¿Se ha demostrado un beneficio para las máquinas de tarjetas de crédito que solicitan un código postal?

  

¿Existe alguna evidencia de que esto realmente lleve a una reducción significativa del fraude con tarjetas de crédito exitoso?

Sí, hay pruebas, y Sí , ha resultado absolutamente en la reducción de muchos tipos de fraude con tarjetas:

La función de prevención de fraude a la que se refiere se llama Servicio de verificación de direcciones (AVS). El servicio AVS verifica que el número de la calle y / o el código postal presentado en la terminal coincidan con los datos presentes para el titular de la tarjeta en el banco emisor.

En tiempo real, el procesador de pagos devolverá una Respuesta AVS. En función de la respuesta, el comerciante puede decidir rechazar una transacción no conforme.

Ha sido adoptado por casi todos los emisores de tarjetas en los Estados Unidos.

Consulte Guía para el comerciante del Servicio de verificación de direcciones de Visa

Los posibles códigos de respuesta y las configuraciones de rechazo configurables se muestran aquí:

En una configuración de terminal de estación de servicio, el terminal podría configurarse para rechazar los códigos de respuesta AVS N y A, por ejemplo.

Usted menciona un buen punto que a menudo se pasa por alto en Seguridad. Datos.

"En Dios confiamos, todos los demás deben traer datos". -W Edwards Demming

Creo que es poco probable que encuentre datos reales para la efectividad de una política de seguridad. No conozco muchos análisis científicos reales en la industria de la seguridad, y eso es una vergüenza terrible. Así que la gente debe especular y especular que lo harán.

Al igual que Gowenfawr, tampoco tengo datos y solo puedo ofrecer especulación.

Tienes razón en que el "ataque de billetera robada" no ofrece ninguna protección contra el fraude. Pero muchas tarjetas de crédito en estos días son robadas de sistemas de procesamiento automatizados inseguros. Target y Home Depot son ejemplos de esto. Los atacantes están tomando la información de estos sistemas y tarjetas de clonación. No creo que estos sistemas generalmente contengan el código postal del titular de la tarjeta, y no está codificado en la propia tarjeta.

El punto es que pedir un código postal en una estación de servicio hará que los intentos de clonación sean más difíciles de realizar. Yo especularía que esto reducirá el fraude en cierta cantidad.

Es para la disuasión, y algunas cosas que se utilizan para la disuasión son para que el cliente se sienta seguro y haga muy poco por "seguridad". Llevar cámaras de vigilancia. Probablemente instalo unas 200 o más cámaras al año, y como hago todo lo posible para que las cámaras protejan el sitio lo mejor que pueda, hay formas de evitarlo. Son para la disuasión. La gente ve las cámaras y se va "Oh, tienen cámaras, no puedo robar este lugar". Sin decir que las cámaras son inútiles, he ayudado a los propietarios de tiendas a capturar a aproximadamente 50 empleados / clientes que han robado a lo largo de los años.

Entonces, comencemos con este ejemplo. He robado su billetera, ahora si se dio cuenta de que esto sucedió hace 5 minutos o hace 5 horas, llamará a su banco / tarjeta de crédito y cancelará sus tarjetas. Como ladrón, tengo que usar tus tarjetas rápidamente, ya que sé que vas a cancelar tus tarjetas. Me preocuparía más el robo de identidad de una billetera robada en lugar de usar mis tarjetas.

Tienes razón, si tengo tu billetera conozco tu código postal. Tal vez no pueda usar su tarjeta de presentación, pero todavía puedo salir con algo gratis. Iré a comprar tarjetas prepagas para usar y destruiré tu billetera, tal vez guardando tus tarjetas de identificación.

Digamos que en lugar de robar su billetera, hackeo una red POS y obtengo información de la tarjeta desde allí. No tengo su código postal, pero aún podría hacer una copia duplicada de su tarjeta si obtuviera suficiente información del pirateo que hice en la red POS. Usted no sabría que la información de su tarjeta había sido comprometida hasta que la compañía publique que han sido hackeados. Aun así, podría utilizar los datos de esa tarjeta para comprar cosas, pero no con la configuración de tipo "pagar en la bomba".

