¿Debemos confiarle a los bancos en línea la información de nuestra tarjeta de crédito?

Navega tus respuestas
2

Estoy pensando en comprar un producto para alguien que usa la plataforma de vapor. Estando en Alemania, la mejor opción (la menos costosa) sería utilizar un banco local. El inicio de sesión, la elección de un producto y el registro de salida te lleva a la siguiente página:

"Continuar" redirige al sitio bancario y contiene dos tokens. En el sitio en sí, se requieren el BIC y el número de PIN para finalizar la transacción. Los certificados tanto de la tienda como del banco son válidos.

¿Qué impide que el banco realice transacciones maliciosas adicionales con la información suministrada? ¿Qué pasa en caso de compromiso? ya que realizar una transacción en este caso no requiere un PIN generado por un token físico (cualquier persona puede comprar siempre que sepa el BIC, el PIN y que haya fondos suficientes en esa cuenta).

    
pregunta Sebi 26.11.2015 - 19:32
fuente

1 respuesta

3

Trabajo en el sistema de TI de una empresa bancaria y, como tal, sé un poco sobre lo que sucede.

Aquí está la secuencia de eventos, como lo entiendo, cuando se realiza un pago:

  1. Usted envía la información de pago (BIC, PIN, etc.) al banco del vendedor;
  2. El banco del vendedor transmite la solicitud de pago a su banco;
  3. Su banco recibe la solicitud de pago y decide autorizar el pago;
  4. Esa autorización vuelve a subir por la cadena al banco del vendedor, y usted recibe la página que le informa que su pago fue exitoso;

Ahora, ¿qué sucede si alguien en la cadena inicia un pago sin su consentimiento? Fundamentalmente, se basa en el hecho de que un pago que fue autorizado de esa manera se conoce como dependiente de una solicitud de pago insegura, y los acuerdos entre bancos estipulan que, en ese caso, cualquier costo de fraude debe correr a cargo del beneficiario del pago.

Entonces:

  1. Verá que ha sido acusado de manera fraudulenta;
  2. Su banco le reembolsará;
  3. El banco del vendedor le reembolsará a su banco; al final, el banco del vendedor no habrá ganado nada, excepto que se le notifique por haber permitido un pago fraudulento;

En cada paso del camino, verá que existe una relación de confianza sólida entre usted y su banco, entre su banco y el banco del vendedor. Si estas relaciones de confianza se rompen, entonces podría muy fácilmente terminar ante un tribunal, con muy graves consecuencias (usted abandona su banco y lo considera poco confiable, ya que el banco del vendedor no es confiable y el banco lo ha demandado).

En resumen: el banco del vendedor no haría eso voluntariamente, porque eso podría significar fácilmente el fin de su negocio. Y si su banco es confiable, no debería terminar pagando la factura de todos modos. Eso es cierto, ya sea que el banco del vendedor no sea de confianza o esté comprometido.

Ahora, lo comprendo muy bien si no desea dejar esa información en manos de un banco en el que no confía personalmente; en ese caso, sugeriría que se lo consultara a su banco; por ejemplo, los bancos pueden generar un número de tarjeta de crédito disponible, válido solo por un tiempo y una cantidad de dinero limitados.

Además, generalmente hay reglas que estipulan que dicha información no debe mantenerse por más tiempo del necesario.

    
respondido por el Jean Hominal 26.11.2015 - 20:29
fuente

Lea otras preguntas en las etiquetas

¿hay alguna solución para CVE-2015-2625? ¿Se puede usar MD5 si está salado?