Имеют ли учреждения право запрашивать код безопасности вашей кредитной карты и все другие данные CC?

Школа хочет данные моей кредитной карты, включая код безопасности. Они прислали мне форму для заполнения о моей карте. Насколько я знаю, защитный код — это то, что не следует публиковать. Должен ли я предоставить их им?

введите описание изображения здесь

Вы платите им за что-то и используете для этого кредитную карту? Или это был неожиданный запрос вашей информации?
Мне кажется, вы можете подумать, что они просят то, что мы называем в Великобритании «пин-кодом», потому что вы говорите, что это «нечто, что не должно публиковаться». Вам определенно не следует сообщать код безопасности, которым вы пользуетесь для оплаты товаров в магазине или получения денег в банкомате, никому и никогда . Но это не то, что они просят здесь. Это плохо сформулированная форма, имхо, и должно быть ясно, что они просят последние три цифры из полосы для подписи на обратной стороне карты. Если вы подчинитесь, это будет означать, что школа может списать средства с вашей карты, но списание средств будет зарегистрировано.
Рассмотрите возможность удаления названия учреждения из публикации, а затем пометки публикации с просьбой к модератору удалить изменения. Вы же не хотите, чтобы это учреждение преследовало вас за ущерб своей репутации.
Вероятно, так поступают более половины всех продавцов, с которыми я взаимодействую, и почти все кабинеты врачей и стоматологов (например, при получении счета). Подобно распространенной практике запрета определенных символов в полях пароля, я просто списываю это как неизбежные накладные расходы, которые вы должны платить, чтобы жить в современном обществе.
Хотя ответы, получившие наибольшее количество голосов, точны, они не отвечают на очевидный вопрос: что может сделать клиент, столкнувшись с такой формой? Может ли покупатель сообщить об этом продавцу?

Ответы (5)

Это означает, что процесс продавца (в данном случае университета) заключается в том, чтобы обмануть своего процессора, ложно представив платеж как транзакцию «CVV2 с отказом магнитной полосы».

Наличие карты во время транзакции снижает уровень мошенничества, поэтому эмитент карты и сеть процессинга с меньшей вероятностью понесут расходы на расследование мошенничества (или даже съедят всю плату), и эта экономия будет передана продавцу в виде более низких сборов.

Продавец пытается претендовать на эти более низкие комиссии, когда карта фактически не присутствует во время авторизации (это очень рискованная ситуация). В процессе они подвергают вас повышенному риску мошеннических обвинений в будущем и затрудняют оспаривание этих обвинений (поскольку у вора будет код CVV, который служит доказательством, не неопровержимым, но все же веским доказательством, вашего согласия на оплату).

При этом они нарушают четкую формулировку визовых правил:

введите описание изображения здесь

введите описание изображения здесь

Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат .
Подводя итог моему отрицательному голосу, который я поддерживаю, несмотря на другие обсуждения: есть несколько причин, по которым они могут запрашивать эту информацию, и даже если все они морально или юридически неверны, этот ответ не дает никаких доказательств для утверждения одной конкретной причины. Ответ можно было бы значительно улучшить, удалив самонадеянное резюме «это означает, что...» и указав некоторые другие возможности (например, неправильное использование PDQ электронной коммерции для удобства).

Это нарушает PCI-DSS

Им разрешено использовать защитный код или данные полной полосы только на мгновение во время транзакции. Им не разрешается удерживать его даже на минуту .

Хуже того, эта форма имеет пять эффектов: 3 поля кредитной карты, имя владельца карты и почтовый индекс для выставления счетов. Это все, что вам нужно для подключения к большинству форм заказа на веб-сайте.

Этот документ, по-видимому, является документом-носителем для множества вещей, а затем подшивается или пересылается в качестве доказательства оплаты или чего-то подобного. Он лежит в их почтовом ящике, лежит в почтовом ящике какого-то клерка, складывается и складывается, передается по факультетам университета, и вы знаете, что они подшивают его. Сохранять это — верх идиотизма, и кто-то должен им это объяснить.

