Subiektywnie o finansach

Blog Macieja Samcika, długoletniego dziennikarza ekonomicznego Gazety Wyborczej . O finansach małych i dużych. Mnóstwo ciekawostek na temat pieniędzy. Wiadomości ważne dla domowego budżetu. Porady finansowe i recenzje reklam instytucji finansowych.

Wpis

niedziela, 29 maja 2011

Sprzedawca i wydruk z numerem twojej karty płatniczej. Niebezpieczne połączenie?

Każdy użytkownik karty bankowej - czy to debetowej, czy kredytowej - powinien zdawać sobie sprawę z tego, że tego kawałka plastiku nie powinien nikomu dawać do łapki. Wprawdzie prawie wszystkie karty są dziś zabezpieczone kodami PIN, więc teoretycznie nielegalny posiadacz nie zrobi z takiego kawałka plastiku żadnego użytku (nie ma szans na potwierdzane tylko sfałszowanym podpisem zakupy na konto właściciela karty). Ale w dobie zakupów internetowych już sam numer karty, imię i nazwisko właściciela nadrukowane na niej, data ważności karty oraz kod CVC z odwrotu karty wystarczą, by wpędzić prawowitego właściciela karty w kłopoty. W internetowych sklepach ten zestaw informacji wystarczy do przeprowadzenia zakupu.

Dlatego właśnie jeden z moich czytelników zaniepokoił się mocno, widząc na wydruku, który dostał od sprzedawcy, pełen numer swojej karty. Dotąd na potwierdzeniach transakcji, drukowanych przez terminale, mój czytelnik widywał tylko ostatnie cyferki numeru swojej karty, pozostałe cyferki były „zakratkowane”. Zapewne po to, by klient mógł spokojnie pozbyć się wydruku bez obaw, że przypadkowy wizytator śmietników zbyt wiele dowie się o jego finansach.

 „Kilka dni temu chciałem zapłacić za pewną usługę, jednak - jak się później okazało - na wszystkich moich kartach ustawione przeze mnie limity były na tyle niskie, że nie pozwalały na przeprowadzenie transakcji. W efekcie zostałem posiadaczem sześciu kwitków z terminala firmy Polcard, informujących o braku autoryzacji albo odmowie przyjęcia transakcji. Niby normalna sprawa i nie dziwiłbym się, gdyby nie jeden fakt. Na trzech z nich został wydrukowany pełny numer mojej karty! Na trzech potwierdzeniach numer jest wygwiazdkowany, a na trzech pozostałych - nie. Jak dla mnie jest to bardzo dziwne” - pisze czytelnik.

Dla mnie też. Dlatego załączyłem przekazany przez czytelnika skan i poprosiłem przedstawiciela firmy Polcard o wyjaśnienie - czy na potwierdzeniach transakcji mogą być rzeczywiście „niewygwiazdkowane” numery kart? Oto czego dowiedziałem się od Zbigniewa Wiśniewskiego, członka zarządu polskiej odnogi firmy First Data, właściciela marki Polcard. „Klient dostał od merchanta [czyli sprzedawcy w sklepie - dopisek samcikowy] wydruk zarówno przeznaczony dla niego, na którym jest obowiązek częściowego zasłonięcia numeru karty, jak i wydruk przeznaczony dla merchanta, czyli kopię, na której numer nie musi być zasłonięty. Dlatego prawdopodobnie co drugi wydruk miał numer pełny, co drugi zasłonięty. Takie drukowanie numeru karty jest w pełni zgodne z regulacjami organizacji kartowych. Merchant jednak nie powinien oddawać swoich kopii posiadaczowi karty”.

