I guess this is bad, right?
edit:
Según la nueva información, solo la dirección de correo electrónico, no la dirección física, es el autenticador que utiliza el comerciante ...
Todavía es ligeramente malo.
No están violando ninguna ley. No están violando el PCI DSS ni ninguna otra regulación de marca de tarjeta que yo sepa. Están incrementando drásticamente la probabilidad de que se realicen compras fraudulentas en su sitio, lo que aumenta su responsabilidad de devolución de cargo y (luego de suficientes abusos) potencialmente su capacidad para procesar los pagos con tarjeta.
Es malo para usted que alguien pueda cargar fraudulentamente su tarjeta. Luego deberá notarlo en sus declaraciones y solicitar una devolución de cargo. Recibirá su dinero de vuelta, así que al final, es un inconveniente en lugar de una tragedia. Probablemente votará con sus pies y no usará a ese comerciante. Lo que también daña al comerciante.
Si desea ayudar a otras personas a evitar ese posible destino, puede dar a conocer el nombre del comerciante. Probablemente, eso es lo único que los llevará a cambiar sus prácticas.
respuesta original:
Ligeramente, pero ¿para quién?
No creo que haya una violación de las PCI DSS aquí. El comerciante está en el gancho para autenticar su identidad antes de cargar su tarjeta. Claramente lo están haciendo de alguna manera; quizás consideren el uso de la misma dirección de correo electrónico y dirección de envío como "autenticación". Pero el DSS no establece requisitos sobre cómo los comerciantes autentican a los clientes, por lo que quizás ese sea un método válido.
El almacenamiento de su tarjeta (encriptado o tokenizado) es completamente legítimo. El almacenamiento en texto plano y la visualización de los primeros 6 y los últimos 4 dígitos son completamente legítimos. De la información que ha proporcionado, no tiene ninguna indicación de que el comerciante esté haciendo otra cosa que no sea el almacenamiento y el uso de la tarjeta de una manera compatible con el PCI DSS.
Son responsables de cualquier cargo fraudulento a su tarjeta, y comen la devolución de cargo si alguien abusa de ella (por ejemplo, ingresa su correo electrónico y su dirección y luego toma el paquete cuando el cartero lo deja). Pero ese es un escenario bastante limitado, no es utilizable por extraños al azar en Internet. Este vector de ataque no permite que alguien recupere su información, su número de tarjeta o que envíe a cualquier lugar que no sea su dirección de envío conocida.
Si las personas abusaron de esto con regularidad, los números de devolución de cargo del comerciante aumentarán, la puntuación de riesgo aumentará y su procesador los eliminará. En ese momento, es ciertamente malo para el comerciante.
Mientras tanto, estás protegido. Las compañías de tarjetas cobrarán de vuelta cualquier reclamo en disputa contra su tarjeta y le devolveremos su dinero. Es por eso que está dispuesto a usar una tarjeta de crédito, debido a la conveniencia y las protecciones que le ofrece. Si el comerciante está haciendo algo que finalmente los lastimará, bueno, eso será la propia policía.