#3:
#2 Y no te digo nada si les roban la base de datos (no seria a los primeros que les pasa).
Habría que hacer boicot a todas las paginas que piden cvv, ya no es necesario con la pasarela a la pagina de visa o 4b donde te piden una contraseña que metes desde la pagina de tu banco
Grupon tien una base de datos con los numeros de tarjeta de credito y los ccv lo cual permite hacer compraras sin autorizacion de ningun tipo por parte del ususario.
En la noticia dicen que es sin mala Fe pero como poco me parece una irresponsabilidad muy grave.
PD: No me parece de buena fe y encima no veo que esa informacion este declara en el AEPD.
#13:
Esto ya estuvo en portada hace un par de meses...
Grupon tien una base de datos con los numeros de tarjeta de credito y los ccv lo cual permite hacer compraras sin autorizacion de ningun tipo por parte del ususario.
En la noticia dicen que es sin mala Fe pero como poco me parece una irresponsabilidad muy grave.
PD: No me parece de buena fe y encima no veo que esa informacion este declara en el AEPD.
#2 Y no te digo nada si les roban la base de datos (no seria a los primeros que les pasa).
Habría que hacer boicot a todas las paginas que piden cvv, ya no es necesario con la pasarela a la pagina de visa o 4b donde te piden una contraseña que metes desde la pagina de tu banco
#15 Yo he trabajado en comercios virtuales y te es innecesario guardar los datos del usuario en tu base de datos, como hacen estos. #7#14 Usar md5 y no usar nada es lo mismo de lo roto que está Además, md5 es un message-digest algorithm y se utiliza para verificar archivos, por ejemplo.
#40 Festiviwonder. Además dos, una por delante y otra por detrás y diferente en numeros pares de impares o cambiada en función de otro datos (la fecha de ingreso por ejemplo)
#40 Más que un tiempo, años Incluso cuando la gente pensaba que md5 era bueno. De lo mejor que puedes usar hoy en día es el bcrypt, un hash salteado en el que puedes configurar las iteraciones, sacrificando velocidad a cambio de más seguridad. #42 Eso es, decente. Pero no md5 por favor x)
#45#49 Por lo que he andado leyendo lo más razonable para PHP sin tener que andar instalando librerías externas es el bcrypt que anda usable en el crypt nativo a partir de la 5.3.0 ¿cierto?
#2 joder, y aquí estoy yo rallando porque en mi proyecto de mierda de pagina web guardo las contraseñas de los usuarios en la base de datos, a tomar por culo el md5
#7 Si guardas las contraseñas a pelo o un simple hash como MD5 lo estás haciendo mal, muy mal. A estas alturas sólo se deberían usar funciones seguras como PBKDF2, bcrypt, o scrypt (preferiblemente esta última).
#27 vamos a ver, "maestro". El problema de Groupon no es almacenar ciertos datos de las tarjetas, eso es perfectamente legal si lo avisas. El gran problema es, como se indicaba en el enlace que facilita #13, que ademas almacenaba el CVV o código de verificación, eso era lo más escandaloso. Está prohibido almacenar ese dato, sólo se puede usar durante una transacción para verificar que el ususario posee fisicamente la tarjeta en la mano y habría que pedirlo en cada transaccion.
#9 Si pero como apunta #4 hay una normativa que cumplir, los requisitos de seguridad para permitir pagos recurrentes son muy estrictos y no están al alcance de cualquiera. Amazon si puede pues tendrá el nivel más alto. En cualquier caso yo no me fiaría, prefiero meter los datos cada vez.
No tengo cuenta con ellos, pero tan pronto salió la noticia, me di cuenta de que cualquier persona con dos dedos de frente se pondría en contacto con ellos, y exigiría el borrado de todos sus datos y el cierre de la cuenta.
#32 No estoy seguro de que el que te dejen comprar a posteriori sin pedirlo implique que te lo estén guardando, ya han mencionado antes que ciertos sitios lo verifican una vez y a partir de ahí "confían" en ti para las compras.
Podría ser, pero de ser así esta multa no tendría sentido.
#12 No, en principio no. Las normas de los proveedores de tarjetas de debito/cretido prohiben almacenar ese dato de cualquiera de las maneras; hay que solicitarlo en cada ocasión. En teoría lo que hace Amazon es soliciarlo la primera vez para verificar la tarjeta y en las siguientes ocasiones no lo necesita porque ya confía en la tarjeta.
En este caso precisamente, una auditoria en España casi seguro que les habría salido mas cara... y ademas asi han podido "fidelizar" a los usuarios sin tenerles que pedir permiso hasta que los han pillado.
A ver, esto es una gilipollez, como han dicho en otros comentarios esto lo implementan muchos comercios virtuales, yo diría que la mayoría de los grandes.