Все, что требуется от кого-то, кто знает их механизм, чтобы взять стек и запустить его, а затем сидеть где-нибудь в кампусе на своем Wi-Fi и заказывать Macbook Pro. Для двойного смеха, из студенческого интернет-магазина Apple для этого университета, так что трудно отличить его от добросовестной студенческой покупки.

Из-за смещения ответственности университет будет нести ответственность за последующую проверку, штрафы и каждое мошенническое обвинение.

Им нужно договориться со своим банком, чтобы они могли проводить эти платежи без кода безопасности.

Неправильно. Слова PCI «PCI DSS не запрещает сбор кодов/значений проверки карты до авторизации конкретной покупки или транзакции. Однако не разрешается сохранять коды/значения проверки карты после конкретной покупки или транзакции, для которой она была собранная информация разрешена. " Они могут собирать информацию на бумаге, если она уничтожается после получения разрешения.
@ user71659 при втором чтении этого я вижу, где это имеет смысл, но мне трудно поверить, что текст представляет собой расширенное хранение этих данных на бумаге, отправленных по почте, внутрикампусной почтой, обработанных в офисах и т. д. в течение нескольких дней. Может быть, если бы они обрабатывались так же, как они обрабатывают платежи наличными, но я действительно не думаю, что это так.
Указывал ли ОП когда-либо на намерение распечатать эту форму и заполнить ее на бумаге? Кажется, мы все это предполагали. Они вполне могли ожидать, что он будет заполнен в электронном виде и отправлен им по электронной почте; в этом случае практически невозможно фактически уничтожить информацию после использования в соответствии с PCI. Хотя возможно, что это может быть частью процесса, технически соответствующего нормативным актам, если не преднамеренного (форма печатается и измельчается должным образом сразу после использования), этот процесс будет обременительным и вряд ли будет выполняться на самом деле.
@ user71659: Еще один удар по вашей идее о том, что он может храниться в течение произвольного периода времени, пока транзакция не будет обработана: карты с динамическими кодами CVV.
@BenVoigt Ей-богу, я думаю, ты можешь быть прав.

Причина, по которой они просят об этом, заключается в том, что им это нужно для обработки платежа по кредитной карте. Процессор их кредитных карт требует, чтобы они вошли в него. Если вы не предоставите его, они не смогут снять деньги с вашей кредитной карты.

Если вы хотите оплатить эту услугу своей кредитной картой, то да, вы должны предоставить им этот код.

Недобросовестный работник школы может использовать информацию из этой формы для мошеннических списаний средств с вашей карты, но это может произойти в любое время по целому ряду причин, которые вы не можете контролировать. Вам необходимо постоянно проверять транзакции по вашей кредитной карте, чтобы найти плохие платежи и связаться с компанией-эмитентом кредитной карты, если они будут обнаружены.

Когда вы обнаружите мошеннические транзакции, они могут быть результатом действий кого-то из школы, но вместо этого они могут быть результатом взлома или скимминга, который не имеет никакого отношения к этой школе. Вы не будете нести ответственность за эти расходы.

