¿Cómo enmascarar la información de SEPA (IBAN y BIC) correctamente?

5

Actualmente estoy desarrollando un sistema de pago donde los usuarios pueden usar el débito SEPA para pagar el servicio. El usuario tiene la capacidad de ingresar los datos una vez y luego puede seleccionar el mismo método de pago cuando realice otro pago en el futuro.

Por lo tanto, para que el usuario seleccione la cuenta adecuada para el débito, necesito mostrar información sobre sus cuentas. En el mundo de las tarjetas de crédito es normal enmascarar todos menos los últimos 4 dígitos del número de la tarjeta, por ejemplo. XXXX-XXXX-XXXX-1234

¿Debo también ocultar todos los dígitos de IBAN excepto los últimos 4 dígitos? ¿Debería hacer lo mismo para el BIC o es seguro mostrar el número completo del BIC?

    
pregunta devsnd 04.02.2015 - 13:02
fuente

2 respuestas

6

A diferencia de los números de tarjetas de crédito, los números IBAN no son secretos. Si alguien conoce su número de cuenta bancaria, puede derivar el número IBAN. Y necesitarían saber su número de cuenta bancaria para pagarle.

Del mismo modo, BIC tampoco es un secreto.

Dicho esto, a veces se puede usar un número de cuenta bancaria y otra información de identificación para ordenar las cosas, por lo que puede ser una buena idea no mostrar más información sobre un número de cuenta bancaria / IBAN de la necesaria. Esto también es un compromiso entre la privacidad del usuario y la experiencia del usuario.

(El escenario de ejemplo podría ser alguien que te haga daño, tal vez como venganza por algo. Obtienen tu número de cuenta bancaria, otra información personal y comienzan a ordenar cosas en tu nombre. Obviamente, esto es ilegal y estúpido, pero es No es imposible. Podría deshacer el daño, pero le tomaría el tiempo y el esfuerzo que preferiría gastar de una manera más placentera).

El número de cuenta es casi siempre los últimos números del IBAN , y generalmente los últimos números de la cuenta identificar las diferentes cuentas que un usuario puede tener en el mismo banco. Dependiendo de en qué países está operando, solo debe mostrar los últimos 3 o 4 dígitos, junto con la identificación del banco.

    
respondido por el S.L. Barth 04.02.2015 - 13:21
fuente
3

Sin saber los detalles específicos del país, no veo una diferencia, por qué los números de las tarjetas de crédito son secretos y IBAN, no. Conociendo a cualquiera de ellos (está bien, en el caso de IBAN, también necesita un nombre), uno podría hacer pagos, ordenar productos por Internet en algunos países (por ejemplo, en Alemania para ordenar de Amazon solo se necesita el nombre de IBAN y el nombre). Consulte ¿Puede alguien robar dinero de mi cuenta bancaria si conoce mi IBAN y sus datos personales? .

Por lo tanto, recomendaría proteger tanto el número de cuenta como las partes BIC de IBAN, ya que si solo enmascara pocos dígitos de la cuenta bancaria, utilice la suma de comprobación de IBAN y conozca los números de cuenta típicos (por ejemplo, hay bancos donde las 2 últimas cuentas los dígitos de los números siempre son 00) para un banco específico (identificado con BIC), alguien podría imponer un número de cuenta.

Tomemos el IBAN alemán como ejemplo. Siempre se ve como

DEcc bbbb bbbb aaaa aaaa aa

DE - código de país, cc - suma de comprobación, b - parte BIC, a - parte del número de cuenta.

Digamos que lo ocultas como:

DEcc bbbb bbbb XXXX aaaa XX

En mi opinión, no es bueno en absoluto, porque ahora conozco la suma de comprobación y el BIC. Del BIC, pude saber que el banco (1) no tiene tantas cuentas y (2) los últimos 2 dígitos están reservados para otros tipos de cuentas, por ejemplo, 00 para la cuenta principal, 01 podría ser una cuenta de socio, 02 podría ser un depósito a largo plazo, etc. Por lo tanto, los últimos 2 dígitos siempre son 00 para este banco y la cuenta de operación / liquidación.

Ahora nos quedan 4 dígitos. Pero de (1) concluyo que el banco tiene menos de 1,000,000 de clientes. Que las cuentas de este banco siempre se verán como

00aa aaaa 00

Así que ahora solo necesito adivinar los dos primeros 'a'-s. Pero tengo una suma de comprobación, lo que lo hace muy fácil. Si el banco tiene más de un millón de clientes, aún podría tener un sistema, donde el primer dígito identifique la región del país, donde se abrió una cuenta, etc.

    
respondido por el Andrey Sapegin 04.01.2016 - 16:06
fuente

Lea otras preguntas en las etiquetas