De hecho esto se hace porque el banco lo permite y ha creado una API para ello, así que al final esto es un poco juego y apariencias por parte de unos y otros. Vale, la API no te obliga obviamente a guardar datos, simplemente es para integrar la pasarela dentro del comercio, pero joder es que si no es para guardar los datos evitando molestias al usuario de tener que meter los datos cada vez tampoco es que aporte mucho.
Intenta usar algo mejor que md5, como sha, md5 esta roto.
Respecto a la noticia... Nintendo por ejemplo tb te guarda la tajeta, o amazon. Es tipico de muchas tiendas online.
En mi opinion gracias a la ldpd aveces es mejor hacer las cosas n el extranjero(no digoque las haga eh, pero aveces cuando se me ocurren cosas el paso que veo mas difícil de dar es hacerlo conforme a la legislación española).
#25 Pero una cosa es guardarte los datos de la tarjeta y otra muy distinta guardar el CCV, que se prohíbe expresamente ya que se usa para verificar que tienes físicamente la tarjeta.
#30 ami me guardan el ccv...
Estamos hablando ddl número de seguridad de 3 cifras de lss tarjeetas no?
Tanto amazon, como nintendo, por poner dos ejemplo( yo pago con tarjeta y la tengo vinculada por ccv y solo tengo que comprar, solo la meti una vez)
Supongo que amazon y demas evitaran la ldpd estando en el extranjero de alguna manera.(o cumpliendo lo niveles de seguridad correspondientes, que igual el tema noes que haya que pedirle siempre el ccv sino que el nivel de seguridad no se cumplia)
Estas multss van a mayor, no merece la pena dejarte multar ni de coña porque la segunda vez las cifras suben..
Lo normal es que la pasarela de pago te remita al banco donde si introduces tus datos de la tarjeta y luego despues de aprobarlo vuelvas al comercio, esto garantiza que este tipo de datos delicados son tramitados por el banco solamente. Lo que ha sucedido es que por una configuración en las cookies estos datos permanecían relacionados al cliente en principio simplemente para hacerle el proceso de compra más rapido la siguiente ves. No es descabellado pero el usuario debe dar su consentimiento para esta practica. Es lo que sanciona la AEPD, el desconocimiento por parte del usuario.
#20 así es como lo hago yo, cuando alguien compra algo, le mando a la página de La Caixa, allí introduce los datos y La Caixa confirma el pago, luego le remite de nuevo a su pedido y se lo confirma, mientras yo recibo otro mensaje con el OK de sermepa y así no guardo ningún dato, todo lo hace La Caixa, eso si, por cada compra me cobra su parte.
Sigo pensando que al igual que los que no quieren que se guarde el número tienen derecho a ello, yo también tengo derecho a que me lo guarden.
Lo único es que haya que marcar voluntariamente una casilla para prestar consentimiento para que te lo guarde, después de registrarte.
Esto es igual que el banco no pueda mandarte el extracto al mail, obligando a hacer loguin a la oficina virtual.
Entiendo que los que querían protestaran. Pero nos quitaron el derecho a los que si queríamos.
Es tan fácil como poner una casilla desactivada en la configuración de la oficia virtual para que la Active el que quiera.
Comentarios
Esto me parece muy grave.
Grupon tien una base de datos con los numeros de tarjeta de credito y los ccv lo cual permite hacer compraras sin autorizacion de ningun tipo por parte del ususario.
En la noticia dicen que es sin mala Fe pero como poco me parece una irresponsabilidad muy grave.
PD: No me parece de buena fe y encima no veo que esa informacion este declara en el AEPD.
#2 Y no te digo nada si les roban la base de datos (no seria a los primeros que les pasa).
Habría que hacer boicot a todas las paginas que piden cvv, ya no es necesario con la pasarela a la pagina de visa o 4b donde te piden una contraseña que metes desde la pagina de tu banco
#3 Tú no tienes un comercio virtual, ¿no? Lo de la "página de tu banco" lo tienen implementados ALGUNOS bancos (en Europa).
Si quieres poder vender a todo el mundo ya te puedes ir preparando para mandar a la mierda bastantes cuestiones de seguridad, quieras o no.
#15 Yo he trabajado en comercios virtuales y te es innecesario guardar los datos del usuario en tu base de datos, como hacen estos.
#7 #14 Usar md5 y no usar nada es lo mismo de lo roto que está Además, md5 es un message-digest algorithm y se utiliza para verificar archivos, por ejemplo.
#15 Efectivamente, te toca pedir el CCV pero, como dice #23, debería usarse sólo para la transacción sin persistirse en ningún lugar.
