Portada
mis comunidades
otras secciones
#1:
No sé por qué se usa el CVV en lugar de redirigir la página a un tpv virtual del banco o la propia compañía de la tarjeta, como se hacía antes. Nos ahorraríamos este tipo de disgustos.
#9:
El tema del CVV (los numeritos de atrás) por ej, no deben darse nunca a nadie y hay una muy mala costumbre últimamente, me ha pasado más de una vez: quieren fotocopiarte la tarjeta como, entiendo, medida de seguridad por si luego argumentas que fue fraude o similar: no lo permitáis nunca!
Ahora no sólo se fotocopia, se digitalización un DNI y una cosa es que te lo haga una notaria y otra la tienda de la esquina que vende teléfonos chinos
Entre esto y lo de almacenar números de tarjetas sin encriptar....
Nota: igual ocurre con las fotocopias de DNI para cualquier cosa: negaos! Gran parte de las empresas no son conscientes y después simplemente tiran los papeles que sobran (esas fotocopias con tu DNI) En mi empresa, por no decir más, este tipo de documentación se quemaba mucho antes de que hubiera empresas especializadas al efecto para destruir papel con datos. Hablo de hace más de 20 ańos. Es lo mínimo
Ahora no sólo se fotocopia, se digitalización un DNI y una cosa es que te lo haga una notaria y otra la tienda de la esquina que vende teléfonos chinos
Entre esto y lo de almacenar números de tarjetas sin encriptar....
Nota: igual ocurre con las fotocopias de DNI para cualquier cosa: negaos! Gran parte de las empresas no son conscientes y después simplemente tiran los papeles que sobran (esas fotocopias con tu DNI) En mi empresa, por no decir más, este tipo de documentación se quemaba mucho antes de que hubiera empresas especializadas al efecto para destruir papel con datos. Hablo de hace más de 20 ańos. Es lo mínimo
#12:
Les he preguntado por su formulario de contacto y por Twitter sobre que hay de cierto en la información del artículo, veremos si responden. Animo al resto a que hagáis lo mismo para que tenga alguna utilidad y se molesten en responder. Se tarda 2 min.
#3:
Que bien. Ahora todos los que alguna vez han comprado con tarjeta una entrada ahí, tienen todos sus datos en varios sitios, y con información suficiente para clonar las tarjetas.
Un sitio más a añadir al webban.
Un sitio más a añadir al webban.
#24:
#19 No. El CVV no es obligatorio para que una transacción se pueda realizar. Esto depende realmente de quien te dé el servicio.
Por ejemplo, si tú te montas un chiringuito donde vendes chapas, todos los bancos te van dar servicio "seguro", que quiere decir que para poder aceptar un pago de una tarjeta esa tarjeta tiene que ser de las "secure" - las que para empezar validan tu identidad con elementos externos como una visita a tu propio banco, a veces meter una coordenada de otra tarjeta, etc.
En cambio, si eres Amazon, puedes aceptar pagos de cualquier tarjeta aunque sea la más guarrindonga y no tenga ninguna medida de seguridad.
A cambio, si tú has recibido un pago en tu chiringuito es muy muy complicado que el dueño de la tarjeta pueda echarlo para atrás (ya que su identidad ha sido confirmada externamente) mientras que es muy fácil retroceder un cargo hecho en amazon.
De todas formas a amazon le interesa asumir este riesgo (en su caso pequeño ya que lo que venden es mercancía con una dirección de entrega).
Tú en cambio en tu comercio ni siquiera tienes la posibilidad de asumir el riesgo, porque tu banco no te va a dejar.
Más info, por ejemplo: http://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-wihout-the-cvc-cvv-cvv2
Por ejemplo, si tú te montas un chiringuito donde vendes chapas, todos los bancos te van dar servicio "seguro", que quiere decir que para poder aceptar un pago de una tarjeta esa tarjeta tiene que ser de las "secure" - las que para empezar validan tu identidad con elementos externos como una visita a tu propio banco, a veces meter una coordenada de otra tarjeta, etc.
En cambio, si eres Amazon, puedes aceptar pagos de cualquier tarjeta aunque sea la más guarrindonga y no tenga ninguna medida de seguridad.
A cambio, si tú has recibido un pago en tu chiringuito es muy muy complicado que el dueño de la tarjeta pueda echarlo para atrás (ya que su identidad ha sido confirmada externamente) mientras que es muy fácil retroceder un cargo hecho en amazon.
De todas formas a amazon le interesa asumir este riesgo (en su caso pequeño ya que lo que venden es mercancía con una dirección de entrega).