Cóż, wyjaśnienie zagadki okazało się proste, niemal banalne. Choć przyznam, że nieco się zaniepokoiłem posiadłszy wiedzę, iż wydruki, które zatrzymuje u siebie sprzedawca, mają pełen numer karty. Wiadomo, że bez kodu CVC z odwrotu karty niewiele się z tą wiedzą da zrobić. Ale właśnie to jest kolejny argument do tego, by nigdy, przenigdy nie oddawać sprzedawcy do rąk swojej karty w taki sposób, byśmy stracili ją z oczu. Jeśli nie będziemy przestrzegali tej zasady, możemy się kiedyś obudzić ze świadomością, że ktoś nieuprawniony zrobił na nasze konto zakupy w internetowym sklepie.

Szczegóły wpisu

Tagi:
brak
Kategoria:
Autor(ka):
maciek.samcik
Czas publikacji:
niedziela, 29 maja 2011 11:12

Polecane wpisy

Trackback

Komentarze

Dodaj komentarz

  • panpavel napisał(a) komentarz datowany na 2011/05/29 11:23:52:

    Teoretycznie wymagania PCI-DSS (które na pewno Polcard spełnia) mówią iż Primary Account Number musi być 'nieczytelny' - przynajmniej gdy jest gdzieś przechowywany. Na pokwitkach z terminali przy udanych transakcjach PAN jest zagwiazdkowany, jednak przy transakcjach nieudanych faktycznie drukuje się cały numer. Również słyszałem że jest to dozwolone, a czy słusznie to inna sprawa. Wszak PAN jest widoczny jawnie na karcie, jakby się merchant uparł to może przez tę chwilę gdy ma kartę go zapamiętać ;) Nie zrobi jednak z niego żadnego użytku.

    Pzdr

  • k-ry_k-ry napisał(a) komentarz datowany na 2011/05/29 13:07:28:

    Dlaczego ma nie zrobić z niego żadnego użytku? Może zrobić użytek jak najbardziej. Pisałem o tym w komentarzu na fb, więc przekleję:

    "Tak to wygląda od strony sprzedawcy:
    1) Potwierdzenie transakcji dla sprzedawcy - images45.fotosik.pl/894/1d38c485c1b7af16med.jpg
    2) Nie musimy męczyć się z zapamiętywaniem numeru karty - on jest na zestawieniu dobowym - o tu - images41.fotosik.pl/885/7998b7b13e367cbfmed.jpg
    3) Zapamiętujemy tylko imię i nazwisko oraz 3-cyfrowy kod CVV
    4) ...
    5) PROFIT! :)))"

    Jak widać sprzedawca ma dostęp do daty ważności i pełnego numeru karty. Imię i nazwisko posiadacza wyświetla się na terminalu w chwili, gdy przeciągniemy pasek przez czytnik. Kod CVV2 też nie jest w żaden sposób ukryty i widać go, gdy sprzedawca przekłada kartę w ręku tak aby ustawić ją paskiem w odpowiednią stronę do czytnika. Tak naprawdę więc sprzedawca musi jedynie zapamiętać imię, nazwisko i 3-cyfrowy kod. To banał.

    A jaki użytek można zrobić z tych informacji? Możemy na przykład użyć tych danych do płatności w internecie - mamy komplet potrzebnych informacji.

  • magdalaena1977 napisał(a) komentarz datowany na 2011/05/29 13:20:43:

    No właśnie - dlaczego cvv jest wydrukowany na karcie, a nie dostarczany w osobnej kopercie jak PIN ?

  • panpavel napisał(a) komentarz datowany na 2011/05/29 13:33:46:

    @k-ry_k-ry
    Posiadanie tych danych o których mówisz faktycznie umożliwiają opisywany scenariusz. Jednak dane te są zawarte na samej karcie w czytelnej formie, zatem Twoja uwaga powinna być skierowana do organizacji płatniczych i issuerów kart, nie zaś do działania samego terminala.

  • k-ry_k-ry napisał(a) komentarz datowany na 2011/05/29 13:39:46:

    @panpavel: zwracam jedynie uwagę na to, że mimo maskowania numeru karty na potwierdzeniu dla sprzedawcy - pełen numer ujawnia się na każdym raporcie dobowym drukowanym z maszyny.

