Portada
Hace 10 años | Por doninfo a equalprotecciondedatos.com
Publicado hace 10 años por doninfo a equalprotecciondedatos.com

Sanción a Groupon de 20.000€ por guardar datos de tarjetas de crédito

 equalprotecciondedatos.com

La Agencia Española de protección de datos ha aplicado una sanción a Groupon Spain S.L.U. con una multa de 20.000€ por guardar información..

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.1k 54

Comentarios

y
editado

Esto me parece muy grave.

Grupon tien una base de datos con los numeros de tarjeta de credito y los ccv lo cual permite hacer compraras sin autorizacion de ningun tipo por parte del ususario.

En la noticia dicen que es sin mala Fe pero como poco me parece una irresponsabilidad muy grave.

PD: No me parece de buena fe y encima no veo que esa informacion este declara en el AEPD.

V 23
K 234
WarDog77

#2 Y no te digo nada si les roban la base de datos (no seria a los primeros que les pasa).
Habría que hacer boicot a todas las paginas que piden cvv, ya no es necesario con la pasarela a la pagina de visa o 4b donde te piden una contraseña que metes desde la pagina de tu banco

V 32
K 306
ccguy

#3 Tú no tienes un comercio virtual, ¿no? Lo de la "página de tu banco" lo tienen implementados ALGUNOS bancos (en Europa).

Si quieres poder vender a todo el mundo ya te puedes ir preparando para mandar a la mierda bastantes cuestiones de seguridad, quieras o no.

V 6
K 62
D
editado

#15 Yo he trabajado en comercios virtuales y te es innecesario guardar los datos del usuario en tu base de datos, como hacen estos.
#7 #14 Usar md5 y no usar nada es lo mismo de lo roto que está lol Además, md5 es un message-digest algorithm y se utiliza para verificar archivos, por ejemplo.

V 3
K 42
ruben3d
editado

#15 Efectivamente, te toca pedir el CCV pero, como dice #23, debería usarse sólo para la transacción sin persistirse en ningún lugar.

V 0
K 7
S

#26
Yo persisto
Tú persistes
Él persiste
Nosotros persistimos
Vosotros persistís
Ellos persisten

V 0
K 6
M

#23 #15 #7 #4 Lo que se lleva, desde hace algún tiempo, es SALT http://es.wikipedia.org/wiki/Sal_%28criptografia%29

V 2
K 30
D
editado

#40 Festiviwonder. Además dos, una por delante y otra por detrás y diferente en numeros pares de impares o cambiada en función de otro datos (la fecha de ingreso por ejemplo)

V 1
K 23
D
editado

#40 Más que un tiempo, años Incluso cuando la gente pensaba que md5 era bueno. De lo mejor que puedes usar hoy en día es el bcrypt, un hash salteado en el que puedes configurar las iteraciones, sacrificando velocidad a cambio de más seguridad.
#42 Eso es, decente. Pero no md5 por favor x)

PD: Soy un poco frikazo de la seguridad.

V 2
K 34
yemeth

#45 #49 Por lo que he andado leyendo lo más razonable para PHP sin tener que andar instalando librerías externas es el bcrypt que anda usable en el crypt nativo a partir de la 5.3.0 ¿cierto?

V 0
K 12
D

#52 Sep, exacto. Creo que además hay implementaciones para

V 1
K 24
yemeth

#23 pues Sha-x, la cuestión es un algoritmo de hash decente y no guardar las contraseñas a pelo. Y si al usuario se le olvida que la resetee.

V 0
K 12
Brugal-con-cola
editado

#2 joder, y aquí estoy yo rallando porque en mi proyecto de mierda de pagina web guardo las contraseñas de los usuarios en la base de datos, a tomar por culo el md5

V 2
K 23
yemeth
editado

#7 Hombre, Groupon meterá la pata pero tú mejor que uses el md5 eh. Es lo mínimo para una password.

V 3
K 36
D

#7 Si guardas las contraseñas a pelo o un simple hash como MD5 lo estás haciendo mal, muy mal. A estas alturas sólo se deberían usar funciones seguras como PBKDF2, bcrypt, o scrypt (preferiblemente esta última).

V 1
K 15
e

#2 Además, no es sólo la desinformación al usuario o la falta ante la AEPD.
Es que está expresamente prohibido.

V 1
K 16
D

Esto ya estuvo en portada hace un par de meses...

Groupon sancionada por no informar de que almacenaba los datos de las tarjetas de crédito de sus clientes

Hace 10 años | Por Rompe-y-RaSGAE a samuelparra.com
Publicado hace 10 años por Rompe-y-RaSGAE a samuelparra.com

Groupon sancionada por no informar de que almacena...

 samuelparra.com

V 17
K 228
noexisto

#0 es cierto. Como dice #13 es Dupe. Creo que deberías solicitar el descarte a un Admin antes de que empiecen a lloverle negativos

V 1
K 29
PussyLover

#13 En efecto, es duplicada y antigua.