#26
Yo persisto
Tú persistes
Él persiste
Nosotros persistimos
Vosotros persistís
Ellos persisten
#23 #15 #7 #4 Lo que se lleva, desde hace algún tiempo, es SALT http://es.wikipedia.org/wiki/Sal_%28criptografia%29
#40 Festiviwonder. Además dos, una por delante y otra por detrás y diferente en numeros pares de impares o cambiada en función de otro datos (la fecha de ingreso por ejemplo)
#40 Más que un tiempo, años Incluso cuando la gente pensaba que md5 era bueno. De lo mejor que puedes usar hoy en día es el bcrypt, un hash salteado en el que puedes configurar las iteraciones, sacrificando velocidad a cambio de más seguridad.
#42 Eso es, decente. Pero no md5 por favor x)
PD: Soy un poco frikazo de la seguridad.
#45 #49 Por lo que he andado leyendo lo más razonable para PHP sin tener que andar instalando librerías externas es el bcrypt que anda usable en el crypt nativo a partir de la 5.3.0 ¿cierto?
#52 Sep, exacto. Creo que además hay implementaciones para
#23 pues Sha-x, la cuestión es un algoritmo de hash decente y no guardar las contraseñas a pelo. Y si al usuario se le olvida que la resetee.
#2 joder, y aquí estoy yo rallando porque en mi proyecto de mierda de pagina web guardo las contraseñas de los usuarios en la base de datos, a tomar por culo el md5
#7 Hombre, Groupon meterá la pata pero tú mejor que uses el md5 eh. Es lo mínimo para una password.
#7 Si guardas las contraseñas a pelo o un simple hash como MD5 lo estás haciendo mal, muy mal. A estas alturas sólo se deberían usar funciones seguras como PBKDF2, bcrypt, o scrypt (preferiblemente esta última).
#2 Además, no es sólo la desinformación al usuario o la falta ante la AEPD.
Es que está expresamente prohibido.
Esto ya estuvo en portada hace un par de meses...
Groupon sancionada por no informar de que almacenaba los datos de las tarjetas de crédito de sus clientes
Groupon sancionada por no informar de que almacena...
samuelparra.com#0 es cierto. Como dice #13 es Dupe. Creo que deberías solicitar el descarte a un Admin antes de que empiecen a lloverle negativos
#13 En efecto, es duplicada y antigua.
#27 vamos a ver, "maestro". El problema de Groupon no es almacenar ciertos datos de las tarjetas, eso es perfectamente legal si lo avisas. El gran problema es, como se indicaba en el enlace que facilita #13, que ademas almacenaba el CVV o código de verificación, eso era lo más escandaloso. Está prohibido almacenar ese dato, sólo se puede usar durante una transacción para verificar que el ususario posee fisicamente la tarjeta en la mano y habría que pedirlo en cada transaccion.
Oferta de última hora : 10 números de tarjetas de crédito con sus cvc solo 49€
Me parece poca sancion, vaya pandilla de ladrones !!
Lo tenían previsto, pagarán la multa con tarjeta.
PCI DSS
#9 Si pero como apunta #4 hay una normativa que cumplir, los requisitos de seguridad para permitir pagos recurrentes son muy estrictos y no están al alcance de cualquiera. Amazon si puede pues tendrá el nivel más alto. En cualquier caso yo no me fiaría, prefiero meter los datos cada vez.
A mi es que el Groupón siempre me ha parecido lo de duros a cuatro pesetas, con condiciones en letra muy pequeña...
A estas empresas les sale muy barato todo lo que hacen. Por 20 mil euros les compensa seguir haciendolo.
#18 Se han visto multas mayores por enviar mails a grupos sin usar el CCO
No tengo cuenta con ellos, pero tan pronto salió la noticia, me di cuenta de que cualquier persona con dos dedos de frente se pondría en contacto con ellos, y exigiría el borrado de todos sus datos y el cierre de la cuenta.
Con gente tan irresponsable, una y no más.
Que multen también a paypal, google, facebook y amazon y similares entonces, que también tienen guardada mi tarjeta.
Ah no, que esos son yankees y con ellos no se atreven.
#28 no es que no se atrevan es aue es legislacion española, supongo que lo haran de tal manera que no les afecte.
#32 No estoy seguro de que el que te dejen comprar a posteriori sin pedirlo implique que te lo estén guardando, ya han mencionado antes que ciertos sitios lo verifican una vez y a partir de ahí "confían" en ti para las compras.
Podría ser, pero de ser así esta multa no tendría sentido.
#36 No es que los sitios confíen en ti. Es que los bancos confían en el sitio para aceptar las transacciones sin CCV. No tiene nada que ver.
#36 ah pues igual es eso, un poco injusto me parece para los pequeños a los que los bancos no permitan hacer lo mismo
Quizá esté equivocado pero ... ¿Amazon no hace también lo mismo?
Pues vaya mierda de sanción. No me extraña que continúen tomando el pelo a sus clientes.
Estooo ¿y Amazon no hace lo mismo?
