Groupon SG está almacenando la información de la tarjeta de crédito de los clientes

Navega tus respuestas
4

Hoy compré un regalo del sitio web de Singapore Groupon. Y luego me di cuenta de que lo que tengo que hacer es simplemente iniciar sesión y pulsar el botón "enviar pedido", ya que almacenan la información de mi tarjeta de crédito de mi compra anterior.

Por información de tarjeta de crédito aquí quiero decir: número de tarjeta de crédito, fecha de validez de la tarjeta de crédito y número de seguridad detrás de la tarjeta (CVV2). Lo cual es más que suficiente para que un ladrón vacíe su cuenta bancaria (más fácilmente si es una tarjeta de débito VISA).

Estoy seguro de que almacenaron la información de mi tarjeta de crédito porque comencé con un "navegador limpio" utilizando la navegación privada de Firefox. Como puede ver a continuación en la captura de pantalla, justo después de hacer clic en "Comprar" en cualquiera de las ofertas, no tengo que ingresar nada, lo tienen todo. Incluso están mostrando la fecha de validez en la pantalla:

Dealgunamaneraséqueesilegalalmacenarlainformacióndelatarjetadecréditodelosclientes,especialmenteparaestarlistaparausarenlapróximacompra(paraquenotenganquevolveraingresarlainformación).PeronopudeencontrarloenMasterCardoenelacuerdodeVISA.

¿Hayalgunaleyoficialsobreestoydóndepodemosinformaralgocomoesto?

Siesrealmenteilegal,megustaríaquealmenosfueranmultadosporloquehicieron.

[EDITAR]

Estoesloquehanpuestoenlapáginadepreguntasfrecuentes: enlace

  

¿Groupon es seguro?

     

Extremadamente. Su número de tarjeta de crédito es transmitido por SSL directamente a un   Bóveda electrónica segura. En ningún momento se encuentra la información de su tarjeta de crédito.   almacenados en nuestros servidores. No obstante, esta seguridad solo se aplica si   Usted cierra la sesión de su cuenta de Groupon después de su uso! Es tu   responsabilidad de mantener segura su cuenta de Groupon.

El hecho es que almacenan la información de la tarjeta de crédito e incluso se le proporciona para registrarse en la cuenta de Facebook. Con un simple clic en "conectar a FB", ni siquiera tendrá que ingresar ninguna contraseña para cargar la tarjeta de crédito.

Incluso si es legal, han mostrado una calidad descuidada en el manejo del proceso de pago. No proporcionan una interfaz adecuada para proteger nuestra seguridad.

[ACTUALIZAR de las últimas respuestas] De acuerdo con algunas respuestas en esta publicación a continuación, resulta que es legal almacenar información de la tarjeta de crédito, solo que se supone que el sitio web debe cumplir con el estándar de seguridad de PCI-DSS. Pero parece que no hay nadie responsable de garantizar que todos los sitios web sigan el estándar.

No estoy seguro de si esto solo sucede en Groupon Singapore o en todos los Groupons de todo el mundo.

enlace

    
pregunta dresden 08.12.2011 - 05:04
fuente

3 respuestas

4

He enviado un correo electrónico al equipo VISA AIS, y aquí está su respuesta:

Gracias por contactar al equipo de Visa AIS. Con la información proporcionada, no podemos confirmar si Groupon almacena información confidencial de la tarjeta. Es posible que el asterisco no represente el CVV2 real y que el número de cuenta de su tarjeta también esté enmascarado. Si tiene alguna inquietud con respecto a su cuenta de tarjeta de crédito, comuníquese con su banco emisor para presentar una solicitud oficial. Gracias.

Saludos cordiales,

Equipo AIS

============================

Supongo que no hay nada que podamos hacer entonces. Sin embargo, lograré cerrar mi cuenta en Groupon.

Gracias, Greg, por compartir tu experiencia.

    
respondido por el dresden 08.12.2011 - 10:47
fuente
5

No creo que existan LEYES reales para prevenir el almacenamiento de los detalles de las tarjetas de crédito, aparte de las que están destinadas a protegerse contra el fraude. Sin embargo, el PCI-DSS ciertamente toma una postura mucho más dura contra el almacenamiento, la transmisión y el procesamiento de los detalles de la tarjeta de crédito. Las sanciones son contra el comerciante y pueden ser bastante severas, por lo que existen sanciones basadas en la industria para disuadir de no adherirse.

Si lee el texto de cumplimiento de PCI-DSS, verá que un comerciante, con la infraestructura y los sistemas de seguridad adecuados, puede almacenar el número de CC completo, la fecha de caducidad y el nombre en la tarjeta. . NO PUEDEN almacenar el CAV2 / CVC2 / CVV2 / CID bajo ninguna circunstancia (ni siquiera de manera cifrada). Consulte sección 3.2.2 del PCI SAQ-D (que es la forma más general de la evaluación PCI-DSS). cuestionario).

¿Está seguro de que están almacenando los dígitos en el reverso de la tarjeta? Esta es una violación muy descarada. Tanto VISA como MC tienen métodos para informar a los comerciantes que no se adhieren a PCI-DSS y, como marcas globales, se aplican en Singapur.

    
respondido por el logicalscope 08.12.2011 - 06:54
fuente
1

No sé la postura de Groupon PCI-DSS pero es posible que no estén manejando las transacciones por sí mismas. Hay muchas compañías que manejan la transacción real y simplemente proporcionan un IFRAME para integrarse a la aplicación de la tienda (o redirigir a su sitio, pero probablemente este no sea su caso). Esto generalmente se usa con tiendas que no tienen un gran volumen de transacciones.

De lo contrario, como señala Greg, la compañía puede haber ido a una evaluación de PCI-DSS (SAQ D) que es bastante completa.

Como alternativa, es posible que desee comprobar si su banco emite números CC virtuales (obtiene un número de uso único que permite una transacción de una cantidad predefinida)

    
respondido por el WoJ 12.12.2011 - 23:27
fuente

Lea otras preguntas en las etiquetas

¿Alterando una variable $ _SESSION en PHP a través de XSS? Tarjetas de crédito seguras de un solo uso