Se le solicita el código postal en las ubicaciones donde no está "interactuando" con una persona. Es un método de prevención para evitar que los ladrones con su información de CC roben gas. Sin embargo, podrían entrar con una tarjeta "copiada" y comprar gasolina dentro.

Simplemente, si está pagando con una tarjeta 'cara a cara' con alguien, no necesita ninguna información adicional de usted además de la información de la tarjeta. Pueden solicitar una identificación con foto para confirmar que usted es el titular de la tarjeta.

Si se encuentra en la estación de pago de quiosco (bomba de gasolina, tienda de quiosco) y el sistema le solicita el código postal de la dirección de facturación de la tarjeta, es para verificar si hay fraude.

El cheque del código postal es verificado por el banco del titular de la tarjeta y no se utiliza de ninguna otra forma que no sea para verificar que la información sea correcta.

En una 'cara a cara' cualquier información adicional que soliciten, es muy probable que tenga fines de marketing y no pueden negar su transacción si usted no da esa información adicional.

California Beverly Credit Card Act of 1971 se ocupa de eso, y se han hecho enmiendas a lo largo de los años.

Puede reducir el fraude, tal vez. Sin embargo, todavía podría entrar con "su" tarjeta y comprar gasolina allí. Por supuesto, hay más posibilidades de que el fracaso vaya hacia adentro. Cámaras, cajero pidiendo identificación, tarjeta siendo reportada como robada.

Al intentar usar la tarjeta fuera sin empleados, obtendré dos respuestas de la bomba de gasolina:

1. aceptado
2. Su tarjeta fue rechazada, consulte al asistente.

Si obtuviera la opción # 2, me iría y probaría otro código postal en otra estación de servicio.

  

¿Hay alguna evidencia de que esto realmente lleve a una significativa   reducción en el fraude de tarjetas de crédito con éxito?

Tendría que preguntarle a una de las compañías de gas o a uno de los proveedores de fraude (como Accertify ? ThreatMetrix ?) que pueden tener estadísticas ( "evidencia").

  

Me parece que esto no sería una medida muy útil para una   Máquina que requiere que la tarjeta esté presente de todos modos ... [ladrones]   casi con seguridad tienen al menos una y probablemente varias identificaciones que incluyen   su código postal .... Por lo tanto, tengo curiosidad si algún beneficio de seguridad real tiene   Se ha mostrado para esto o no.

No tengo evidencia , pero te ofrezco especulación :

1. De todos los datos de información antifraude, el código postal es el único que se puede ingresar de manera conveniente en un teclado de bomba de gas de solo números.
2. Requerir un zip como antifraude sirve como notificación al usuario de que se está examinando esta transacción, lo que puede tener un efecto tranquilizador sobre los usuarios válidos y un impacto disuasivo sobre los usuarios fraudulentos.
3. Hacer algo termina siendo mejor que nada en este caso.

Hay otros pasos de fraude (ubicación, frecuencia y análisis de hábitos) que probablemente sean más efectivos contra el caso de uso de "billetera robada". Pero esos ocurren detrás de la escena, sin seguridad ni disuasión.

Otra razón sería causar que la persona que ingresa la información se retrase un poco. Cualquier cosa que agregue unos segundos a las actividades de un ladrón aficionado reduce las posibilidades de que sigan adelante. Además, esos pocos segundos adicionales aumentan las posibilidades de obtener una buena imagen en la cámara.

Algo parecido a lo que dijo Israel, puede agregar un poco de demora, pero es probable que sus cámaras de seguridad ya deberían poder detectarlo.

Es probable que si conocen la información de su tarjeta de crédito, básicamente sepan todo lo demás, probablemente solo sea un método de protección menor.