Portada
mis comunidades
otras secciones
#1:
Truco de seguridad: Nunca uséis la opción de "recordar tarjeta de crédito para futuras compras".
#15:
#1 Técnicamente si está bien implementado no se guardan los datos de la tarjeta de crédito, sino la autorización de la empresa que emite la tarjeta (visa, mastercard, etc) que suele ser un código o hash
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
#60:
#18 #15 Las aerolíneas como Air Europa tienen flujos de autorización complejos que les obliga a almacenar las tarjetas de crédito. Y no se están pasando por el forro ninguna estandarización, porque precisamente por esto las aerolíneas tienen sus sistemas de pagos certificados por normativa PCI. Si eres certificado PCI, puedes guardar las tarjetas de crédito.
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
#8:
#3 "Air Europa ha recomendado a éstos que se pongan en contacto con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa."
Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.
Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.
Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.
Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.
#38:
#15 De hecho si utilizas una pasarela de pago (Stripe, Adyen, FIS...) tu sistema solo ve los últimos dígitos de la tarjeta y recibe un token para referenciarla.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
#27:
#24 Es una manía de informático viejuno, antes de que RAE aceptase encriptar como cifrar. Encriptar es meter en una cripta, en español no existía esa acepción. Y meter en una cripta es... enterrar. Fué como, yo que se, como ahora los que llaman nube al ordenador de otro.
Edit 2: No hace ni un año de esto: https://www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encriptacion-georreferenciar-videojugador-ciencia-tecnologia.html
Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.
editado:
Es más, lo acabo de mirar en RAE y lo ponen como anglicismo: Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.Edit 2: No hace ni un año de esto: https://www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encriptacion-georreferenciar-videojugador-ciencia-tecnologia.html
Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.
#18:
#15 Si, eso es lo que me extraña. En principio lo normal es que los pagos se hagan siempre en algún sistema externo, desde los comercios se da la orden de pago y se recibe la confirmación, pero el proceso en si de pagar se hace en la pasarela de pago (sea bancaria, de tarjeta, paypal o stripe, etc)
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
#16:
#10 No, pero si piensas así no deberías usar Internet 😅
En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.
A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.
Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.
En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.
A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.
Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.
#2:
Para que guarda eso Air Europa, espero que AEPD o quien proceda les de un buen palo.
Comentarios
Truco de seguridad: Nunca uséis la opción de "recordar tarjeta de crédito para futuras compras".
#2 cc #1
#3 "Air Europa ha recomendado a éstos que se pongan en contacto con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa."
Ahí no dice que hayan pedido recordar o almacenar, dice: "que hayan utilizado" Utilizado, utilizado, no almacenado.
Al margen, hay maneras y maneras de almacenar eso "en el caso" de que lo almacenes.
#8 Tampoco dice que hayan almacenado todo ya puestos... dudo que hayan almacenado algo de lo que no hayan pedido permiso por lo que deduzco que se trata del recordar, de hecho el escandalo no es que se sepa que tenian los datos sino que han sido robados. Hay maneras de almacenarlo si... pero con manera de recuperarlo, no se trata de una password que te da igual cual es generas un hash y luego comparas hash y asi no almacenas ninguna password, aqui se trata de almacenar algo que usaras, si lo almacenasen ecnriptado, en algun lugar deben almacenar la clave para dessencriptarlo y ahi esta el problema si te hackean pueden obtener los datos encriptados y las claves perfectamente, osea todo.
#11 Bueno, pues si lo entierras con una clave, lo desentierras con la misma clave, o no, que puedes poner un "salt" para cada usuario y aplicarlo con la clave de enterramiento. Aunque no se usasen tecnicas avanzadas de enterramiento, simplemente con enterrarlo ya estás complicando un poquito mas.
Luego también podrías cifrar y descifrar.
#17 cualquier proceso que pongan o hagan si te han entrado hasta la cocina... tendran el dato encriptado, el salt, la pimienta todo... toda cerradura que necesita abrirse es insegura si te roban la llave... y es lo que ha pasado
#17 Por curiosidad, ¿que es eso de enterrar con clave?
