¿Por qué la información de la tarjeta de crédito no es robada con mayor frecuencia?

Navega tus respuestas
61

Hoy en día hay muchos sitios web pirateados con información de inicio de sesión robada. En muchos casos, el sitio web indica que no se robaron datos de tarjetas de crédito ni información de pago.

¿Por qué es eso? Lo que asumo es que tanto la base de datos que almacena los datos de pago como la que almacena las credenciales de usuario están separadas una de otra. Hasta ahora tan bueno. Pero lo que no entiendo: ¿por qué no deberían poder acceder a la base de datos que almacena la información de pago?

Este último todavía es visible / accesible desde el exterior; esto se debe a que los usuarios del sitio web también pueden ver / agregar / editar su propia información de pago, por ejemplo, Si quieren usar paypal / credit card / IBAN. Por lo tanto, la base de datos es obviamente accesible desde el "mundo exterior".

    
pregunta tim 22.12.2016 - 10:07
fuente

2 respuestas

106

PCI DSS

La razón principal de esto es un esfuerzo de una década por parte de la industria de tarjetas de pago para limitar el alcance de dichas violaciones al exigir que todos los que manejan los datos de las tarjetas de pago (a) cumplan con un conjunto de prácticas de seguridad y (generalmente) auditen requisitos, o (b) dejar de manejar los datos de la tarjeta de pago y delegarlos a alguien que pueda manejar esto mejor.

No debe subestimar la segunda parte, aunque casi todos los sitios manejan sus propios datos de cuenta de usuario, la gran mayoría de los sitios (especialmente los más pequeños) que aceptan pagos con tarjeta de crédito no no almacenan crédito datos de la tarjeta de cualquier manera que sea; Si quieren pagos recurrentes sin pedir el número CC cada vez, en su lugar almacenan información 'suficiente' para mostrar al usuario (por ejemplo, un número de tarjeta parcial) que esta tarjeta es "recordada" más un token emitido por su banco / pasarela / lo que sea que permite pagos adicionales desde esta tarjeta al mismo comerciante , por lo que estos tokens son inútiles para un atacante.

Si bien no es 100% comprobable y hay muchos, muchos casos en que PCI DSS se viola de manera flagrante, significa una reducción significativa en el número de compañías vulnerables.

    
respondido por el Peteris 22.12.2016 - 15:14
fuente
10

En el caso de la violación de datos de Yahoo recientemente divulgada donde se robó información de la cuenta de usuario de 1.000 millones, se supo que no se robó información de la tarjeta de crédito porque se mantuvo en una base de datos separada en formato cifrado.

La mayoría de las organizaciones tienen métodos rígidos y robustos para almacenar información de tarjetas de crédito, generalmente en una base de datos separada y encriptada. Esto ayuda a las organizaciones a proteger los datos altamente confidenciales contra las violaciones de datos.

    
respondido por el HadidAli 22.12.2016 - 10:45
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el punto del spam gibberish? ¿Por qué este certificado para Imgur solo es válido por un día?