Tú en cambio en tu comercio ni siquiera tienes la posibilidad de asumir el riesgo, porque tu banco no te va a dejar.
Más info, por ejemplo: http://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-wihout-the-cvc-cvv-cvv2
Comentarios
No sé por qué se usa el CVV en lugar de redirigir la página a un tpv virtual del banco o la propia compañía de la tarjeta, como se hacía antes. Nos ahorraríamos este tipo de disgustos.
#1 A mi me hace las dos cosas.
#1 depende del banco. ING casi siempre me redirige a su web.
#5 Si dices el banco emisor de la tarjeta, no. Depende del suministrador del servicio de TPV virtual, del tipo de servicio que dé al comercio...
Nunca verás por ejemplo para comprar en amazon, o en google, o en apple, que sea necesario pasar por tu banco, sea el que sea.
#11 ¿Entonces Amazon almacena el CVV? Se supone que te permiten guardar los datos de tu tarjeta. Entiendo que el CVV lo tendrán que guardar también.
#19 No. El CVV no es obligatorio para que una transacción se pueda realizar. Esto depende realmente de quien te dé el servicio.
Por ejemplo, si tú te montas un chiringuito donde vendes chapas, todos los bancos te van dar servicio "seguro", que quiere decir que para poder aceptar un pago de una tarjeta esa tarjeta tiene que ser de las "secure" - las que para empezar validan tu identidad con elementos externos como una visita a tu propio banco, a veces meter una coordenada de otra tarjeta, etc.
En cambio, si eres Amazon, puedes aceptar pagos de cualquier tarjeta aunque sea la más guarrindonga y no tenga ninguna medida de seguridad.
A cambio, si tú has recibido un pago en tu chiringuito es muy muy complicado que el dueño de la tarjeta pueda echarlo para atrás (ya que su identidad ha sido confirmada externamente) mientras que es muy fácil retroceder un cargo hecho en amazon.
De todas formas a amazon le interesa asumir este riesgo (en su caso pequeño ya que lo que venden es mercancía con una dirección de entrega).
Tú en cambio en tu comercio ni siquiera tienes la posibilidad de asumir el riesgo, porque tu banco no te va a dejar.
Más info, por ejemplo: http://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-wihout-the-cvc-cvv-cvv2
#11 En los TPV con los que he trabajado aparte del CCV te redirige a la web del banco para que metas un codigo como medida adicional. Aunque tambien es cierto que Apple, Amazon, ... se saltan ese paso. Supongo que es porque tienen acuerdos y protocolos de autenticación con las empresas de tarjetas (VISA, MasterCard... ).
#19 Que yo recuerde Amazon creo que no te pide el CCV (solo la fecha de caducidad), aunque lo que si hacen es una autorización previa para comprobar que tienes saldo.
#11 ¿Y por qué no lo hacen?
#22 Por varias razones. Una de ellas y suficiente es que el sistema de seguridad que ya es obligatorio en la Unión Europea no lo tienen implantado en Estados Unidos. Allí casi todas las tarjetas son aún de banda magnética (sin chip), y nada de seguridad extra. Con lo cual, no podrían cobrar a casi nadie...
De hecho, este es un problema para comercios europeos con clientes estadounidenses. Es más complicado de lo que pudieras pensar poder cobrarles, porque casi todas las transacciones se deniegan. Acabas usando paypal aunque no quieras
#1 Hola!, hay varios niveles de seguridad que se pueden aplicar en el pago por tarjetas:
TPV proporcionado por el banco, cuando vas a pagar te envían a un TPV homologado por Visa y Mastercard, si quieres añadir un control adicional para evitar el fraude en emisión puedes incluir la validación 3dSecure que es la que te obliga a su vez a hacer login en tu banco, etc. No se usa siempre porque es más coñazo para el cliente, que quiere pagar y dejarse de zarandajas, también es más caro contratar esta opción. En este caso el comercio no tiene que cumplir con PCI-DSS porque en ningún caso procesa los datos de las tarjetas.
Tu como comercio puedes procesar los números de tarjeta y realizar la transacción directamente con el banco, es el sistema más cómodo para el usuario porque no tiene que estar metiendo sus tarjetas continuamente pero ya que para validar la tarjeta tienes que validar el CVV contra el emisor, el comercio puede quedarse con ese dato en el momento de realizar la validación, obviamente en ese momento si tienes que cumplir PCI pero no hay ningún control ( a no ser que superes una burrada de transacciones y tengas que pasar una auditoría ) que te impida quedártelo
Como veis todo está un poco cogido con pinzas, esta es la razón de que te pongan tantos problemas si tienes un comercio y quieres cobrar con tarjeta en online.
