¿Es aceptable que el servicio al cliente solicite mi PIN?

Tu acción está justificada por mí. Nunca se me ha preguntado a ninguna compañía importante y respetuosa tal información, ni para un servicio ni para la recuperación de la cuenta. Envíe un mensaje al equipo de soporte oficial y vea si esta información es realmente necesaria si esto le causa muchos inconvenientes. Pero ten en cuenta esto: puedes ser estafado.

Estoy totalmente de acuerdo con la respuesta de @ChrisTsiakoulas de que su acción está justificada. Sin embargo, lamentablemente, esta práctica no es tan infrecuente como a todos nos gustaría. Intento que esta respuesta agregue un poco más de color a la situación del mundo real con tales prácticas.

He encontrado el escenario exacto que describe , aunque fue con una contraseña "adecuada" (denominada contraseña y letras y números permitidos) en lugar de un PIN estrictamente numérico.

Después de haber creado la cuenta en línea y de haber elegido una contraseña que parecía necesaria solo para ese inicio de sesión en línea, también se me pidió que proporcionara esa contraseña verbalmente en el teléfono a un humano para poder autenticarme antes de poder hacer algo. con mi cuenta.

Esto fue con PlusNet , un ISP importante (popular, de gran presupuesto y bien anunciado) en el Reino Unido. Me sorprendió tanto que me pidieran mi contraseña: después de preguntar al agente de servicio al cliente, descubrí que podían poner una nota en mi archivo para pedirme mi respuesta de seguridad en lugar de mi contraseña. Sin embargo, al mismo tiempo, descubrí que cada vez que llamaba, el operativo estaba viendo mi contraseña completa en texto sin formato en su pantalla, antes de hacerme cualquier tipo de pregunta de autenticación.

Me planteé una gran tormenta al respecto, incluida una queja formal a través de su procedimiento de quejas y remitiéndolos al "perro guardián" de información personal del Reino Unido, el ICO . Mi argumento es que un proceso tan inseguro puso en peligro la seguridad de la información personal que tenían sobre mí (incluidos los datos bancarios, ya que los pago a través de débito directo). Sin embargo, lamentablemente, tanto la queja interna como el 'caso' de mi ICO dieron como resultado que la otra parte no viera o reconociera que había algo malo en esta situación. Parecía que al menos en la legislación del Reino Unido, esta práctica está totalmente bien y no está en desacuerdo con nuestra legislación de protección de datos.

Tenga en cuenta que no he tenido que llamar por teléfono a PlusNet desde hace mucho tiempo (aunque todavía los uso), por lo que no puedo confirmar si esta es la política actual. Es posible que hayan cambiado de práctica desde mi queja, independientemente del hecho de que mi queja fue infructuosa.

Lamentablemente, incluso hoy en día hay algunas compañías importantes en las que un agente de atención al cliente le pide (ya sea por chat, teléfono u otros medios) que les diga que su PIN, contraseña o código de acceso es una práctica habitual.

Para tomar una categoría muy prominente de estas situaciones aquí en los EE. UU., cuando llama al servicio de atención al cliente para uno de los cuatro grandes operadores nacionales de telefonía móvil, no es nada raro que un representante humano en vivo le pida que les diga su PIN como parte del proceso de autenticación de que usted es el titular de la cuenta. Además, algunos de los operadores principales incluso requerirán que le diga su PIN a un representante cuando ingrese a una de las tiendas físicas de un proveedor y obtenga el servicio al cliente cara a cara . Para aprender más sobre cómo & cuando es posible que deba proporcionar un PIN a un agente humano para un operador estadounidense, puede consultar AT & amp ; Política de T. sobre el tema. O T-Mobile's . O Sprint's . El punto es que este sigue siendo un procedimiento de servicio al cliente común en esta industria de ejemplo muy, muy importante. (Sin duda, también en algunos otros).

Ahora, aclarar el problema aquí no es que las empresas requieran que el cliente proporcione un PIN para acceder a su cuenta o realizar cambios en su servicio. De hecho, requerir un PIN es un mucho, mucho mejor enfoque que simplemente permitir que un titular de cuenta putativo se autentique con información personal estática (como los últimos cuatro dígitos de su número de seguro social) que hoy puede obtenerse fácilmente de fuentes públicas o ilícitas . El problema, como lo identificó, es cómo el cliente debe proporcionar el PIN . Ahora, la mayoría de las empresas importantes en la actualidad en la mayoría de las industrias principales hacen las cosas de la manera correcta: el cliente ingresa su número de cuenta (u otro identificador de usuario) y su PIN en algún tipo de sistema computarizado seguro, ya sea a través de una entrada de teléfono de tono al servicio al cliente sistema de llamadas, una página segura con la que un cliente debe autenticarse en un sitio web, o un quiosco o teclado de PIN para situaciones en la tienda, antes de enviarlos a un agente de soporte humano. El PIN / contraseña / código de acceso / lo que sea no debe proporcionarse directamente a una persona de soporte. Período. Pero, lamentablemente, en 2016 todavía no podemos decir que todas las principales entidades que se podrían tratar cumplan con eso.