Los detalles de la tarjeta de crédito se muestran completos después del pago en la tienda en línea

1

Una tienda en línea grande y confiable muestra los detalles de la tarjeta de crédito del cliente en la página de confirmación y recibo del pedido (después de que se haya procesado el pago).

Esta es la primera vez que veo que esto ocurre en cualquier tienda en línea, ya que generalmente son solo los primeros 6 y los últimos 4 dígitos de la tarjeta de crédito que se muestran como parte de la confirmación del pedido.

Seguramente, ¿esto no es compatible con PCI y pone a los clientes en riesgo? Pero, ¿qué métodos generales podría usar un atacante para explotar esto y así comprometer / robar los datos de la tarjeta de crédito de los clientes?

Parece un defecto bastante importante en su sitio web y sistema de pago ...

    
pregunta 17.05.2017 - 02:30
fuente

2 respuestas

8

No es compatible con PCI (énfasis agregado):

  

Nunca almacene el número de identificación personal (PIN) o el Bloqueo de PIN. Asegúrese de enmascarar PAN siempre que se muestre. Los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se pueden mostrar. Este requisito no se aplica a las personas autorizadas con una necesidad específica de ver el PAN completo, ni reemplaza los requisitos más estrictos establecidos para la visualización de los datos del titular de la tarjeta, como   en un recibo de punto de venta.

Dos amenazas vienen a la mente:

respondido por el John Wu 17.05.2017 - 03:25
fuente
-1

No, en realidad, mostrarle el PAN al cliente, quien ya sabe lo que es, no es una violación de PCI DSS. Es bastante innecesario y es una mala práctica, pero no aumenta la cantidad de personas que tuvieron acceso al PAN (el cliente conoce el número de la tarjeta que acaba de ingresar) y no trae más componentes a PCI DSS. alcance (porque todo lo que se usa para mostrar el PAN solo se usó para aceptarlo) y la PC / navegador del cliente no está en el alcance del comerciante.

Sin embargo, es probable que rompa las reglas del esquema de la tarjeta individual que generalmente dicen "los recibos de los clientes solo deben mostrar un máximo de los primeros seis y cuatro últimos dígitos del PAN", y esto fue para evitar que los recibos de los clientes se tiren a la basura recogido por el basurero de buceo.

Tan mala programación, mala experiencia de usuario porque no es necesario mostrar algo a alguien que ya lo sabe (dado que la transacción fue exitosa, no es necesario que el cliente vea el número de tarjeta ingresado) y una violación de Visa / MCW / Amex reglas. No es una violación de PCI DSS: el navegador del cliente no está incluido en el alcance del comerciante ..

    
respondido por el withoutfire 18.05.2017 - 10:08
fuente

Lea otras preguntas en las etiquetas