#38 esta es la razón de que te pongan tantos problemas si tienes un comercio y quieres cobrar con tarjeta en online.
Totalmente cierto, estuve mirando en la web de un banco y para tener un TPV virtual con ellos a los autónomos les exigen una antigüedad mínima de 6 meses como clientes, vamos que no puedes llegar y montar una tienda online de un día para otro fácilmente.
Que bien. Ahora todos los que alguna vez han comprado con tarjeta una entrada ahí, tienen todos sus datos en varios sitios, y con información suficiente para clonar las tarjetas.
Un sitio más a añadir al webban.
Les he preguntado por su formulario de contacto y por Twitter sobre que hay de cierto en la información del artículo, veremos si responden. Animo al resto a que hagáis lo mismo para que tenga alguna utilidad y se molesten en responder. Se tarda 2 min.
#12 Aquí tenéis las páginas para preguntar sobre la venta de los datos. Ya no se tarda 2 min, se tarda 1. Espero que os animeis a preguntar.
Consulta en la Web -> http://www.entradas.com/entradas/estatico.do?pagina=contacta
Twitter ->
Facebook -> https://www.facebook.com/entradas?fref=ts
Lo dicho, os animo a preguntarles.
#12 #21 Os dejo hasta un mensaje tipo, más fácil ya....
¿Que hay de cierto en que pretenden vender datos de tarjetas de clientes, incluido CVV?
http://www.samuelparra.com/2014/02/11/codigos-cvv-tarjetas-portal-entradas-com/
El tema del CVV (los numeritos de atrás) por ej, no deben darse nunca a nadie y hay una muy mala costumbre últimamente, me ha pasado más de una vez: quieren fotocopiarte la tarjeta como, entiendo, medida de seguridad por si luego argumentas que fue fraude o similar: no lo permitáis nunca!
Ahora no sólo se fotocopia, se digitalización un DNI y una cosa es que te lo haga una notaria y otra la tienda de la esquina que vende teléfonos chinos
Entre esto y lo de almacenar números de tarjetas sin encriptar....
Nota: igual ocurre con las fotocopias de DNI para cualquier cosa: negaos! Gran parte de las empresas no son conscientes y después simplemente tiran los papeles que sobran (esas fotocopias con tu DNI) En mi empresa, por no decir más, este tipo de documentación se quemaba mucho antes de que hubiera empresas especializadas al efecto para destruir papel con datos. Hablo de hace más de 20 ańos. Es lo mínimo
#9 Luego cuando la fotocopiadora sea vieja la venderán con toda la información dentro
No es legal, deben de cumplir con la normativa PCI-DSS que indica que el CVV NO se puede almacenar en ningún caso.
#7 Pues al final, en última instancia, el único responsable de este mamoneo es el estado, propietario de la web y controlador de la Agencia de Protección de datos.
#8 Perdona, de donde sacas que el Estado es el dueño de la web.
#36 En principal accionista de la web es Bankia, banco que, de momento, pertenece al estado.
#40 Bankia no es una caja ya sino un banco con lo cual los accionistas son los dueños del banco que no tiene una 'titularidad' estatal aunque sea el estado en que desgraciadametne se hace cargo de sus malos numeros pero no de sus buenos ( pero ese es otro cantar). Por otra parte las otras empresas son totalmetne privadas por lo que no creo que esta venta de entradas el dueño sea el Estado como tal.
¿¿¿Es eso legal??, y visto quienes son los dueños de la página suena raro todo ésto, aunque con los antecedentes que hay....
http://www.entradas.com/entradas/estatico.do?pagina=quienes_somos#3
"3. Nuestros accionistas:
Los accionistas de nuestra compañía son Bankia, Banca Cívica y See Tickets International (con más de 40 millones de entradas vendidas en remoto)."
Esta mala practica la realizan muchísimas empresas, una conocida empresa de registro de dominios guardo los datos de mi tarjeta y al año siguiente me auto-renovo un dominio que ya no me interesaba. Fallo mio de no fijarme en que la auto-renovación se activaba por defecto, lo bueno es que contacte con el servicio técnico para decirles que según la legislación vigente en este país esto que habían hecho era ilegal y tuvieron que retroceder el pago.
Si da lo mismo, probad a poner cualquier CVV, os va a dar la tarjeta como válida. Y ahora no estoy troleando
¿Y alguien me explica como la AEPD autoriza ese traspaso de datos, incluyendo CVV, que está prohibido almacenar??