  • panpavel napisał(a) komentarz datowany na 2011/05/29 14:18:07:

    @k-ry_k-ry
    Drukują się PANy użytych kart, jednak te dane w takim raporcie nie są parowane z żadną inną daną, jak np nazwisko cardholdera, nie mówiąc o expiry date czy cvv/cvc.

  • matematycznie napisał(a) komentarz datowany na 2011/05/29 15:41:46:

    Czasem przy płatnościach internetowych wymagane jest podanie adresu. Tutaj bardzo sprzedawcy może się przydać wystawiona klientowi faktura.
    Płacę kartą często. W świetle informacji podanych w blogu zaczynam się obawiać. Może jednak gotówka nie jest taka zła.

  • zat4ra napisał(a) komentarz datowany na 2011/05/29 16:03:36:

    sam numer karty, imię i nazwisko właściciela nadrukowane na niej, data ważności karty oraz kod CVC z odwrotu karty wystarczą

    To nieprawda. Kazdy porzadny "merchant account" wymaga rowniez podania adresu
    uzytkownika karty, ktory jest do niej przypisany.
    Bez tego nie ma weryfikacji. Tak wiec problem o ktorym pisze Autor, nie istnieje, bo adresu, oczywiscie, na karcie nie ma.

  • zat4ra napisał(a) komentarz datowany na 2011/05/29 16:05:28:

    Cos tu nie tak technicznie. Znak cytowania " " znika.

  • indy30 napisał(a) komentarz datowany na 2011/05/29 16:17:27:

    1) Adres posiadacza karty przy płatnościach internetowych jak też MO/TO poza Stanami Zjednoczonymi NIE JEST w żaden sposób weryfikowany - można tam podać cokolwiek.
    2) Po co sprzedawca ma zapamiętywać - wystarczy że ustawi kamerę w sklepie na terminal - nagra się numer karty, data ważności, imię i nazwisko posiadacza i kod CVV2. Często nagra się też jaki PIN wprowadza klient, choć to już nie jest potrzebne.

  • n30n napisał(a) komentarz datowany na 2011/05/29 17:49:18:

    Moral z tego taki:
    * Nie uzywac kart kredytowych - to wynalazek szatana.
    * Kart debetowych uzywac jak przedplaconych i zasilac konto raz na jakis czas.
    * Poustawiac limity pozwalajace na wiele transakcji ale o niewielkich kwotach.
    * Karty bezstykowe posiadac tylko na rachunku bankowym, ktory nie jest naszym glownym rachunkiem i doladowywac ten rachunek tylko w razie potrzeby.

  • sinus1 napisał(a) komentarz datowany na 2011/05/29 17:53:44:

    Ja na wszystkich kartach zdrapałem sobie numer CVV, mam je zapisane osobno w bezpiecznym miejscu. Dzięki temu sprzedawca nigdy nie pozna tego numeru. A jeśli użyje danych z karty na stronie która nie wymaga podania CVV (chociaż ciężko taką znaleźć) to przecież istnieje chargeback...

  • pamietnikwindykatora.pl napisał(a) komentarz datowany na 2011/05/29 19:50:55:

    Do @n30N: Odkąd mam w mBanku opcję automatycznej spłaty debetu na karcie to bardzo ją sobie chwalę. Ponadto odsetki od debetu nawet gdy w nie wpadniesz są i tak niższe od RRSO każdego kredytu gotówkowego. Karta kredytowa więc to całkiem fajny wynalazek.