V 0
K 9
noloquiero

#27 vamos a ver, "maestro". El problema de Groupon no es almacenar ciertos datos de las tarjetas, eso es perfectamente legal si lo avisas. El gran problema es, como se indicaba en el enlace que facilita #13, que ademas almacenaba el CVV o código de verificación, eso era lo más escandaloso. Está prohibido almacenar ese dato, sólo se puede usar durante una transacción para verificar que el ususario posee fisicamente la tarjeta en la mano y habría que pedirlo en cada transaccion.

V 2
K 24
D

Oferta de última hora : 10 números de tarjetas de crédito con sus cvc solo 49€

V 13
K 144
D

Me parece poca sancion, vaya pandilla de ladrones !!

V 11
K 90
pitercio

Lo tenían previsto, pagarán la multa con tarjeta.

V 10
K 88
R

PCI DSS

V 3
K 41
mafm

#9 Si pero como apunta #4 hay una normativa que cumplir, los requisitos de seguridad para permitir pagos recurrentes son muy estrictos y no están al alcance de cualquiera. Amazon si puede pues tendrá el nivel más alto. En cualquier caso yo no me fiaría, prefiero meter los datos cada vez.

V 1
K 19
zierz

A mi es que el Groupón siempre me ha parecido lo de duros a cuatro pesetas, con condiciones en letra muy pequeña...

V 2
K 31
D

A estas empresas les sale muy barato todo lo que hacen. Por 20 mil euros les compensa seguir haciendolo.

V 2
K 30
mafm

#18 Se han visto multas mayores por enviar mails a grupos sin usar el CCO

V 0
K 10
JogeYawe

No tengo cuenta con ellos, pero tan pronto salió la noticia, me di cuenta de que cualquier persona con dos dedos de frente se pondría en contacto con ellos, y exigiría el borrado de todos sus datos y el cierre de la cuenta.

Con gente tan irresponsable, una y no más.

V 2
K 28
D
editado

Que multen también a paypal, google, facebook y amazon y similares entonces, que también tienen guardada mi tarjeta.

Ah no, que esos son yankees y con ellos no se atreven.

V 2
K 26
D

#28 no es que no se atrevan es aue es legislacion española, supongo que lo haran de tal manera que no les afecte.

V 0
K 7
D

#32 No estoy seguro de que el que te dejen comprar a posteriori sin pedirlo implique que te lo estén guardando, ya han mencionado antes que ciertos sitios lo verifican una vez y a partir de ahí "confían" en ti para las compras.

Podría ser, pero de ser así esta multa no tendría sentido.

V 2
K 25
ccguy

#36 No es que los sitios confíen en ti. Es que los bancos confían en el sitio para aceptar las transacciones sin CCV. No tiene nada que ver.

V 1
K 16
D

#36 ah pues igual es eso, un poco injusto me parece para los pequeños a los que los bancos no permitan hacer lo mismo

V 0
K 7
D

Quizá esté equivocado pero ... ¿Amazon no hace también lo mismo?

V 2
K 24
r

Pues vaya mierda de sanción. No me extraña que continúen tomando el pelo a sus clientes.

V 1
K 19
Candidatas
31
meneos
actualidad Países Bajos aprueba la eutanasia para una mujer de 29 años con depresión crónica: "Siento alivio. Ha sido una lucha muy larga"
38
meneos
actualidad Podemos se adelanta a Díaz y propone una reforma del despido en periodo de prueba
40
meneos
actualidad Manuel Díaz ‘El Cordobés’ se ofrece a torear gratis por las monjas clarisas si “vuelven a la realidad de Jesús”
70
meneos
actualidad “No laven su trauma por el Holocausto con sangre palestina”
40
meneos
actualidad El Templo Satánico está combatiendo el nacionalismo cristiano en las escuelas de EEUU (eng)
18
meneos
actualidad El proyecto canadiense de Captura de Carbono cancelado por no ser económicamente viable (ENG)
31
meneos
actualidad Los precios hoteleros no conocen techo: suben un 12% hasta los 135 euros por noche
38
meneos
actualidad Inscriben a cuatro ovejas en un colegio para evitar el cierre de un aula
13
meneos
actualidad Esos colegios que nadie quiere (Opinión)
33
meneos
actualidad La Hostelería cántabra, "sorprendida" de que solo acudieran 70 de 7.000 parados del sector a una jornada en la que ofrecían empleos para el verano
23
meneos
actualidad Así se vence a Airbnb: el ejemplo de un pequeño pueblo de EEUU
hellodolly

Estooo ¿y Amazon no hace lo mismo? roll

V 1
K 19
noloquiero

#12 No, en principio no. Las normas de los proveedores de tarjetas de debito/cretido prohiben almacenar ese dato de cualquiera de las maneras; hay que solicitarlo en cada ocasión. En teoría lo que hace Amazon es soliciarlo la primera vez para verificar la tarjeta y en las siguientes ocasiones no lo necesita porque ya confía en la tarjeta.