Esto es raro. Entradas.com lo niega..dice que no almacenan ese código, pero en la web del meneo están los documentos.
En su Twitter lo niegan:
#44 hay comercios que sí almacenan ese dato, de hecho hay al menos una sanción en España por hacerlo.
Cuando se va a solicitar una transferencia internacional de datos, que es una cosa muy seria, todos los departamentos están sincronizados y el departamento legal no pone que se va a transferir un dato si realmente no lo tienen o no es necesario para prestar el servicio.
Y recordemos que esto lo han hecho en 2009, 2011 y 2013, en tres solicitudes distintas.
Yo ya les he enviado un correo para solicitar información de mis datos y saber si tengo que cambiar de tarjeta. Según la ley:
"El titular de los datos podrá ejercitar grartuitamente los derechos de acceso, rectificación, oposición y cancelación, dirigíendose a Entradas See Tickets, SA. "
Respuesta de entradas.com.
"Ni guardamos ni vendemos datos personales de nuestros clientes. El cvv2 de la tarjeta es necesario para completar la compra, pero ese dato no se guarda en ninguna Base de Datos. Las autorizaciones se solicitan para poder operar en otros paises. Cuando la Agencia de Protección de Datos expide la correspondiente autorización, es porque cumplimos rigurosamente con la Ley de protección de datos de nuestros clientes. Saludos""
Al final el responsable dirá "no recuerdo, no me consta, no sé" y la culpa ---> del informático, como siempre
Qué desastre. Yo no vuelvo a esa web.
¿ qué es esto? ¿inducir a usar paypal o similares?
Fe de erratas en #46
Donde pone "visa y mastercard" debería poner "visa, mastercard y paypal".
Gracias #48 por el comentario.
Por cierto lo de enviarte a tu banco solo se hace si quieres 3D, vamos lo del sms o tarjeta coordenadas si no no hace falta nunca
El cvv no es obligatorio para ninguna transacción si el cliente final no quiere, pero eso encarece la transacción por posible fraude, lo que se hace para pagos recurrentes, dominios Amazon etc es que el pago primero se hace con cvv y el PAN se guarda cifrado para siguientes transacciones se usa solo el PAN ya que no existe fraude de esa tarjeta con ese usuario. Esto es legal en todo el planeta y respeta las certificaciones PCI.
Aquí rasgándose las vestiduras y quejéndose en MENEAME, typical Spanish!
Estoy harto de tanto llorica!! SI NO ESTAS CONFORME DENUNCIA!!
El problema de éste país es que nos quejamos en la puta barra del BAR
DENUNCIA!!!!!!!
http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/denunciasciudadano/index-ides-idphp.php
https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaDenuncia/tipoSolicitud/solicitudPresencial.jsf
No te gustan los 902? DENUNCIA!!
Crees que te vacilan con tus datos? DENUNCIA!!
Pero de verdad, moviendo el culo, a lo mejor quemamos alguna caloría...
Si piden permiso para la transferencia de esa información... ¿no deberían saltar las alarmas en la Agencia de Protección de Datos y abrir una investigación de oficio?
Si se pudiera pagar por transferencias, seguro que estas cosas no pasaban, o por lo menos no con tanta frecuencia. ¿Por qué hay que llevar una tarjeta de crédito con todos tus datos en la cartera, cuando puedes ingresar en tu cuenta corriente y hacer una transacción? Las tarjetas de crédito, ¿para qué? Ahora hay tarjetas que compras en kioskos y las cargas con el saldo que quieras Compras un par de ellas para cuando tengas que viajar, sin tus datos, las cargas (como se hacía antes con las chip de las tarjetas de crédito que se cargaban en los cajeros) en un kiosko con dinero efectivo y santas pascuas. El sistema de las tarjetas de crédito es una mierda, y podía ser bueno hace unos años pero hoy con Internet es un peligro.
El problema es que las tarjetas de recarga no se pueden utilizar en muchos países, y eso viene sobre todo por el monopolio yankilandesco visa mastercard. A ver cuando alguien se anima y crea una empresa europea para servicios de pago, aunque solo sea en Europa. Me revienta tener que pagar comisiones a los yankis por un servicio tan penoso y tan caro. Lo que mucha gente no sabe además es que visa y mastercard les cobran un ojo de la cara también a los comerciantes por utilizar sus servicios. ¡Menuda estafa!
#46 Pagar con transferencia es un pequeño engorro porque alguien tiene que verificar manualmente que el cobro se hizo, en cambio los sistemas de pago con tarjeta hacen eso automáticamente.
