően - ezen kártyák esetében a kibocsátó bank határozza meg, hogy lehetővé teszi-e a kártya internetes használatát. Amennyiben az ön kártyáját kibocsátó bank engedélyezte az interneten való kártyahasználatot, ön természetesen fizethet internetes áruházunkban Electron kártyájával. Pontos információért, kérjük, forduljon a kártyáját kibocsátó bankhoz.
3. Maestro (nem dombornyomott) kizárólag az OTP Bank Rt. által kibocsátott, 675761 kezdőszámú kártyák. Amennyiben az ön kártyáján szereplő kártyaszám csak 10 jegyből áll, a 675761 számsort legyen szíves először beírni, és ezt követően a kártyáján szereplő 10 jegyű számot.

Referencia
Az InterTicket az OTP Bank Rt. Bankkártya Igazgatósága exkluzív szolgáltatásaként, 1995-ben elsőként jelent meg a hazai jegyértékesítési piacon elektronikus, távoli bankkártyás tranzakciókezeléssel. A jegyvásárlásnak ezen formáját bankkártyabirtokosok tízezrei vették és veszik igénybe egyre nagyobb számban Magyarországon."

Forrás:
http://www.jegy.hu/articles/19/#14

( willy v | 2010. 05. 06., cs – 08:09 )

Van ilyen fizetési megoldás hazánkban is. (kétrésztvevős bankártyás fizetés, és itt is ez van a szolgáltatás mögött) Innen jöhet a vita, hogy melyik a jobb megoldás a 2 v. a 3. résztvevős. Van ott még vagy 20 féle lehetőség a fizetésre válaszd azt amit akarsz.

( Mandrake | 2010. 05. 06., cs – 08:11 )

ez nagyon gáz, ezen az oldalon biztos, hogy nem fizetnék kártyával

( Fisher v | 2010. 05. 06., cs – 08:46 )

Ahogy már írták, bármilyen oldal bármit elkérhet. Tegyük azért hozzá, hogy a jegy.hu a bankkártyás fizetés mellett felkínál egyéb lehetőségeket is, úgy mint mobil fizetés, abaqoos és paypal. Pl. a paypal a saját (paypalos) felületén megy, szóval van választási lehetőség.

A kezelési költség egy másik dolog, el kell olvasni a feltételeket, és hanyagolni a rabló oldalakat. Ha meg a többi jegyüzér cég is ilyen, akkor meg ígyjárás van.

Az meg hogy megadja a bankkártyájának az adatait miért lenne hülyeség? Ez épp annyira hülyeség, mintha valaki elővenné a pénztárcáját a teszkóban/osonban/vesztendben/sarki kisboltban. Az a hülyeség, ha a bankkártyájával a teljes számláját le tudják üríteni (= minden pénze a pénztárcában van), és/vagy a tudta nélkül tudnak tranzakciót elkövetni a kártyával (= a zsebes lenyúlja a).

nem teljesen igy van, ha kartyaadatokat akar kezelni valaki (PAN+CVV) akkor regisztralnia kell, mint merchant, es meg kell felelnie egy sor kovetelmenynek
http://en.wikipedia.org/wiki/PCI_DSS
amik kozott pl. szerepel az is, hogy a sensitive adatokat csak titkositott formaban tovabbit, es tarolni sem tarolhatja oket.

Tyrael

Szeretem, mikor azt történik nem tudom ugyan mi van mögötte, de belekottyantok mert a google hoz adatokat. Itt a kártyaelfogadó nem a jegy.hu, hanem egy pénzintézet(harmadik fél ebben a kétrészvevős buliban), és a vele kötött szerződés alapján megy az üzlet. És tárolja. (és mindenki szokta is általában aki 2résztvevőst használ)

nem regisztraltam be az oldalon, nem neztem meg hova postol a form, ami bekeri a kartyaadatokat.
ha a jegy.hu-nak megy el a sensitive adat(Card not Present vasarlas), akkor onnantol kezdve O (a jegy.hu) kezeli a kartyaadatokat.
ehhez rendelkeznie kell Merchant accounttal:
http://en.wikipedia.org/wiki/Merchant_account
amihez tartozik egy sor kovetelmenynek valo megfelels, illetve forgalom fuggoen kotelezo sajat/kulsos audit.

https://www.pcisecuritystandards.org/security_standards/download.html?i…

3.2.2 Do not store the cardverification
code or value (threedigit
or four-digit number printed on
the front or back of a payment
card) used to verify card-notpresent
transactions.
Note: See PCI DSS Glossary of
Terms, Abbreviations, and
Acronyms for additional
information.