#24 Es una manía de informático viejuno, antes de que RAE aceptase encriptar como cifrar. Encriptar es meter en una cripta, en español no existía esa acepción. Y meter en una cripta es... enterrar. Fué como, yo que se, como ahora los que llaman nube al ordenador de otro.
Edit 2: No hace ni un año de esto: https://www.microsiervos.com/archivo/mundoreal/rae-diccionario-ciberpunk-encriptacion-georreferenciar-videojugador-ciencia-tecnologia.html
Edit 3: Aceptando cosas como cederón o deuvede :-P... ya perdieron el respeto.
#27 Vale, es que como luego hablabas de cifrar pense que estabas hablando de un proceso diferente.
#28 No, es una coña.
#27 Lo que sí es de viejuno es lo de "la nube es el ordenador de otro"
Todos los servicios que no están en tus equipos están en (que no son) "el ordenador de otro". Y nada te impide desplegar una nube en tus propios equipos, como hacen tantas y tantas empresas... incluida la mía. Para mis jefes la nube no es "el ordenador de otro".
#53 Menuda cuñadez, cuñao Si lo tienes tu no es "la nube"
#56 Vamos, que ni puta idea de lo que es una nube privada
"Informático" dice ¿Montabas ordenadores?
#27 hostias qué buena, no me la sabía. Me la guardo
#1 De siempre, jamás he guardado la tarjeta ni en local ni en ninguna web. Es de lo peor que puedes hacer, por muy cómodo que sea.
Acordarse de lo que pasó con Sony...
https://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
#17 precisamente eso es lo que se criticó a Sony, que no cifrara las tarjetas de crédito y estas estaban en texto plano.
#61 ¿Cómo que no se guarda? A ver si no vas a guardar las transacciones realizadas un tiempo. Hablamos de dinero, por lo que guardas todo lo que puedes el máximo de tiempo que te permitan, por si acaso hay que reclamar en algún momento.
#89 Guardas la transacción, no el número de tarjeta.
#95 Ya ves que hay casos donde no se hace ...
#11 siempre que pago con tarjeta en web se abre una web intermediaria del banco o redsys, las webs no deben ver ni almacenar esa información.
Y me solicita autorización en la app del banco.
El último pago que hice la web ofrecía pago por bizum, solo pones el numero de teléfono y luego autorizas en la app del banco. Y visa o mastercard no se llevan comisión.
#43 Es lo ideal, RedSys y doble verificación.
#8 Si los datos los das en la página de RedSys o la pasarela del banco, el proveedor no los ve. Lo malo es dárselos al proveedor.
#2 Yo creo que lo guardan precisamente para lo que menciona #1. Gente que acepta de forma explicita recordar la tarjeta para futuras compras en su perfil de usuario.
No se yo si la AEPD va a tener nada que ver con eso.
#4 tiene que ver en cuanto es tu deber proteger esa información.
#22 Esta tontería se acaba rápido en el momento que las empresas deban compensar individualmente a cada indivíduo por los datos robados.
#31 Sí, ya está Alberto Garzón trabajando en ello
#22 Evidentemente que es su deber protegerlo. Pero me habia parecido que #2 iba mas en darles un palo por "guardarlo". Cuando es algo perfectamente normal.
#4 Esos datos no son cualqueir cosa ... para poder guardar esos datos (CVV!!) tienes que cumplir una normativa de seguridad muy estricta. MUY estricta. Obvio cualquier empresucha puede guardarlos como le venga en gana, pero se expone a este tipò de cosas. Si cumplian los criterios de seguridad tiene q haber sido un error humano, no queda otra. Es extremadamente grave. Se pueden hacer compras con esa información.
#42 ahí iba yo. Que pasa, han guardado toodos los datos?. No jodamos... Guarda el número de tarjeta (que bueno, guardarlo en claro, en fin) pero pide siempre el cvv... Para la gente en general, sospechad de los sitios dónde puedas comprar recursivamente sin meter ningún dato... (a ver, que hay gente que lo hace bien, pero siempre está bien estar bien educado en estas cosas)
#49 como amazon?