#12 No, en principio no. Las normas de los proveedores de tarjetas de debito/cretido prohiben almacenar ese dato de cualquiera de las maneras; hay que solicitarlo en cada ocasión. En teoría lo que hace Amazon es soliciarlo la primera vez para verificar la tarjeta y en las siguientes ocasiones no lo necesita porque ya confía en la tarjeta.
#17
¿ Para verificar la tarjeta?
Amazon hace exactamente lo mismo, las cosas que se verifican no se guardan por defecto como hace Amazon.
Tienes un problema grave de expresión de lenguaje, y no es la única web que lo hace
Godaddy hace lo mismo también
toma vale descuento!
En este caso precisamente, una auditoria en España casi seguro que les habría salido mas cara... y ademas asi han podido "fidelizar" a los usuarios sin tenerles que pedir permiso hasta que los han pillado.
A ver, esto es una gilipollez, como han dicho en otros comentarios esto lo implementan muchos comercios virtuales, yo diría que la mayoría de los grandes.
De hecho esto se hace porque el banco lo permite y ha creado una API para ello, así que al final esto es un poco juego y apariencias por parte de unos y otros. Vale, la API no te obliga obviamente a guardar datos, simplemente es para integrar la pasarela dentro del comercio, pero joder es que si no es para guardar los datos evitando molestias al usuario de tener que meter los datos cada vez tampoco es que aporte mucho.
Intenta usar algo mejor que md5, como sha, md5 esta roto.
Respecto a la noticia... Nintendo por ejemplo tb te guarda la tajeta, o amazon. Es tipico de muchas tiendas online.
En mi opinion gracias a la ldpd aveces es mejor hacer las cosas n el extranjero(no digoque las haga eh, pero aveces cuando se me ocurren cosas el paso que veo mas difícil de dar es hacerlo conforme a la legislación española).
#25 Pero una cosa es guardarte los datos de la tarjeta y otra muy distinta guardar el CCV, que se prohíbe expresamente ya que se usa para verificar que tienes físicamente la tarjeta.
#30 ami me guardan el ccv...
Estamos hablando ddl número de seguridad de 3 cifras de lss tarjeetas no?
Tanto amazon, como nintendo, por poner dos ejemplo( yo pago con tarjeta y la tengo vinculada por ccv y solo tengo que comprar, solo la meti una vez)
Supongo que amazon y demas evitaran la ldpd estando en el extranjero de alguna manera.(o cumpliendo lo niveles de seguridad correspondientes, que igual el tema noes que haya que pedirle siempre el ccv sino que el nivel de seguridad no se cumplia)
Estas multss van a mayor, no merece la pena dejarte multar ni de coña porque la segunda vez las cifras suben..
#31 No es que "eviten" la ldpd. Es que se la suda. Yo no estoy evitando las leyes rusas, simplemente me dan igual.
#33 las multas que pueden llevarse suben los 300.000€ buenodepende del nivel de seguridad que incumplan que no se en cual estaria esto
Lo normal es que la pasarela de pago te remita al banco donde si introduces tus datos de la tarjeta y luego despues de aprobarlo vuelvas al comercio, esto garantiza que este tipo de datos delicados son tramitados por el banco solamente. Lo que ha sucedido es que por una configuración en las cookies estos datos permanecían relacionados al cliente en principio simplemente para hacerle el proceso de compra más rapido la siguiente ves. No es descabellado pero el usuario debe dar su consentimiento para esta practica. Es lo que sanciona la AEPD, el desconocimiento por parte del usuario.
#20 así es como lo hago yo, cuando alguien compra algo, le mando a la página de La Caixa, allí introduce los datos y La Caixa confirma el pago, luego le remite de nuevo a su pedido y se lo confirma, mientras yo recibo otro mensaje con el OK de sermepa y así no guardo ningún dato, todo lo hace La Caixa, eso si, por cada compra me cobra su parte.
¿Y si yo quiero que guarden mi tarjeta, que pasa?
Lo que está claro es que es una opción que debería estar desactivada por defecto, y activarlo a voluntad.
A esa cantidad le faltan dos o tres ceros... de 200.000 a 2 millones de euros de multa sería lo más justo, ahora ya sé donde no comprar...
Sigo pensando que al igual que los que no quieren que se guarde el número tienen derecho a ello, yo también tengo derecho a que me lo guarden.
Lo único es que haya que marcar voluntariamente una casilla para prestar consentimiento para que te lo guarde, después de registrarte.
Esto es igual que el banco no pueda mandarte el extracto al mail, obligando a hacer loguin a la oficina virtual.
Entiendo que los que querían protestaran. Pero nos quitaron el derecho a los que si queríamos.
Es tan fácil como poner una casilla desactivada en la configuración de la oficia virtual para que la Active el que quiera.
y son un autentico coñazo bombardeandote con ofertas que luego no son tales