¿Cuántos dígitos de un número de tarjeta Visa pueden revelar los proveedores en los recibos?

Según PCI, los primeros 6 (BIN) y los últimos 4 se pueden mostrar, los demás deben estar enmascarados:

De un PDF oficial de 2008: Lo que se debe y no se debe hacer del almacenamiento de datos PCI :

  

Nunca almacene el número de identificación personal (PIN) o el Bloqueo de PIN. Ser   Asegúrese de enmascarar PAN cada vez que se muestra. Los primeros seis y los últimos cuatro.   los dígitos son el número máximo de dígitos que se pueden mostrar.

PAN es Número de cuenta principal

Por lo que respecta al cumplimiento, el terminal de datos utilizado para imprimir el recibo es compatible.

Solo recuerda que sensible no significa secreto . El número de tarjeta es "sensible" porque se puede usar para iniciar transacciones financieras, pero no es secreto. Sólo el código PIN es.

Anteriormente, el número completo se anotó en el recibo, al igual que el número de cuenta completo se escribe en un cheque. Como las empresas en línea utilizan solo números de tarjetas VISA sin validación, los bancos se dieron cuenta de que el riesgo de fraude era demasiado alto y optaron por ocultar parcialmente la información en el recibo. Pero el número completo de la tarjeta es conocido (o al menos accesible) para casi cualquier empleado de un sitio web donde haya iniciado una compra en línea.

TL / DR: si el banco es demasiado perezoso para ocultar el número de tarjeta en un recibo impreso, es su problema, no de usted. Como usted no es responsable de eso, no hay negligencia por parte de usted.

En los EE. UU., Fair and Accurate Credit Transactions Act de 2005 (FACTA) prohibe más Dígitos de un número de tarjeta de crédito. Entonces, si bien su recibo cumple con las regulaciones de PCI, no cumpliría con la ley si estuviera en los Estados Unidos. Sin embargo, su perfil dice que está en Eslovenia y no conozco ninguna ley eslovena o de la UE similar.

Ya que hay alrededor de mil millones de tarjetas Visa en circulación en todo el mundo (había 883.5 millones en 2012 ) y cada tarjeta tiene 14 dígitos únicos (la primera siempre es 4 y la última es la suma de comprobación), se necesitarían 50,000 conjeturas en promedio para encontrar un número válido sin ninguna información previa.

De este modo, si el pirata informático no está interesado en adivinar su número en particular , lo más probable es que simplemente ignore su recibo, incluso si lo obtuvo.

Como ha dicho otro usuario, según las reglas de cumplimiento de PCI, esto es perfectamente aceptable.

Quería aclarar un poco exactamente por qué las cosas son así. En primer lugar, los primeros seis dígitos del número de la tarjeta constituyen el BIN, un número que se considera "conocido". Este es un número asignado a la institución que emitió su tarjeta, y todos los demás titulares de tarjetas que son miembros de esa institución comparten el BIN. De modo que mostrar el BIN no le da a un atacante ninguna información que no pueda obtener simplemente mirando la lista de BIN. Dado que ocultar el BIN proporciona solo una cantidad de seguridad marginal (algunos dirían "trivial"), ¿por qué enmascararlo? El BIN de texto claro se usa habitualmente en el procesamiento de pagos, y enmascararlo crearía muchos más dolores de cabeza para un aumento casi cero de la seguridad.

Por lo general, mostrar los últimos cuatro es el mejor compromiso entre mostrar demasiada información y no suficiente para identificar de manera única la tarjeta cuando se usa para la reconciliación, etc. Si trabaja mucho con números de tarjetas de crédito, ocasionalmente se encuentra con dos enmascarados idénticos Números de tarjeta, pero con una probabilidad de 1 / 10,000 sí sucede.

Estas dos cosas tomadas en conjunto, probablemente volverá al punto "le está dando a un ladrón de datos diez de los números, lo que reduce su espacio de búsqueda a 1 millón, y la suma de comprobación, que lo reduce a 100,000! "

Tienes un punto válido, pero ¿qué significa eso? Significa que el ladrón ahora tiene una lista de 99,999 números de tarjetas de crédito incorrectas y 1 buena, sin ninguna forma de saber cuál es la correcta. El número de la tarjeta de crédito no contiene de manera inherente ninguna información que le permita saber cuándo tiene el número "correcto". No es como resolver un rompecabezas criptográfico; debe presentar la tarjeta para un pago para saber si es "buena" o no. Eso significa que, para descifrar incluso UNA tarjeta, debe comprometer la plataforma de pago de un comerciante y ejecutar un promedio de 50,000 transacciones para encontrarla. Teniendo en cuenta que a los comerciantes se les cobra por transacción, les interesa enormemente asegurarse de que alguien no pueda hacer este tipo de cosas. E incluso si el comerciante era un experto en proteger las credenciales de su cuenta de comerciante, los procesadores de pagos a menudo detectan este tipo de cosas y cierran la cuenta en cuestión de segundos.

En los años 90 habrías tenido que preocuparte un poco. Hoy en día no lo hace, la clonación del chip RFID, u obtener el código de seguridad de 3 dígitos y la fecha de caducidad junto con su número de tarjeta es mucho más preocupante que simplemente poder "adivinar su número de tarjeta".

En teoría, ya conozco el número de tu tarjeta debido al algoritmo que mencionaste, módulo 10 o Luhn. Esta información por sí sola no vale nada sin el resto de los datos. Si el recibo de la tarjeta de crédito no lo tiene, está bien.

número PAN puede variar desde 13 a 19 y según el Estándar de seguridad de datos de la industria de tarjetas de pago Los números primeros seis dígitos y últimos cuatro dígitos del PAN pueden ser visibles y el número entre los números debe estar enmascarado