#49 las compras recurrentes solo requieren el PAN tokenizado y la fecha de caducidad, llamese Amazon y similares, por ende no se almacena el cvv y solo se usa en la primera transacción https://pagosonline.redsys.es/funcionalidades-COF.html
#42 algunas auditorías PCI son de risa. Y las compañías suelen mentir para conseguir la certificación.
#42 CVV no lo pueden guardar, y debieran meterles un puro bien gordo si lo tenían guardado. CVV significa que tienes la tarjeta en tu mano, para evitar uso por terceros. Salvo la pasarela de pago, nadie debe pedirte el CVV.
A veces te lo piden en algún comercio chapucero para poder pagar por tarjeta. Lo que hacen es meter esos datos por ti en su pasarela. Es decir, te están suplantando. Y nadie te garantiza ue luego borren esos datos, como si hace una pasarela.
Lo dicho, esperouwlrs metan un buen puro por tener información que no pueden tener.
#4 Los datos de tarjeta normalmente se tokenizan precisamente para poder guardarlos en una base de datos normal sin las exigencias que comporta guardarlos en bruto. Si los han guardado en bruto en una BBDD normal, la AEPD sí que va a tener algo que decir.
#1 de seguridad y un poquito de sentido común también.
llámame boomer,no se...
#1 Que no lo aceptes no implica que no lo guarden, por ejemplo, para devolver algún importe cobrado indebidamente. Y si lo guardan, puede ser robado.
Pero vamos, que mejor no aceptar nunca la opción de recordar tarjeta de crédito.
#7 para devolver no necesitan el ccv
#7 se guarda un token con la pasarela de pago. Pero según como guarden los datos pues pueden estar expuestos también.
Pues ya lo ha comentado #15 también
Lo ideal es pagar siempre con tarjeta virtual desechable como comenté en #34
#35 totalmente de acuerdo. Y más en sitios de dudosa reputación. Aunque visto lo visto....
#35 O con tarjetas de recarga como realizo yo cuando compro o encargo algo online.
#35 o con cvv dinámico
#7 Rara vez se guardan los datos abiertos de la tarjeta. Hay una normativa muy estricta al respecto
#1 en las cookies está bien, pero ¿hay alguna garantía de que independientemente de lo que marques, es lo que sucede en sus servidores?
#10 No, pero si piensas así no deberías usar Internet 😅
En principio ninguna web almacena las contraseñas en texto plano. En la práctica, ¿hay alguna garantía de que no lo hagan?
No deberías usar contraseñas por tanto.
A priori, si en una segunda compra no nos recuerda el CCV es que no estaría guardando, porque guardar un dato que exige niveles altos de seguridad para no usarlo no es muy lógico.
Otro truco de seguridad, usar siempre 2FA, tarjetas de crédito/débito que funcionen como "monedero" para las compras por Internet (que tu tengas que meter el dinero a mano, por lo que quedan "vacías" tras usarlas) o tarjetas con CCV dinámico.
#1 Técnicamente si está bien implementado no se guardan los datos de la tarjeta de crédito, sino la autorización de la empresa que emite la tarjeta (visa, mastercard, etc) que suele ser un código o hash
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
#15 Si, eso es lo que me extraña. En principio lo normal es que los pagos se hagan siempre en algún sistema externo, desde los comercios se da la orden de pago y se recibe la confirmación, pero el proceso en si de pagar se hace en la pasarela de pago (sea bancaria, de tarjeta, paypal o stripe, etc)
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
#18 #15 Las aerolíneas como Air Europa tienen flujos de autorización complejos que les obliga a almacenar las tarjetas de crédito. Y no se están pasando por el forro ninguna estandarización, porque precisamente por esto las aerolíneas tienen sus sistemas de pagos certificados por normativa PCI. Si eres certificado PCI, puedes guardar las tarjetas de crédito.
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
#60 Primera noticia de eso, gracias por la info
#15 yo he trabajado con sistema de pagos tb, la que yo conozco es relativa a un unico pago, desconozco si hay autorizacon te permite seguir pasando cargos? que para el caso patatas or que si ese hash permite pasar cargos es lo mismo que tener todoslos datos de la tarjeta
#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra
#15 Por saber: Entonces cuando Amazon te dice "Visa / 4B / Euro6000 Tarjeta de crédito que termina en •••• 9999", ¿no tiene el número completo? Doy por supuesto que Amazon lo hace bien, claro. Sí veo que guarda la fecha de caducidad.
Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25
Muchas gracias de antemano.
#70 Amazon puede sacar esa información con la api de la pasarela de pago.
Digo puede porque una mega empresa como Amazon probablemente tenga su sistema propio y si que tenga derecho a almacenar cuentas de crédito.
Algunas empresas de e-commerce más pequeñas que Amazon usan pasarelas de pago.
#15 De hecho si utilizas una pasarela de pago (Stripe, Adyen, FIS...) tu sistema solo ve los últimos dígitos de la tarjeta y recibe un token para referenciarla.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
#38 #15 #14 #33 Air Europa tiene la certificación PCI DSS, con lo cual está autorizado a guardar esos datos. Y ahí viene la cuestión. Cómo es posible que una empresa que obtiene la certificación PCI DSS (que implica la existencia de protocolos que permiten la máxima protección posible de datos de usuario) tiene ese tipo de brechas de seguridad.
#54 pues ahí está la historia.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.
#65 Air Europa está en un problema gordo, pero la certificadora puede estar en otro si no ha cumplido con las inspecciones para su implementación. Se pone en duda el valor de esta certificación.
#69 de esta y del resto de certificaciones que ha emitido la misma.
#69 Viendo como se pasan muchas certificaciones, no dudes solo de ésta, duda de todas.
#54 PCI-DSS prohíbe expresamente que puedas almacenar el CVV y el PIN. Esos son dos datos que no puedes almacenar en ningún caso. Una certificación PCI-DSS no te habilita a guardar esos datos, al contrario, se supone que alguien ha verificado que no se esté haciendo.
#15 Eso iba a preguntar, si el recordatorio de tarjeta, no se podria hacer como las pasarelas de pago, en las que la tienda no tiene porque saber el numero de tarjeta.
https://es.wikipedia.org/wiki/Pasarela_de_pago
#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.
#15 normalmente, el banco prefiere que el origin de la transacción no almacene nada, uno porque no es su negocio, y dos, porque así se vuelven más necesarios… (Y el esquema más seguro)
En cualquier caso, no hablan de tarjetas almacenadas, sino tarjetas usadas… puede ser que en la arquitectura haya habido algún punto donde se loggease “inocentemente” esta información, o bien que hayan sufrido un esquema de “MiM”, o bien, que algún dato no viajase suficientemente securizado…
Nunca he comprado personalmente con ellos ningún vuelo, pero suelo volar, y tanto la web como la aplicación móvil, funcionan bastante mal… Con muchos errores y cuelgues
#67 tu servidores no pueden recibir información alguna de tarjetas si no tienes la certificación que te permite guardarlas. Ni como log, ni registro de transacción, ni para autorizar nada en los proveedores externos.
#84 goto #85
#85 Ya, pero según parece, están acreditados PCI-DSS, y por tanto según reza el capítulo 3 (o 4) de la PCI “El almacenamiento ha de ser el mínimo necesario”, por tanto, pueden almacenar.
Por otra parte, los primeros capítulos de la PCI te hablan de medidas de seguridad a establecer, pero realmente, puedes cumplir con un truño… y realmente, si tienes un desafortunado log “escupiendo datos” en un pequeño componente del programa, el Assessment no te lo va a encontrar…
#15 Venía a comentar eso, RedSys te da la opción de guardar los datos pero quien los custodia es la pasarela, RedSys u otra y no el proveedor.
Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.
Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?
#15
#119 Porque guarda la autorización de la empresa que emite la tarjeta, no los datos en sí.
#15 lo explica bien
#1 Y aparte, te evitará algunas compras compulsivas Yo , por ejemplo, en las plataformas de compra de videojuegos nunca le doy a recordar para así, sí quiero comprar en ellas me lo tenga que pensar dos veces...
#1 yo uso tarjetas desechables para los sitios webs que no me parezcan de confianza.
#21 ¿Air Europa no te lo parecía?