Хороший ответ, хотя мне интересно, почему эта школа до сих пор использует бумагу для оплаты кредитной картой. Онлайн-платежи на защищенной странице безопаснее, чем на бумаге. Там, где я живу, вы можете оплачивать обучение в колледже непосредственно на веб-сайте колледжа (речь идет об оплате cc).
@Gainz Я чувствую запах темного или теневого ОНО. И хотя часто бывают случаи, когда необходимо обойти центральную ИТ-инфраструктуру; делать так для чего-либо финансового заставляет меня съеживаться.
«Если вы не предоставите его, они не смогут снять деньги с вашей кредитной карты». категорически не прав. Они могут быть не в состоянии обработать ее как транзакцию «Предоставление карты», что может привести к более высоким комиссиям со стороны их процессора, но единственной обязательной информацией является номер карты и срок действия — даже несоответствие почтового индекса является предупреждением, а не фатальной ошибкой. И чем больше информации вы предоставите, тем сильнее будет аргумент банка в том, что вы разрешили использование своей карты (в отличие от инициирования одной транзакции). OP будет нести ответственность за транзакции, совершенные кем-то, кому он разрешил использовать свою карту.
@BenVoigt Я не согласен и считаю, что вы ошибаетесь. Защитный код не является секретным PIN-кодом, он не является доказательством того, что вы санкционировали списание средств, и он не влечет за собой ответственности за мошенническое списание средств.
@BenVoigt прав, этот ответ совершенно неверен и должен быть удален. Номера проверки карты не должны храниться. Они не являются секретными (т. е. клиент может передать их поставщику), но запись их на энергонезависимый носитель (т. е. на бумагу, в базу данных и т. д.) сделает этого поставщика несовместимым с PCI. Единственная причина, по которой они им понадобятся, — это неправильно классифицировать свою транзакцию. «Карта в файле» и «повторяющиеся» транзакции не требуют их.
CVV может и не быть «секретом», но его запрещено хранить, в том числе в бумажном или электронном виде. Школьный процесс в лучшем случае несовершенен.
@ SaSSafraS1232 Даже если школа не «должна» поступать таким образом, это не делает недействительным ни один из моих ответов. Дело в том, что если ОП хочет заплатить с помощью кредитной карты, ему нужно будет предоставить код безопасности, и это действительно не проблема для ОП. Кредитные карты по своей природе небезопасны, и потребители не несут ответственности за мошеннические транзакции.
@BenMiller: речь идет не о «доказательстве того, что вы санкционировали списание средств», а о доказательстве того, что вы разрешили лицу, которое произвело списание средств, использовать информацию о вашей карте. Если вы позволяете кому-либо использовать вашу карту для одной цели, вы несете ответственность за любые расходы, которые они делают с ней. Если вы передадите кому-то карточку, чтобы забрать обед для вашей команды, и они по дороге зайдут к ювелиру, банк не будет рассматривать это мошенничество. Вы будете владеть тем, за что заплатила ваша карта, и возбудить гражданский иск против человека, который ее прикарманил, но банк не будет вмешиваться. Эта ситуация выглядит для банка как одалживание вашей карты.
«Если вы не предоставите его, они не смогут снять деньги с вашей кредитной карты». Не правда. Некоторые (все?) процессоры кредитных карт по-прежнему принимали бы его, они просто взимали бы более высокие комиссии за транзакции (как для поощрения регистрации на cvv, так и для покрытия возросших показателей мошенничества). Например, Amazon не просит об этом (по крайней мере, там, где я).
@BenVoigt Ваша гипотеза не аналогична ситуации с ОП здесь.
@ SaSSafraS1232 Нет, вы совершенно не правы насчет CVV. CVV нельзя хранить после авторизации . Точные слова Visa : «Никогда не сохраняйте полный трек, магнитную полосу, CVV2* и данные чипа после авторизации транзакции ». Пока они уничтожают форму после авторизации, они соблюдают требования. Требований о "энергонезависимых носителях" нет. И обратите внимание на их звездочку: «На некоторых рынках CVV2 требуется для всех транзакций без карты».
Прошло около 10 лет с тех пор, как я работал в этой области, но я занимался сертификацией программного обеспечения для онлайн-обработки кредитных карт с различными проблемами с картами в Великобритании посредством авторизации карты в режиме реального времени. В то время продавец принимал решение о том, принял он транзакцию или нет, основываясь на возвращенном указании эмитента карты о том, совпадают ли поля CVV2 и Address Verification. После того, как вы получили совпадение CVV2 от известного клиента (т. е. при первой транзакции), вам не нужно было отправлять его при последующих.
@BenVoigt """Если вы не предоставите его, они не смогут снять деньги с вашей кредитной карты." категорически неправильно». Ну, не совсем неправильно. Они могут получить авторизацию (нет правила, согласно которому эмитенты должны требовать CVV2), но вполне вероятно, что отсутствие CVV2 приведет к отклонению. «Они могут быть не может обработать это как транзакцию «Представление карты». Это не имеет смысла. Если они запрашивают CVV2, это указывает на транзакцию без карты. При наличии транзакции ожидается CVV1.
