¿Es una práctica estándar pedirle a un cliente que envíe una foto de su tarjeta de crédito para confirmar su identidad?

He visto solicitudes similares provenientes de sitios / compañías extranjeras solo por la forma en que manejan los pagos con tarjeta de crédito. Piense en los impresores de tarjetas de crédito. Algunos países / comerciantes todavía los usan y de alguna manera asumen que una imagen de la tarjeta de crédito podría ser igual de válida.

En las situaciones en las que me he encontrado con este tipo de solicitud, he optado por enviar el pago mediante transferencia bancaria, Paypal o servicios similares. Eran pedidos al por mayor en los que no se podía cargar la tarjeta hasta que se fabricó el producto, etc.

No es estándar, y es bastante desaconsejable.

El estándar de seguridad PCI, con el cual cualquier comerciante legítimo deberá cumplir como parte de su acuerdo de cuenta de comerciante, requeriría que una foto de la parte frontal de la tarjeta tuviera que ser transferida usando una instalación de carga segura y encriptada, almacenada cifrados en el extremo del comerciante y, en el caso de las tarjetas Amex que tienen el Código de seguridad de la tarjeta en el frente, se eliminan de forma segura después de que se autorizó la transacción. Es muy poco probable que hayan logrado hacer todo esto correctamente, y si le pidieron que enviara la foto por correo (o MMS, etc.), claramente no podría ser compatible.

Eso no es evidencia de malicia, pero pedir abiertamente a los clientes que hagan algo que no sea compatible con PCI es evidencia de incompetencia, lo que genera preguntas sobre su seguridad en general.

No, no es una práctica estándar: de ninguna manera, la forma o la forma de enviar una foto de su tarjeta de crédito confirma su identidad. Ignorando el hecho de que las fotos se pueden photoshopear fácilmente, el hecho de que usted posea físicamente una tarjeta de crédito no prueba que usted sea quien dice ser.

Le dicen que cubra la mayor parte de la información en su tarjeta. Solo quieren los últimos 4 dígitos, la fecha de caducidad, la imagen y su dirección. No podrían hacer mucho con eso: solo una verificación de quién eres.

Todo lo que hace es identificar la tarjeta como física y no solo como números de un volcado de datos.

Para verificar que la tarjeta esté activa, pueden hacerlo por el número de la tarjeta, nombre, fecha de caducidad y CSV en el reverso, y un simple centavo o retiro de dólares.

El mejor estándar de la industria que he visto es el que usa Circle.

El círculo es Goldman-Sachs. No solo un sitio web de vuelo nocturno.

Primero quieren una fotocopia de su licencia de conducir u otra identificación emitida por el gobierno con una foto.

Luego, su sitio enciende tu cámara web (usé un teléfono inteligente). De esa manera, pueden hacer coincidir una foto tomada en un momento conocido con la foto en la identificación.

No aceptarán una foto cargada con fecha y hora. Debe ser en tiempo real.

Entonces, y solo entonces, preguntan sobre su información bancaria. Su prioridad es identificar a la persona primero.

Si algún sitio lo solicita, es posible que desee considerar si realmente desea confiarles sus datos.