Verificación de la propiedad de la tarjeta de crédito

Navega tus respuestas
4

Cuando se realiza una transacción de tarjeta de crédito fraudulenta CNP (Tarjeta no presente), el comerciante es responsable de la devolución de cargo.

Por ese motivo, nuestra empresa implementó una política en la que solicitamos una foto de la tarjeta del cliente que solo muestre los últimos 4 dígitos antes de realizar el pago. Les pedimos que lo envíen por correo electrónico, lo que creo que es un riesgo de seguridad porque podría estar sin cifrar.

Nuestra empresa ofrece servicios financieros de entrega electrónica. Por lo tanto, solo pedimos la dirección de facturación, nunca entregamos bienes físicos.

¿Cuál es el mejor enfoque para verificar la propiedad de la tarjeta? (cumpliendo con PCI-DSS)

    
pregunta programmer_guy 13.01.2015 - 22:49
fuente

2 respuestas

8

Sugeriría la implementación de Verified by Visa y Mastercard 3DSecure.

Pregunte a su adquirente sobre la habilitación de estos servicios en su cuenta de comerciante. Esos 2 servicios transferirán la responsabilidad al cliente siempre que se haya aprobado la autenticación de VTP / 3DS / OTP correcta.

También puede seleccionar rechazar tarjetas que no tengan VbV / 3D habilitados, o puede pasar esas transacciones y correr el riesgo de devolución de cargo.

Si los servicios financieros que usted proporciona solo son "utilizables" en un país específico debido a las leyes y demás, sugeriría poner un bloqueo de GeoIP en su sitio y también preguntar a su adquirente (o configurarlo en su panel de control del comerciante si proporcionan dicha facilidad) para bloquear, de modo que solo se aceptan las tarjetas emitidas en el país X.

Si también desea utilizar AVS (Sistema de verificación de direcciones), sugiero que el usuario tenga que ingresar su dirección de facturación al registrarse, luego envía un correo electrónico físico con un código único requerido para activar la cuenta. . Entonces solo se puede utilizar esta dirección de facturación. El cambio de la dirección de facturación desactiva la cuenta y envía un nuevo código de correo electrónico a la nueva dirección. Esto también agrega comodidad para el cliente (no necesita ingresar su dirección de facturación todo el tiempo), auditabilidad (tiene una dirección real para que el cliente la entregue a la policía en caso de fraude) y seguridad (desde la dirección se verifica por correo postal y contra la tarjeta de crédito).

    
respondido por el sebastian nielsen 13.01.2015 - 22:57
fuente
2

Esto debería ser un comentario, pero se estaba haciendo un poco largo ...

Reconozco que podría falsificar una imagen de este tipo en aproximadamente 30 minutos a un nivel en el que se necesitaría un experto en datos forenses competente para detectar. No tengo habilidades / herramientas especializadas.

Y parece que estás confundido acerca de lo que estás tratando de proteger aquí. Esta es una fuga en la transferencia de los últimos 4 dígitos de la tarjeta de crédito sin cifrar, pero es muy pequeña. Y es ortogonal a la amenaza que intenta abordar (es decir, verificar la propiedad de la tarjeta).

Por lo tanto, no creo que lo que estás haciendo esté agregando ningún valor, pero no creo que esté haciendo ningún daño significativo.

"solo pedimos la dirección de facturación", pero tiene mucha otra información que puede usar para identificar el fraude: IP de origen, encabezados HTTP, agente de usuario, producto solicitado, hora del día, patrones de navegación. Y puede agregar fácilmente una captura adicional como la dirección de correo electrónico verificada, la huella digital del navegador. Si bien estos no evitan la primera instancia de un fraude, se pueden usar para prevenir el fraude recurrente.

    
respondido por el symcbean 14.01.2015 - 13:06
fuente

Lea otras preguntas en las etiquetas

Cómo usar un escáner de puertos de manera hostil ¿Peligros específicos al unirse a una red de bots de Linux?