«что может вызвать более высокие сборы с их процессора». В основном это сеть / эмитент, которые взимают более высокие сборы. "единственная обязательная информация" Термин "обязательная" является расплывчатым. Означает ли это «что требуется для того, чтобы сеть отказалась его принять» или это означает «что требуется для того, чтобы эмитент принял это»? «Если вы позволите кому-то использовать вашу карту для одной цели, вы несете ответственность за любые расходы, которые они будут с ней делать». Это просто ложь и показывает, что вы понятия не имеете, о чем говорите. Хватит писать глупости и дезинформировать читателей.
@Acccumulation: если сеть дает согласие на авторизацию, продавец может отклонить ее, но это его выбор. БенМиллер ошибается, когда описывает это как «неспособность зарядить карту». Что касается утверждения, что я понятия не имею, о чем говорю, погуглите «Если вы разрешите кому-либо использовать вашу карту» . Банки рассматривают совместное предоставление номера карты и кода авторизации как неформальное создание авторизованного пользователя, который затем может выполнять несколько транзакций, и вы несете ответственность.
@BenVoigt Опять же, ситуация, когда вы сообщаете свой номер другу / члену семьи, отличается от передачи вашего номера продавцу и его неправильного использования или кражи постфактум.
@Acccumulation: И нет, эта форма заказа не предназначена для создания авторизованного пользователя, но из информации, доступной банку (у лица есть номер счета и все коды авторизации), это выглядит так, оставляя OP нежелательной задачей доказательства он не дал разрешения.
@BenVoigt «Если сеть дает согласие на авторизацию, продавец может отклонить ее». Сеть не разрешает транзакции, это делает эмитент. «БенМиллер ошибается, когда описывает это как «невозможность зарядить карту»». Если эмитент отклоняет транзакцию, то разумно сослаться на это как на «невозможность списания средств с карты». И эмитенты могут отклонить любую транзакцию без предъявления карты без CVV2. «Что касается утверждений, что я понятия не имею, о чем говорю, погуглите сами». Если у вас есть конкретная цитата, представьте ее. Говорить мне в гугле это не цитата.
«Банки рассматривают совместное предоставление номера карты и кода авторизации как неформальное создание авторизованного пользователя». обычный картхолдер.
Первый результат поиска в гугле «Добавление авторизованного пользователя» находится здесь «... Авторизованный пользователь получает кредитную карту со своим именем на ней, и он может использовать карту точно так же, как если бы он был основным владельцем учетной записи. .. Чтобы добавить авторизованного пользователя, свяжитесь с эмитентом вашей кредитной карты по телефону или войдите в свою учетную запись в Интернете.Эмитенту карты потребуется личная информация авторизованного пользователя, включая его имя, адрес, дату рождения и номер социального страхования, обработать запрос..."
С каждым комментарием вы просто добавляете все новые и новые доказательства того, что не знаете, о чем говорите.
@Acccumulation: Тот факт, что заказ карты для кого-то устанавливает авторизованного пользователя, не означает, что это единственное действие, которое создает авторизованного пользователя. (A -> B, поэтому /A -> /B) является одной из самых основных логических ошибок («обратная ошибка»). Bank of America называет эту ситуацию «Лица, использующие вашу учетную запись», но у Northwest Bank есть такое же правило под точным названием «Авторизованные пользователи».
@Acccumulation: И я, конечно, никогда не говорил, что решение о принятии авторизации было принято исключительно сетью, конечно, эмитент карты был вовлечен. Но мерчант никогда не связывается с эмитентом напрямую, он получает авторизацию из сети через API своего процессора мерчанта. Могут быть задействованы многие другие стороны, такие как цифровые кошельки. Ни один из них не имеет отношения к продавцу.
@BenVoigt В моем цитировании не говорится, что заказ карты устанавливает авторизованного пользователя, в нем говорится, что создание авторизованного пользователя приводит к отправке ему карты. Т.е. "если авторизованный пользователь, то получить карту". Из этого логически следует, что если они не получают кредитную карту со своим именем, они не являются авторизованными пользователями. Это известно как «обратное».
Теперь вы могли бы заявить, что этот эмитент является исключением, а у большинства других эмитентов другая политика, но вы притворяетесь, что я совершаю обратное заблуждение, показывает либо ваше непонимание моего комментария, непонимание логики, лживость, или некоторая комбинация из трех. Ваши комментарии становятся довольно утомительными. Бессмысленные комментарии в снисходительном тоне — не самое приятное сочетание.
«И я, конечно, никогда не говорил, что принятие авторизации решается исключительно сетью, конечно, эмитент карты был вовлечен». Если под "давать" вы имели в виду "передавать", то это очень плохая формулировка, которая обязательно вызовет путаницу.
@Acccumulation: вы описываете одно действие для процесса, который одновременно устанавливает авторизованного пользователя и отправляет карту. Это не обязательно единственное правило для создания авторизованного пользователя. Когда у вас есть пример, который я привел для вас, и я бросил слово неофициальный перед авторизованным пользователем, это, возможно, должно было насторожить вас о том, что я говорю о другом процессе, чем «позвонить в свой банк и создать авторизованный пользователь», о котором вы думаете. Но ваше незнание не означает, что этого не существует — это прямо в Условиях. Ваше цитирование не является T&C.

