El comerciante me envió un correo electrónico con toda la información de mi tarjeta de crédito

Navega tus respuestas
61

¿Hay algún lugar para que un consumidor presente una queja sobre el uso incorrecto de la información de la tarjeta de crédito?

Le di mi tarjeta de crédito a una empresa de remolque y me enviaron un recibo por correo electrónico con toda la información de mi tarjeta de crédito en el campo de notas. El correo electrónico enviado no es de ninguna manera seguro.

¿Hay una agencia gubernamental donde pueda presentar una queja? Creo que mi tarjeta de crédito ahora está comprometida, la cancelaré y la volveré a emitir. No creo que esta empresa tenga idea del riesgo en el que están colocando a su empresa.

    
pregunta Jim Skov 27.01.2017 - 15:14
fuente

3 respuestas

58

(Nota: No es un QSA de PCI, solo conozca algo de PCI y PII)

Violar el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago no es una violación de la ley. El PCI DSS es un acuerdo entre las compañías de tarjetas de pago (VISA, etc.) y los procesadores sobre cómo se protegerán los datos.

Es probable que la empresa de remolque incumpla un acuerdo con su procesador al hacer esto, y seguramente será más responsable en caso de que se filtre información.

Si el correo electrónico indica el procesador de la tarjeta de crédito, puede ponerse en contacto con ellos. También puede ponerse en contacto directamente con la empresa de remolque. Por último, como sugiere @Matthew, debe informar al banco cuando cancele.

Otra posibilidad es consultar los estatutos de información de identificación personal en su estado (suponiendo que se encuentre en los EE. UU.). Los estatutos de PII varían ampliamente según su ubicación, pero consideran que el número de la tarjeta de crédito (conocido como PAN) cuenta como PII (junto con la otra información personal presumiblemente en ese correo electrónico). Si su ubicación tiene un comisionado de privacidad, puede aumentarla con ese departamento. La mayoría de los estatutos de PII tienen el requisito de que las empresas traten la PII con el cuidado adecuado y existen algunas sanciones importantes por no hacerlo en muchas jurisdicciones.

Para PCI, puede consultar esta hoja de información sobre los informes de violaciones

    
respondido por el crovers 27.01.2017 - 15:39
fuente
14

Asumiré "Gobierno" == "EE. UU." ya que es NOS.

  

¿Hay una agencia gubernamental donde pueda presentar una queja?

En realidad no. El gobierno ha ha comenzado a involucrarse en grandes brechas , pero no tratan con cosas pequeñas. Los requisitos de PCI, que rigen las protecciones que deben aplicar los comerciantes en relación con el manejo de los datos de la tarjeta, son restricciones no gubernamentales basadas en el consentimiento. No puede ser arrestado por violar el PCI porque no es una ley.

Ciertamente, podrías intentar quejarte ante las agencias de protección al consumidor, lo que cuenta como quejas, pero no hará mucho.

Usted podría presentar una demanda. Es casi seguro que le costará más de lo que puede esperar ganar, ganar o perder.

  

Creo que mi tarjeta de crédito ahora está comprometida, la cancelaré y la volveré a emitir.

Cuando lo haga, deje en claro que la razón por la que lo hace es la transmisión no cifrada de datos de la tarjeta de texto simple por parte del comerciante. Hay multas por incumplimiento de PCI , y la única La posibilidad de que se den de alta es si hay una violación o si surge un patrón significativo de quejas. (Dicho esto, para una empresa de remolque, las posibilidades de que las quejas aumenten a un nivel que generaría multas son cercanas a cero).

Si puede averiguar quiénes son y cómo puede quejarse con ellos, puede quejarse con el procesador de tarjetas de crédito del comerciante. Las mismas advertencias se aplican a que nadie escuche las quejas de onesie-twosie; solo los patrones de mal comportamiento generalizado pueden desencadenar una respuesta.

  

No creo que esta empresa tenga idea del riesgo en el que están colocando a su empresa.

Bueno, en realidad no lo son. El sistema solo castiga los errores graves, no el incumplimiento de las líneas de pedido. Los pequeños comerciantes están efectivamente en el sistema de honor y no están sujetos a una auditoría imparcial. No es justo, pero tampoco la vida.

Para ser honesto, es probable que la respuesta más efectiva que pueda tener sea acercarse al comerciante, decirle que el acuerdo de procesamiento de la tarjeta de crédito no permite enviar un PAN (número de tarjeta) a través de correo electrónico no cifrado, y preguntarles para modificar sus sistemas para enmascarar todos menos los últimos 4 dígitos. Si lo haces de manera educada y no agresiva, incluso podrían hacerlo. (Si se acerca a ellos de manera negativa o de reproche, no debe esperar que cambie nada, excepto su disposición a remolcarlo la próxima vez que se rompa).

    
respondido por el gowenfawr 27.01.2017 - 15:39
fuente
6

Advertencia: respuesta centrada en los EE. UU., la pregunta se refiere a un gobierno sin especificar una jurisdicción :(

Sí, más o menos.

Si "toda la información de la tarjeta de crédito" incluye la fecha de vencimiento o los dígitos del número de la tarjeta que no sean los últimos cinco, tener eso en un recibo es una violación de FACTA, que también le permite demandarlos usted mismo.

El el sitio web de la FTC tiene detalles .

Las partes más relevantes:

  

De acuerdo con la Ley Federal de Transacciones de Crédito Exactas y Exactas (FACTA), los recibos de las tarjetas de crédito y débito impresos electrónicamente que usted entrega a sus clientes deben acortar, o truncar, la información de la cuenta. Puede incluir no más de los últimos cinco dígitos del número de la tarjeta, y debe eliminar la fecha de vencimiento de la tarjeta.

y

  

El incumplimiento podría abrir una empresa a una acción de aplicación de la ley de la FTC, incluidas sanciones civiles y medidas cautelares. Además, la ley permite a los consumidores demandar a las empresas que no cumplan y cobrar daños y honorarios de abogados.

Pero FACTA solo se aplica a recibos "impresos electrónicamente" y a los tribunales que se encuentran en Simonoff v. Expedia que esto no incluye correo electrónico.

Sin embargo, la Ley Gramm-Leach-Bliley también requiere que las empresas protejan la información financiera de los clientes, y la FTC proporciona un ejemplo relevante :

  

Tome medidas para garantizar la transmisión segura de la información del cliente. Por ejemplo:

     
  • Cuando transmita información de tarjetas de crédito u otros datos financieros confidenciales, use una Capa de sockets seguros (SSL) u otra conexión segura, para que la información esté protegida en tránsito.
    •   
  • Si recopila información en línea directamente de los clientes, haga que la transmisión segura sea automática. Advierta a los clientes que no transmitan datos confidenciales, como números de cuenta, por correo electrónico o en respuesta a un correo electrónico no solicitado o un mensaje emergente.
    •   
  • Si debe transmitir datos confidenciales por correo electrónico a través de Internet, asegúrese de cifrar los datos.
    •   

Ciertamente, parece que no están siendo diligentes en esta área, y seguramente no habrá ningún problema con la presentación de una queja de la FTC.

    
respondido por el Ben Voigt 27.01.2017 - 18:19
fuente

Lea otras preguntas en las etiquetas

¿Por qué este certificado para Imgur solo es válido por un día? ¿La vulnerabilidad del corazón del corazón afecta a los clientes tan seriamente?