3.2.3 Do not store the personal
identification number (PIN) or the
encrypted PIN block.

Szoval ha te tudsz olyan helyrol, ahol a teljes kartya szam, vagy a pin tarolva van akkor szolj nekik, hogy nem kellene.

Tyrael

nemcsak a CVV, hanem a tobbi sensitive data is, ahogy a linkelt doksi irja is (talan olvasd el), de azt rosszul irtam, hogy a kartyaszam nem tarolhato, ott a megkotes csak a megjelenitesre vonatkozik (teljes kartyaszamot nem lehet megjeleniteni altalaban, csak csonkolt formaban)

hint: vedd eszre, hogy egeszen az uccso posztomig vegig sensitive adatokrol beszeltem, es te arra irtad, hogy szabad es szoktak is tarolni.

Tyrael

1, Az oldal elkérheti és tárolhatja a fizetéshez szükséges adatokat .
2, Az oldal nem tárolhat olyan adathalmazt, amivel a fizetés automatikusan végrehajtható lenne, ha az adatok illetéktelen(fontos kitétel) kezekbe kerülnének.
3, Az adott hely nincs szerződési viszonyban kártyakibocsájtókkal, ezt a feladatot egy pénzintézet végzi helyette.
4, Nagyon sok helyen ezt a fajta és előbb kitalált, és jól működő 2résztvevős fizetést alkalmazzák.
5, Magyarországon 3 pénzintézetnek van elektronikus fizetési megoldása. Ezek közül 1 támogat 2 résztvevős megoldást. Az adott oldalon ez korrektül le is van írva.
Pikantéria:
Ugyanezen pénzintézet által szerződésben lévő autópálya matricás cég automatikus terheléseket (jogszerűen és a kártyakibocsátók által is elfogadottan) végzett, a szerződés értelmében 5 hónappal ezelőtt amiből botrány volt.
Végezetül:
Senki nem mondta, hogy nincs benne igazság amit írtál, csak a relevanciája közelít nullához, hörgésre ad okot mert pontatlan és összeollózott. Azaz megtéveszthet embereket.

velem nem kell vitatkoznod, nem szamit mit irsz, a PCI-DSS-ben foglaltakat KELL betartani, az pedig szepen leirja, hogy mi ujsag.

1. nem definialod a fizeteshez szukseges adatot, CVC kell a vasarlashoz, megsem tarolhato (a merchantok szamara).
2. ez igaz
3. ha te mondod, elhiszem, de ebbol meg mindig nem derult ki, hogy ezt a penzintezetet payment gatewaykent hasznalja (ilyenkor o kezeli a kartyaadatokat) vagy 3rd partykent a kartyaadatok ehhez a harmadik felkent mennek kozvetlenul (ilyenkor a site nem kezel kartyaadatokat, ergo nem vonatkozik ra a PCI-DSS)
4. tudom
5. ezzel nem vagyok kepben, asszem OTP-nek meg CIB-nek implementaltam mar ezer eve fizetesi megoldasat, de mintha ott legalabb az egyik 3 resztvevos lett volna.
de ez megint lenyegtelen, rajuk/rajtuk keresztul szerzodve is ugyanazok a szabalyok vonatkoznak, vagy nem vonatkoznak rad, ahogy ezekre a penzintezetekre is vonatkoznak a PCI szabalyai.

Pikantéria: ott azt hiszem, hogy az volt a problemajuk az ugyfeleknek, hogy egy normal on-demand fizetesi rendszerbol atment a szolgaltatas egy havi/evesdijas elofizetesbe, aminek a letrejottehez nem kertek a felhasznalok engedelyet (kuldtek egy privat uzenetet az oldalon belul, hogy at fog alakulni a fizetesi konstrukcio, ha nem tetszik, akkor a beallitasaid kozott meg tudod valtoztatni)
ez egyreszt szerintem etikatlan, masreszt elkepzelhetonek tartom, hogy ha elofizetest akarsz letrehozni, ahhoz ilyenkor ismetelten engedelyt kellene kerned a felhasznaloktol.