Это совершенно небезопасно, и лично я бы не стал предоставлять информацию.

Как вы уже поняли, вы не будете знать, как используется ваша информация, как только она покинет ваши руки, и вы никогда не узнаете, правильно ли она была утилизирована (измельчена/уничтожена). Кроме того, тот факт, что они следуют такой небезопасной практике, говорит о том, что на уровне учреждения они не имеют ни малейшего представления о важности защиты частной и финансовой информации. Это означает, что все, от дворника до директора школы, будут подвергать вашу информацию риску.

Если вы должны сделать это, некоторые варианты:

  • посмотрите, можете ли вы заплатить лично.
  • создать временный номер кредитной карты с очень низким лимитом (некоторые карты предлагают эту функцию)
  • платить наличными.
Им действительно нужен номер вашего личного банковского счета? Мошенничество с ACH действительно опасно.
@trognanders, хорошая информация, удалил комментарий!

Размещение всей информации, необходимой для авторизации транзакции без предъявления карты, на бумажном бланке, который может стать объектом потенциальной кражи почты или скимминга в офисе, не является особенно хорошей идеей. В других ответах упоминается , что школа должна делать. Это бесполезный способ думать о проблеме... вы не школа и не имеете никакого влияния на их практику. Вместо этого защитите себя.

Рассмотрим альтернативные варианты оплаты:

  1. Денежный перевод/кассовый чек. Не давайте им персональный чек , цифры внизу гораздо опаснее, чем код CVV2 на кредитной карте.
  2. Наличными (получите квитанцию!)
  3. Предоплаченная карта Visa.

Они могут быть менее заинтересованы в принятии чеков или наличных денег, потому что это не процесс, но предоплаченная виза ограничивает ваш риск сохраненной стоимостью, и вы можете потом выбросить ее в мусорное ведро.

+1 за решение реальной проблемы, поскольку просто сказать: «Эй, у вас плохая политика, и вам нужно ее изменить», вряд ли будет иметь какой-либо эффект, особенно с учетом того, что люди, с которыми будущий студент, вероятно, сможет поговорить, маловероятно, что это люди, у которых есть полномочия вносить изменения.
Имеют ли учреждения право запрашивать код безопасности вашей кредитной карты и все другие данные CC?
СпросиСетьПолитика конфиденциальности1y, 0v