¿Restricciones de PCI sobre el uso de un número de tarjeta de crédito (con hash) para identificar un cliente habitual?

Navega tus respuestas
11

Pregunta para cualquier experto en PCI:

Los quioscos de boletos del aeropuerto pueden usar su tarjeta de crédito para encontrar su reserva en el momento del registro. Así que claramente PCI debe permitir el uso de números de tarjetas de crédito para identificar a los clientes. Supongo que la aerolínea está almacenando un hash irreversible de mi número de tarjeta de crédito con mi reserva, y cuando visito el kiosco de registro, vuelven a cargar mi tarjeta y usan el valor de hash para buscar mi reserva.

Pero cuando voy a un supermercado o farmacia y quiero obtener descuentos de su programa de lealtad, debo deslizar una tarjeta especial que la tienda me dio (o ingresar en mi número de teléfono).

Usar mi tarjeta de crédito para identificarme sería más fácil para mí y para el comerciante, por lo que me sorprende que los comerciantes minoristas no ofrezcan esta capacidad. Esto me llevó a preguntarme si hay una PCI o una restricción legal en funcionamiento aquí.

¿Existe alguna restricción legal o PCI que impida que las tiendas utilicen el número de mi tarjeta de crédito para identificarme con fines de programas de fidelidad, pero que no impide que las aerolíneas hagan lo mismo en los quioscos de registro?

    
pregunta Justin Grant 24.06.2011 - 03:08
fuente

4 respuestas

11

Los comerciantes pueden usar los datos de su tarjeta para revisar o actuar sobre transacciones. Esto incluye procesar devoluciones, solicitar su tarjeta de embarque, etc. No pueden usarla para identificarlo, solo sus transacciones anteriores. No estoy seguro de si eso es una ley en algún lugar o debido a acuerdos comerciales.

Una vez que su compra se haya liquidado por completo, los datos de la tarjeta deben eliminarse del registro. Esto puede llegar a ser un poco diferente cuando guarda los datos de su tarjeta en una cuenta por conveniencia. Incluso en ese caso, si tuviera que cambiar las tarjetas, los datos de las tarjetas más antiguas tendrían que eliminarse.

Dudo mucho que alguien haga el hashing de cartas de una sola vía, y sería relativamente inútil. Dado que hay 16 números, la tarjeta debe coincidir con un código de verificación, y los primeros números pueden determinarse a partir de una lista limitada, uno puede construir rápidamente una base de datos de todos los hashes posibles. Me imagino que los datos se almacenan y transmiten de forma cifrada. Si estuviera haciendo una revisión, consideraría que los hashes de tarjetas unidireccionales son lo mismo que almacenar un número de tarjeta en texto sin formato.

    
respondido por el Jeff Ferland 24.06.2011 - 05:06
fuente
9

Creo que la razón por la cual los comerciantes usan un identificador separado (ya sea su número de teléfono o una tarjeta de fidelidad) tiene menos que ver con cualquier problema de regulación que con la práctica.

Si el comerciante solo vinculaba su identidad a su tarjeta de crédito, entonces tendría que tener esa tarjeta de crédito presente durante todas las transacciones para las que desea un crédito de lealtad, independientemente de si está usando Esa tarjeta para esas compras. Por lo tanto, si desea utilizar una tarjeta de crédito diferente, o usar efectivo o una tarjeta de regalo, también tendrá que presentar y / o deslizar su tarjeta original.

Luego, considere el caso donde el método de pago es una tarjeta de crédito o de regalo alternativa. ¿Qué tan probable crees que es que el Usuario Joe puede mezclar el orden en el que pasa las tarjetas y posiblemente terminar cobrando la tarjeta incorrecta?

Probablemente sea mucho más simple (y más seguro) que asocien su cuenta de recompensas con un identificador que no depende de su método de pago.

    
respondido por el Iszi 24.06.2011 - 06:34
fuente
4

No están usando PAN fuera de la banda mag, solo nombre. No tiene que usar la misma tarjeta con la que compró el boleto, es solo una búsqueda por nombre de personas que vuelan desde el aeropuerto en el que se encuentra hoy. Entonces, sí, en el improbable caso de que alguien con su nombre salga del mismo aeropuerto el mismo día, le ofrecerá su boleto. Es por eso que algunos sistemas le piden a su ciudad de destino que reduzca las falsas coincidencias.

    
respondido por el Ian 25.06.2011 - 07:10
fuente
2

No asumiría nada con respecto a cómo almacenan sus datos. Muchos lugares lo hacen mal, y cuanto más grande es el sistema, más difícil es cambiarlo para hacerlo correctamente. Lo único que no pueden almacenar es la información completa de la pista. Por lo tanto, se supone que no deben almacenar su PIN cifrado o CVC2.

En lo que respecta a su tarjeta de crédito, siempre que no sea legible en texto plano en reposo o en tránsito, pueden almacenarla con otra información de identificación personal ("PII"). Has hecho una pregunta bastante grande, realmente no hay una respuesta simple. Existen muchas formas de almacenar datos de tarjetas de crédito, como cifrarlos o sustituirlos por un token, generalmente uno que puede pasar la verificación de Luhn, en todo lo que realmente está descargando la confidencialidad de los datos a la clave.

El problema con el uso de su tarjeta de crédito para identificarlo se relaciona con los controles que necesitan para el programa de fidelización de clientes. Así que ahora, utilizando su tarjeta de crédito como su factor de autenticación. La tienda ha traído efectivamente todos esos sistemas al alcance de PCI. No olvidemos qué es el PCI, es una forma de que las marcas de tarjetas indemnicen y descarguen el costo de una infracción a los adquirentes, quienes a su vez los descargan a los comerciantes.

    
respondido por el M15K 27.07.2011 - 16:31
fuente

Lea otras preguntas en las etiquetas

¿Qué hacen los “modos privados” de los distintos navegadores? ¿Cómo protegerme contra los servicios DDoS pagados?