#21 Pero en principio a Air Europa se le puede presuponer esa confianza... en cualquier caso nunca almacenarlas.
#1 lo ideal sería usar siempre tarjetas virtuales de un solo uso
#34 Desde el desconocimiento, ¿eso existe? Es decir, una opción en tu banco que te genere aleatoriamente un número de tarjeta de débito, fecha y CVV para usar en 10 minutos, por ejemplo, simplemente para pasar el cargo a cuenta y luego desaparezca y te genere tantos como precises. Evidentemente, para las de crédito no funcionaría.
Yo uso una tarjeta monedero donde no suelo tener más de 200 euros.
#83 Si, casi todos te ofrecen muchas alternativas al respecto. Yo trabajo bastante con Revoult para eso y suele ser muy cómodo.
Que yo recuerde ahora es más cosa de permitir un único pago más que limitarlas a 10 minutos, también puedes limitar el importe pero compro poco últimamente online y puedo estar equivocado.
#1 Quizás por eso no he recibido el email.
#1 perdona, creo que la preocupación es que han robado información sobre las transacciones realizadas. Es decir, que en sus bases de datos se guardan los datos de las compras, que incluyen los números de tarjeta y titulares utilizadas en las compras de billetes y que podrían utilizarse por terceros para realizar cargos fraudulentos.L
Lo que mencionas se guardaía en el almacén de contraseñas local, de tu ordenador y no sería accesible en un ataque a air-europa sino a tu ordenador. No obstante, es en general, un consejo de seguridad a considerar.
#1 Entiendo que si has comprado un vuelo de air Europa a través de eDreams no pasa nada no?
Yo nunca doy a guardar tarjeta porsiaca...
#1 yo nunca lo hago, pero en ningún caso las empresas deberían de almacenar el CVV. Como mucho que almacenen tu tarjeta (si tú lo has pedido) pero el CVV que lo tengas que poner siempre
#1 si cumplen con PCI debería dar igual... De un HSM no van a volcarlas... Lo que me parece de coña es como las gestionaban Air Europa...
#1 yo lo hago, pero mi tarjeta bancaria para compras de internet es monedero, o le meto pasta o buena suerte para robarme algo.
#1 muchas tiendas entre ellas amazon, no preguntan si quiere que almacene la tarjeta de crédito, directamente la almacenan y listo, las compañías aéreas igual.
#1 o usar PayPal, Apple/Google Pay (usan otro número), o la tarjeta virtual del banco (Wise te las crea gratis).
#1 Eso es si las tarjetas las han robado de una base de datos, si estaban espiando las transacciones da exactamente igual. Dudo que guardaran el CVV. De todas maneras les va a caer un puro.
#1 Si crees que ese truco "funciona", y que los datos de tus tarjetas no se almacenan en ningún sitio tras una transacción
#1 Positivo y buen consejo pero quisiera añadir es no dar el número en la web en cuestión del proveedor sino en la pasarela bancaria que te sale a la hora de pagar, así los webadmins no ven los datos. Y si puedes usar una tarjeta virtual o de un solo uso, mejor.
#1 Y bajo ningun concepto el CVV, de hecho igual es hasta ilegal
Para que guarda eso Air Europa, espero que AEPD o quien proceda les de un buen palo.
#2 pues yo ya estoy en un momento de la vida en que prefiero que no.
Piénsalo. Si se le mete un palo grande, la empresa cerrará, echará a los trabajdores, los que la han cagado no pierden nada, los directivos se han llevado calentito su sueldo, y al dia siguiente abre una nueva empresa, Air Eupora, con los mismos directivos, contratando a los mismos trabajadores con peores condicioens, y dispuestos a hacer la misma mierda.
Personalmente, creo que toda cagada de empres debería repercutir directamente en todo trabajador de la misma y todo accionista, en el porcentaje que le corresponda. Si cobras 1M€ de la empresa, y ésta se valora en 100M, tu solito vas a pagar el 1% de la multa. Así de simple. Hasta los cojones de las mamadurrias de "la empresa no tiene pasta", cuando el directivo de turno viaja en porsche y tiene piso en Madrid y casa en la Costa Brava y apartamento en Canarias. Al dia siguiente abre otra, y suma y sigue. Andatomarporculoya.