  • kr_kr napisał(a) komentarz datowany na 2011/05/29 20:40:45:

    Sprzed kilku lat pamiętam informacje, że dla zabezpieczenia danych wprowadzono właśnie maskowanie części numeru karty na wydrukach. Wcześniej był pełny numer z datą ważności. Ba, w jednym z popularnych punktów turystycznych w Norwegii było nawet moje imię i nazwisko.
    Po tych informacjach zauważyłem, że rzeczywiście większość terminali miała wdrożone takie maskowanie - i nie jest prawdą, że na kwitku dla sprzedawcy jest pełny numer, a dla mnie zamaskowany: karta, którą najczęściej się posługuję jest kartą "na podpis", który składam oczywiście na kwitku sprzedawcy. I numer na nim był prawie zawsze maskowany. Ostatnio jednak pojawia się coraz więcej terminali, na których numer nie jest maskowany. I są to terminale w nowych sklepach, więc nie może być mowy o nieprzestawionych "starociach". Dlaczego tak się dzieje?
    Nie wiem.
    Czy się tego obawiam?
    Zbyt długo karty używam, żeby powiedzieć inaczej niż: nie.

  • mniklasp napisał(a) komentarz datowany na 2011/05/29 21:45:10:

    panie Samcik, mozliwe zepana rady sa dobre wPolsce ,Europie. Ja w USA place karta kilka razy dziennie i srednio raz dziennie karty swojej nie widze przez kilka minut.I to robie od 20 lat i to robi moja zona i to robi miliony obywateli USA. NIe mamy najmiejszego problemu z tym opisanym problemem.Inne swiaty

  • bilancio napisał(a) komentarz datowany na 2011/05/30 09:31:27:

    @mniklasp: i rowerów u Was pewnie z bloków nie kradną ;)

    Inne światy. W Polsce każdy każdego podejrzewa o kradzież - TO CHORE!!!
    Po jakiś świt sprzedawca miałby nagrywać kamerą operacje klienta? Przecież gdyby wykorzystał tak kilka kart od razu by połączono, gdzie Ci klienci wspólnie robili zakupy.

  • rarog-online napisał(a) komentarz datowany na 2011/05/30 10:45:33:

    Dlatego tacy nieuczciwi merczanci zbierają dane i czekają z ich wykorzystaniem do ostatniego miesiąca ważności karty - za rok, dwa, trzy. Jeśli taki jest ich fach zdążą do tego czasu trzykrotnie zmienić miejsce pracy... Doświadczyłem. Śledztwo zostało umorzone, bank rozpatrywał moją reklamację cztery miesiące (w końcu zwrócili pieniądze, ale nie było łatwo)

  • mi-l-ja napisał(a) komentarz datowany na 2013/05/11 21:40:23:

    Zakładanie, że każdy sprzedawca to potencjalny złodziej, bo przy odrobinie wysiłku jest w stanie zapamiętać dane potrzebne do zrobienia zakupów na czyjś koszt, wydaje mi się delikatnie rzecz ujmując dziwne...

  • sqlap72 napisał(a) komentarz datowany na 2013/05/11 22:36:17:

    Jako klient banków korzystam z praktycznych porad Red. Samcika, czytam również komentarze, bo i z nich wiele można się dowiedzieć. Nie czuję się ekspertem od płatności kartami, dlatego nie tej sprawy dotyczy mój wpis. Zadziwia mnie inne zjawisko, to mianowicie, dlaczego piszący komentarze posługują się nazewnictwem w obcych językach, skoro istnieją jego odpowiedniki w języku polskim. Niektórzy nie zauważyli nawet ironicznego dopisku Pana Samcika przy odpowiedzi udzielonej przez właściciela marki Polcard, w którym użył on nazwy merchant zamiast sprzedawca. Rozumiem, że należy użyć wyrazu obcego , jeśli nie ma jego polskiego odpowiednika, ale te wszystkie cardholdery, merchant account, issuer kart przecież można nazwać po polsku. Być może dowartościowuje to piszących w ten sposób. Tylko, że ta maniera staje się śmieszna, jak się słyszy w supermarkecie: łorker Kowalski zgłosi się w front ofisie

Dodaj komentarz

Wyszukiwarka

Kanał informacyjny