http://www.argyre.hu/ppo.htm

Tyrael

Befejeztem, remélem a fentiek alapján a tények, és a hibás magánvéleménnyel és hibás hivatkozással ellátott információk alapján az olvasók értelmesebbre rájön a következő kérdések válaszára:
1, ha nem tárolhat adatokat, vagy nem rendelkezik hivatkozási adattal ezekről, hogy nyújtott be a fent említett szolgáltató kártyás terhelést?
2, kell e minden vásárlástípusnál a cvv-vel ellátott kártya cvv kódjának megadása?
3, létezik e itthon ilyen megoldás?
4, visszaéltek már vele?
5, a visszaélés törvényes és kártyakibocsájtó által elfogadott volt?
6, többségben vannak az ilyen visszaélések ezen vásárlásoknál?

A vita parttalan voltát tekintve én itt lezárom részemről.

1, bankja/processzora tamogatja, de sok helyen ugy mukodik, hogyha van egy sikeres tranzakciod, akkor annak a tranzakcionak az azonositojaval tudsz uj tranzakciot kezdemenyezni.
2, pontatlan a kerdes, nem kotelezo, pl. steam-en is tudsz fizetni, kartyaadatok nelkul, ha mar korabban fizettel kartyaval.
ezt rebill-nek hivjak.
3, semmi akadalya nincs annak, hogy olyan processzort hasznalj, aki tamogatja ezt a funkciot.
4, persze, de ha visszaeles van, akkor a bank (akar a customer keresere, akar mondjuk a hatosagera ha buncselekmeny tortent) egyszeruen leemeli(vagy ha credit card-dal fizetsz, akkor eleve at sem megy jo ideig a penz) a penzt, ezt hivjak chargebacknek.
http://en.wikipedia.org/wiki/Merchant_account
nezd meg a chargeback fees reszt, illetve
http://en.wikipedia.org/wiki/Chargeback
Visa es mastercard termektipustol fuggoen (mainstream vs felnot tartalom/gambling) eltero quota-kat engedelyez a chargeback rate-nek, ha atvered a nepet, megno a chargeback rate-ed, ha eleri a megadott limitet, akkor buktad a pci compliance engedelyed, asszem tudnak birsagolni, illetve amig egy szigorubb teszten at nem mesz, addig nem processzalhatsz.
Ugyanez igaz a processzorokra payment gatewayekre is, ha neked nincs merchant accod, hanem ok kezelik a kartya adatokat, de megengedik neked, hogy pl. upsell-t/rebill-t csinalj, amit aztan chargebackelnek a vasarlok, akkor a sajat kizarasat megakadalyozando az PSP le fogja tiltani a te accod.
5, melyik visszaeles? altalanossagban volt pelda mindkettore. a ppo-s esetrol majd dont a birosag, mar csoportos per lett kezdemenyezve, ha jol tudom.
6, nem, mert altalaban mindig a rabaszik a lehuzos ceg, kartyas fizetesnel mindig ott a lehetoseg a chargeback-re, altalaban a nyugati bankoknal bemesz kicsit reklamalsz, es lehuznak barmilyen tetelt a szamladrol (chargeback), ezzel sokan vissza is elnek, ezt nevezik friendly fraud-nak, es ez ellen nem tud tul sok mindent tenni a merchant/processzor, kockazati koltseg, esetleg at lehet adni behajtasra.

Tyrael

( zfarkas | 2010. 05. 06., cs – 09:14 )

Manapság elég sok bank kínál elkülönített számlához kapcsolt, csak netes fizetésre használható bankkártyákat, ingyenesen. Csak addig van rajta pénz, amíg fizetek, aztán lenullázom. Én pl. a Paypal accountom mögé is ezt raktam, szállodai foglalásokhoz is ezt használom.
Fő kártyám kizárólag POS terminálnál használom.

( bounty v | 2010. 05. 07., p – 16:52 )

Már hogy ne kérhetné? Bárki kérheti, de te nem vagy köteles megbízni benne és oda is adni neki.
Nem csak Magyarországon, az egész világon.

( answ | 2010. 05. 07., p – 17:07 )

nhw: Nem érted, itt nem a titkosítással és a hitelesítéssel van a probléma.
Egy SSL kulcsot bárki vehet, én is vehetek na bumm.