#9 a todo trabajador
Y una polla.
#2 Esperas que alguien le de un palo a Air Europa por incumplir algo que de momento sólo está en tu cabeza. Es decir, no tienes claro ni el quien ni el porqué, pero tú quieres un buen palo.
#40 Si!
Una empresa no debería guardar datos que no puede custodiar de forma segura.
Yo haría responsable de todos los perjuicios a la empresa.
#14 es que para trabajar con tarjetas exigen certificación PCI y para esto exigen HSM que es un hardware de cifrado especifico... Si no han cumplido PCI se les va a caer el pelo y si lo han hecho ... Es virtualmente imposible que hayan volcado las tarjetas y cvv
#57 No pueden haber cumplido PCI si tenian almacenado el CVV. Según PCI el CVV no se puede almacenar nunca
#82 por eso mismo lo digo que no se coño estaban haciendo
Edito es que ni para recurring ni para ningún caso tiene o se debe guardar... De hecho el cvv debe saltarse caches y cualquier otro medio de persistencia según el estándar de banca
Air Europa dispone de certificación PCI DSS y eso le permite almacenar las tarjetas. El problema es precisamente si cumplen con la certificación, cómo es posible esta brecha. Están en un problema gordo, y a lo mejor la certificadora también, ya que está obligada a realizar auditorías que verifiquen su cumplimiento. No es necesario autorizar implícitamente el guardado de estos datos.
#66 Pero sólo pueden guardar algunos datos. Estos son los permitidos y los que no. Que tienen un serio problema ahora está claro.
#73 sí pueden guardarlo, pero tienen que borrarlo una vez se finalice el proceso de autorización:
"PCI DSS does not prohibit the collection of card verification codes/values prior to authorization of a specific purchase or transaction. However, it is not permitted to retain card verification codes/values once the specific purchase or transaction for which it was collected has been authorized.".
#75 a eso me refería en mi comentario de #33, seguramente durante el proceso el dato se ha volcado en algún tipo de log, de forma que se guardado indeseadamente.
#103 goto #75
#75 No pueden guardarlo. Precisamente el texto que has copiado te lo dice: puedes "recabar el dato" para hacer la verificación (PCI DSS does not prohibit the collection), pero no puedes "almacenarlo" (However, it is not permitted to retain card verification codes/values".
Sólo he volado con Air Europa una vez y era a través de una agencia hará ya la hostia de tiempo.
Aún tengo grabado en la cabeza el puto frío que hacía en el avión, que se les había estropeado la climatización
Por suerte, para autorizar pagos muchas tarjetas necesitan una confirmación en la app.
como si no se almacenará cuando no le das, vamos que si yo quiero una devolución te la hacen sin problema y a través del mismo medio...
#6 No es así exactamente, la empresa que hace el cobro simplemente comunica a la tarjeta de crédito que el pedido XXXXXXXXX ha sido cancelado y se realiza el reembolso. No hay necesidad de guardar esos datos.
#6 como dice #13 en la aceptacion de pago recibes un codigo especial que identifica la transacion y con ese codigo puedes cancelar o abonar el pago.
#26 pues justo cuando lo acabe de escribir me acordé de eso
#13 estoy afectado, he preguntado al delegado de protección de datos de la empresa si han almacenado ellos el número de mi tarjeta, fecha de caducidad y cvv. Ya veremos qué dicen.
#36 También estoy afectado, informa en cuanto sepas por favor.
Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?
Pensaba que estaba prohibido almacenar el cvv sin excusa alguna.
#46 Y está prohibido por los estándares de PCI DSS
Pues si tenían las tarjetas en la base de datos sin cifrar de ninguna manera, da para denuncia gorda
No creo que ninguna empresa que pretenda ser seria guarde estos datos voluntariamente, así que tiene pinta del típico combo de registro mal configurado que guarda lo que no tiene que guardar y mala custodia de dicho fichero de registro.
#33 Justo, culpa del informático que hizo el formulario
#33 para eso están las auditorías y certificaciones ... A más de uno se le debería caer el pelo
Y los usuarios son los que tienen el problema