¿Es aceptable que el servicio al cliente solicite mi PIN?

3

Intenté iniciar un chat en línea con el servicio al cliente de una empresa con la que estoy tratando de hacer negocios este fin de semana, pero antes de que respondieran a cualquiera de mis preguntas, solicitaron que les diera el PIN de 4 dígitos asociado a mi cuenta. Para todos los efectos, esta es mi contraseña, ya que esta junto con mi dirección de correo electrónico es todo lo que se necesita para iniciar sesión en mi cuenta y hacer lo que sea. (Sí, el hecho de que sea solo 4 dígitos numéricos tampoco es nada tranquilizador)

Respondí que no me sentía cómodo brindando esta información, ya que consideraba que era una práctica de seguridad estándar para nunca dar su contraseña a nadie, pero prácticamente se negaron a hablar con Yo si no les di esta información. Al ver cómo, cuando creé la cuenta, también tuve que hacer una "pregunta de seguridad" (por ejemplo, cuál era el nombre de su primera mascota, ese tipo de cosas) también me desconcertó sobre por qué no solo preguntaban por que .

¿Estoy exagerando o estoy justificado al negarme a proporcionar esta información? Por lo que vale la pena, la única otra manera de hablar con esta compañía es por teléfono, lo cual es muy inconveniente. (Actualización: no es que sea particularmente relevante, pero por lo que dijeron, parece que requerirían mi PIN para hablar por teléfono también .)

    
pregunta Michael 23.05.2016 - 17:34
fuente

3 respuestas

6

Tu acción está justificada por mí. Nunca se me ha preguntado a ninguna compañía importante y respetuosa tal información, ni para un servicio ni para la recuperación de la cuenta. Envíe un mensaje al equipo de soporte oficial y vea si esta información es realmente necesaria si esto le causa muchos inconvenientes. Pero ten en cuenta esto: puedes ser estafado.

    
respondido por el Chris Tsiakoulas 23.05.2016 - 17:45
fuente
2

Estoy totalmente de acuerdo con la respuesta de @ChrisTsiakoulas de que su acción está justificada. Sin embargo, lamentablemente, esta práctica no es tan infrecuente como a todos nos gustaría. Intento que esta respuesta agregue un poco más de color a la situación del mundo real con tales prácticas.

He encontrado el escenario exacto que describe , aunque fue con una contraseña "adecuada" (denominada contraseña y letras y números permitidos) en lugar de un PIN estrictamente numérico.

Después de haber creado la cuenta en línea y de haber elegido una contraseña que parecía necesaria solo para ese inicio de sesión en línea, también se me pidió que proporcionara esa contraseña verbalmente en el teléfono a un humano para poder autenticarme antes de poder hacer algo. con mi cuenta.

Esto fue con PlusNet , un ISP importante (popular, de gran presupuesto y bien anunciado) en el Reino Unido. Me sorprendió tanto que me pidieran mi contraseña: después de preguntar al agente de servicio al cliente, descubrí que podían poner una nota en mi archivo para pedirme mi respuesta de seguridad en lugar de mi contraseña. Sin embargo, al mismo tiempo, descubrí que cada vez que llamaba, el operativo estaba viendo mi contraseña completa en texto sin formato en su pantalla, antes de hacerme cualquier tipo de pregunta de autenticación.

Me planteé una gran tormenta al respecto, incluida una queja formal a través de su procedimiento de quejas y remitiéndolos al "perro guardián" de información personal del Reino Unido, el ICO . Mi argumento es que un proceso tan inseguro puso en peligro la seguridad de la información personal que tenían sobre mí (incluidos los datos bancarios, ya que los pago a través de débito directo). Sin embargo, lamentablemente, tanto la queja interna como el 'caso' de mi ICO dieron como resultado que la otra parte no viera o reconociera que había algo malo en esta situación. Parecía que al menos en la legislación del Reino Unido, esta práctica está totalmente bien y no está en desacuerdo con nuestra legislación de protección de datos.

Tenga en cuenta que no he tenido que llamar por teléfono a PlusNet desde hace mucho tiempo (aunque todavía los uso), por lo que no puedo confirmar si esta es la política actual. Es posible que hayan cambiado de práctica desde mi queja, independientemente del hecho de que mi queja fue infructuosa.

    
respondido por el Stuart J Cuthbertson 20.06.2016 - 00:40
fuente
0

Lamentablemente, incluso hoy en día hay algunas compañías importantes en las que un agente de atención al cliente le pide (ya sea por chat, teléfono u otros medios) que les diga que su PIN, contraseña o código de acceso es una práctica habitual.

Para tomar una categoría muy prominente de estas situaciones aquí en los EE. UU., cuando llama al servicio de atención al cliente para uno de los cuatro grandes operadores nacionales de telefonía móvil, no es nada raro que un representante humano en vivo le pida que les diga su PIN como parte del proceso de autenticación de que usted es el titular de la cuenta. Además, algunos de los operadores principales incluso requerirán que le diga su PIN a un representante cuando ingrese a una de las tiendas físicas de un proveedor y obtenga el servicio al cliente cara a cara . Para aprender más sobre cómo & cuando es posible que deba proporcionar un PIN a un agente humano para un operador estadounidense, puede consultar AT & amp ; Política de T. sobre el tema. O T-Mobile's . O Sprint's . El punto es que este sigue siendo un procedimiento de servicio al cliente común en esta industria de ejemplo muy, muy importante. (Sin duda, también en algunos otros).

Ahora, aclarar el problema aquí no es que las empresas requieran que el cliente proporcione un PIN para acceder a su cuenta o realizar cambios en su servicio. De hecho, requerir un PIN es un mucho, mucho mejor enfoque que simplemente permitir que un titular de cuenta putativo se autentique con información personal estática (como los últimos cuatro dígitos de su número de seguro social) que hoy puede obtenerse fácilmente de fuentes públicas o ilícitas . El problema, como lo identificó, es cómo el cliente debe proporcionar el PIN . Ahora, la mayoría de las empresas importantes en la actualidad en la mayoría de las industrias principales hacen las cosas de la manera correcta: el cliente ingresa su número de cuenta (u otro identificador de usuario) y su PIN en algún tipo de sistema computarizado seguro, ya sea a través de una entrada de teléfono de tono al servicio al cliente sistema de llamadas, una página segura con la que un cliente debe autenticarse en un sitio web, o un quiosco o teclado de PIN para situaciones en la tienda, antes de enviarlos a un agente de soporte humano. El PIN / contraseña / código de acceso / lo que sea no debe proporcionarse directamente a una persona de soporte. Período. Pero, lamentablemente, en 2016 todavía no podemos decir que todas las principales entidades que se podrían tratar cumplan con eso.

    
respondido por el mostlyinformed 20.06.2016 - 08:28
fuente

Lea otras preguntas en las etiquetas