Hanem az adatok megfelelő kezelésével. Azaz mint a PPO esete, hogy bármikor utána lehúzhatják a kártyádat, mert nem banknak adtad ki az adataid, hanem egy egyszerű cégnek. Ezzel az erővel én is csinálhatnék egy oldalt, elkérem a bankkártya adataidat ígérve valamit érte, aztán miután lehúztam egy rakás ember pénzét, kiutalom az XY szigetekre, majd a csöves adataival létrejött Kft szépen lehúzza a redőnyt. Aztán csinálhatsz csoportos pert meg mindent, pénzt sose látsz vissza.

Ráadásul ki tudja, hogy ki látja ezeket az adatokat és hogyan milyen biztonságosan tárolják. Lehet hogy egy SQL injection aztán már jönnek is a bankkártyaszámok, ellenőrzőkódjaik stb.
Ki tudja, hogy nem-e készítenek biztonsági mentéseket és abban nem tárolják-e mindezeket az információkat.

Tehát összességében kérdőjelezem meg, hogy egy egyszerű cég rendelkezhet-e olyan védelmi rendszerrel mint egy pénzintézet. Szerintem nagyon nem!

"pénzt sose látsz vissza." - Ez így nem igaz a bankok kártalanítanak, ha visszaélés áldozata vagy.

Amit nem értek, akkor pl Te nem vennél totalcommandert neten? Mert azt a taketwosolutionon lehet venni, és az mégsem pénzintézet. Akkor mi a pöcsnek van itt bárkinek dombornyomott karija?

Egyetértek a biztonsággal és odafigyeléssel, de akkor így tényleg ne vegyél mozijegyet se neten... mert lenyúlnak... Több százezer ember használja ezeket az oldalakat, minek riogatni itt a gyereket! Ha hackerfree, verisign, stb jelölésű oldal akkor, nem értem min megy a para!

Van szerencsém tudni.

Ha nem tárolja az adatot akkor mire jó neki egy SQL injection? Egyébként nem is érrint SQL adatbázist a standard szerint az adatod... gateway-en át megy egy bankhoz... hol jön a képbe az SQL adatbázis?

Max amit megkaparinthat, hogy ez a mafla vett egy totalcommandert, vagy mozijegyet...

"tényleges bankkártya adatok megadása mely fizikailag a banki oldalon, a bank felületén történik"
"A tranzakció során a kártyaadatokkal csak a bank megfelelő oldala találkozik, elkerülve ezáltal, hogy az adatok, akár egy esetleges internetes támadás esetén, illetéktelen kezekbe kerülhessenek."
https://www.paymentgateway.hu/otp.html
Te tényleg nem érted?

Azt nem értem, hogy ha biztonságilag nem megfelelő hogy 3rd party oldalon adod meg az adatokat, akkor a bankok miért adnak erre lehetőséget?! Ebben érzem az ellentmondást.
Pontosan értem hogy miről beszélsz, de nem lehet egyértelműen kijelenteni, hogy biztonságilag NEM MEGFELELŐ az az oldal, ami bekéri az adatokat, ha így lenne, biztosan nem adnának a bankok még csak lehetőséget sem rá, hogy gateway-en át menjen, nem pedig közvetlenül!

nhw: Nem értem, miért kevered ide a dombornyomott kártyákat? Visa Electront pont elektronikus fizetésre találták ki. Ráadásul ezzel nem mehetsz negatívba sem. Én a dombornyomott kártyának egyetlen egy országban vettem hasznát egy autó kölcsönzőben, ahol nem volt online terminál, hanem hagyományos módon "lesatírozták" a kártyát.

Te ilyen misztikumot építesz az SSL certificate köré. Pedig egyáltalán nem nagy szám. Ráadásul a jegy.hu nem rendelkezik tulajdonos hitelesítéssel sem. Vagyis mindenféle azonosító/igazoló dokumentum nélkül igényelhették, mert csak a domain-t hitelesíti! Egy ilyen wildcard és csak domainre szóló SSL certificate, akár 10 perc alatt is igényelhető és már 199$/év-től vagyis kb évi 44e Ft-tól rendelhető.
Lásd: http://www.rapidssl.com/ssl-certificate-products/rapidssl/usd/wildcard-…

( sany | 2010. 05. 08., szo – 13:57 )

"Magyarországon bármilyen oldal elkérheti a felhasználó bankkártyájának adatait?"

Csak ha bank áll az oldal mögött!

Az már volt egy balhé, egy oldal ahol lenyúlták az ügyfeleket.
Itt a hupon is volt téma.