#51 Que quieres que te diga, mucho más automático es también pagar al contado, que con tarjeta, tomarse un par de pasos más por mucha más seguridad me parece una buena solución. Así además los bancos tendrían que responsabilizarse por la seguridad de sus webs. Con las tarjetas existe también esa responsabilidad, pero carga mucho que si alguien te roba dinero de tu tarjeta tengas que anularla, pedir otra y ésa corra a tu cargo.
Tener una tarjeta que recargas cuando quieras (en un cajero o un kiosko, por ejemplo) me parece mucho más práctico que andar con una tarjeta con tus datos y tu cuenta bancaria por ahí. Es que es increíble que para comprar online en muchos sitios te exijan solo unos cuantos números de la tarjeta que están a la vista de todo quisqui.
Lo que sí está claro, no sé si estarás de acuerdo conmigo es que el actual sistema de pago con tarjeta de crédito es un desastre, en términos de seguridad. Leí una vez que solo en Dinamarca había más de 300.000 datos de tarjetas de un solo tipo que se podían adquirir fácilmente online, es decir no se incluían los datos de otras tarjetas.
Pues a mi en lineadirecta me han pedido todos los datos , se los he dado pero me da igual es una virtual creo que para transacciones por internet todos deberian de tenerlas
Algunos bancos dan la posibilidad de crear una tarjeta virtual por el importe y caducidad que deseemos. Es lo que hago yo: antes de terminar el pedido creo una tarjeta virtual por el importe exacto de la compra y me olvido del tema.
#13 Pero en el caso de entradas.com no vale una virtual, porque con la tarjeta física es con la que retiras las entradas de papel en una especie de cajero automático a la puerta del cine.
Tengo una duda, a ver si alguien aquí me la puede aclarar.
En los pdf que se enlazan en la noticia pone que solicitan transferir datos de la categoría "caducidad/CVV" en uno de ellos y en el otro "Nº de tarjeta de crédito/caducidad/cvv". De la forma en que está redactado, yo entiendo que eso no quiere decir que transfieran todos los datos de esa categoría.
¿Alguien sabe si para la AEPD los datos se almacenan en categorías que engloban varios campos? Porque si es así podrían estar refiriéndose a la parte de los datos que pueden almacenar.
#42 las categorías de datos a efectos de inscripción de ficheros son estas (página 7 y 29) https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/documentacion/common/pdfs/Resolucion_formularios_electronicos.pdf
La categoría sería "económicos financieros o de consumo" y "transferencias de bienes y servicios" que ya la mencionan también, pero luego mencionan expresamente otro tipo de datos; no es un formulario en el que se marque una serie de casillas, al pedir una autorización de este tipo se hace por escrito y cada responsable escribe qué datos se van a transferir.
De ahí que al indicar expresamente "CVV" están indicando un dato que tienen y que van a transferir, porque después de listar todos los datos objeto de la transferencia y de la finalidad de la transferencia, dicen "Para ello, será necesario el acceso remoto por parte del importador de datos a los datos personales del exportador de datos". Es decir, será necesario que la empresa de Perú, acceda a esos datos de la empresa española.
Es evidente que si no tienes el dato del CVV no vas a decir que tienes ese dato. Y no es que lo hayan dicho en una ocasión, lo han dicho en 2009, 2011 y 2013.
Si no es cierto que tienen ese dato ¿por qué decirle a la propia AEPD en 2009, 2011 y 2013 que sí lo tienen?
#43 el que hace el documento legal no tiene por que ser el que ha programado la web. Que hayan sido torpes y lo hayan puesto en el documento legal no significa que tengan ese campo en la bbdd. En cualquier documento de tpv queda bien claro que ese dato no se guarda, asi que si realmente lo han hecho es que son muy torpes.
#43 Gracias por la aclaración, aunque viendo como funcionan muchas empresas no me parece nada descabellado que sea como dice #44.
Habría que preguntarse que ha estado haciendo la AEPD para no darse cuenta de que almacenaban esa información aún diciendoselo.
Si escribís vuestro numero de targeta y el CVV en un comentario, el navegador lo detecta y lo cambia todo por X automaticamente. Ya vereis, haced la prueba con la vuestra:
número: XXXX-XXXX-XXXX-XXXX
cvv: XXX
caducidad: XX-XX
#15 Esto es como el famoso ALT-F4?
#16 con Ctrl + W se pueden ver los números que hay debajo de las XX!!
#15 a ver: Hunter2
número: YYYY-YYYY-YYYY-YYYY
cvv: YYY
caducidada: YY-YY
#15 pues va a ser que depende del navegador que uses, a mi me lo ha puesto con Y