V 3
K 40
D

#17

¿ Para verificar la tarjeta?

Amazon hace exactamente lo mismo, las cosas que se verifican no se guardan por defecto como hace Amazon.

Tienes un problema grave de expresión de lenguaje, y no es la única web que lo hace

Godaddy hace lo mismo también

V 3
K 28
D

toma vale descuento!

V 0
K 11
E



En este caso precisamente, una auditoria en España casi seguro que les habría salido mas cara... y ademas asi han podido "fidelizar" a los usuarios sin tenerles que pedir permiso hasta que los han pillado.

V 0
K 9
e

A ver, esto es una gilipollez, como han dicho en otros comentarios esto lo implementan muchos comercios virtuales, yo diría que la mayoría de los grandes.
De hecho esto se hace porque el banco lo permite y ha creado una API para ello, así que al final esto es un poco juego y apariencias por parte de unos y otros. Vale, la API no te obliga obviamente a guardar datos, simplemente es para integrar la pasarela dentro del comercio, pero joder es que si no es para guardar los datos evitando molestias al usuario de tener que meter los datos cada vez tampoco es que aporte mucho.

V 0
K 9
D
editado

Intenta usar algo mejor que md5, como sha, md5 esta roto.
Respecto a la noticia... Nintendo por ejemplo tb te guarda la tajeta, o amazon. Es tipico de muchas tiendas online.

En mi opinion gracias a la ldpd aveces es mejor hacer las cosas n el extranjero(no digoque las haga eh, pero aveces cuando se me ocurren cosas el paso que veo mas difícil de dar es hacerlo conforme a la legislación española).

V 0
K 7
D

#25 Pero una cosa es guardarte los datos de la tarjeta y otra muy distinta guardar el CCV, que se prohíbe expresamente ya que se usa para verificar que tienes físicamente la tarjeta.

V 2
K 25
D

#30 ami me guardan el ccv...
Estamos hablando ddl número de seguridad de 3 cifras de lss tarjeetas no?
Tanto amazon, como nintendo, por poner dos ejemplo( yo pago con tarjeta y la tengo vinculada por ccv y solo tengo que comprar, solo la meti una vez)

V 0
K 7
D

Supongo que amazon y demas evitaran la ldpd estando en el extranjero de alguna manera.(o cumpliendo lo niveles de seguridad correspondientes, que igual el tema noes que haya que pedirle siempre el ccv sino que el nivel de seguridad no se cumplia)

Estas multss van a mayor, no merece la pena dejarte multar ni de coña porque la segunda vez las cifras suben..

V 0
K 7
ccguy

#31 No es que "eviten" la ldpd. Es que se la suda. Yo no estoy evitando las leyes rusas, simplemente me dan igual.

V 1
K 16
D

#33 las multas que pueden llevarse suben los 300.000€ buenodepende del nivel de seguridad que incumplan que no se en cual estaria esto

V 0
K 7
doninfo
autor

Lo normal es que la pasarela de pago te remita al banco donde si introduces tus datos de la tarjeta y luego despues de aprobarlo vuelvas al comercio, esto garantiza que este tipo de datos delicados son tramitados por el banco solamente. Lo que ha sucedido es que por una configuración en las cookies estos datos permanecían relacionados al cliente en principio simplemente para hacerle el proceso de compra más rapido la siguiente ves. No es descabellado pero el usuario debe dar su consentimiento para esta practica. Es lo que sanciona la AEPD, el desconocimiento por parte del usuario.

V 0
K 7
Mr.Google

#20 así es como lo hago yo, cuando alguien compra algo, le mando a la página de La Caixa, allí introduce los datos y La Caixa confirma el pago, luego le remite de nuevo a su pedido y se lo confirma, mientras yo recibo otro mensaje con el OK de sermepa y así no guardo ningún dato, todo lo hace La Caixa, eso si, por cada compra me cobra su parte.

V 0
K 8
k

¿Y si yo quiero que guarden mi tarjeta, que pasa?

Lo que está claro es que es una opción que debería estar desactivada por defecto, y activarlo a voluntad.

V 0
K 6
Smoje
editado

A esa cantidad le faltan dos o tres ceros... de 200.000 a 2 millones de euros de multa sería lo más justo, ahora ya sé donde no comprar...

V 0
K 6
k
editado

Sigo pensando que al igual que los que no quieren que se guarde el número tienen derecho a ello, yo también tengo derecho a que me lo guarden.

Lo único es que haya que marcar voluntariamente una casilla para prestar consentimiento para que te lo guarde, después de registrarte.

Esto es igual que el banco no pueda mandarte el extracto al mail, obligando a hacer loguin a la oficina virtual.

Entiendo que los que querían protestaran. Pero nos quitaron el derecho a los que si queríamos.
Es tan fácil como poner una casilla desactivada en la configuración de la oficia virtual para que la Active el que quiera.

V 0
K 6
slowRider

y son un autentico coñazo bombardeandote con ofertas que luego no son tales

V 0
K 6