Итак, пояснение.
Первый случай, самый простой: вы незаметно словили вирус и произвели оплату карточкой, данные, необходимые для оплаты карточкой (номер, ФИО владельца, срок действия и cvc/cvv код) уже записаны и конец немного предсказуем. Но это не тот пункт, ради которого писался совет, я надеюсь, это очевидно всем присутствующим.
Второй случай: очень часто стекают базы операторов, которые занимаются обработкой(процессингом) платежей. По правилам visa/mastercard процессинг не имеет права хранить cvv/cvc код, но некоторые считают, что они сами с усами и требование игнорируют.
За примерами (yandex.ru/yandsearch?text=%D1%85%D1%80%D0%BE%D0%BD%D0%BE%D0%BF%D0%B5%D0%B9+%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC&from=fx3&clid=46510&lr=213) далеко ходить не буду.
Очень волнующее чувство, когда находишь в интернете в файле части уведённой базы в одной из первых строк свою карточку.
Я перешел к примеру. В общем, на тот момент я использовал отдельную карточку для таких расчётов. Позвонил в банк, заблокировал её. На следующий день мне позвонили из банка, с вопросом почему у меня на заблокированную карточку идёт по одной попытке авторизации в минуту (за день набежало попыток на три зарплаты).
Кстати, некоторые банки разрешают платежи без указания cvv/cvc . т.е то, что код не хранится на серверах процессинга не означает, что это безопасно.
Запомните: карта для оплаты через интернет должна быть:
1) отдельная
2) дебетовая без овердрафта (возможности снять больше, чем есть)
3) желательно с интернет-банком и смс-уведомлением.
4) можно неэмбоссированную или виртуальную (без фио на карточке/физического носителя, она дешевле)
ЗЫ некоторые банки имеют возможность кидать деньги между карточками всего несколькими кликами через интернет-банк (из известных — сбер, альфа, русский стандарт, да множество их) и за несколько минут выпускать виртуальные карты, как раз для целей описанных в совете.
Если что непонятно, пишите в комментариях, поясню.
1
1
?
Многобукаф, но интересно и понятно написано.
Screama_Sinclair, спасибо!
Я старался максимально понятно донести аргументы до присутствующих.
Как, впрочем, и в других моих советах.
la, побольше бы таких старающихся донести :)
1 финансы
1 безопасность
Ваше PS немного расшифрую.
У меня две карточки в одном банке. И дистанционное банковское обслуживание.
Если я что-то захочу купить в не очень надежном месте, то я через сайт ДБО переведу на вторую карточку нужную сумму и потом с нее заплачУ. Комиссии за перевод между своими счетами нет.
TT, несли не секрет, напишите банк. Я вот скоро менять буду свой…
www.bankuralsib.ru
1 пластиковые карты
la, ну, насчет хронопея там был, насколько я понимаю, увод домена.
А так все правильно, спасибо за хороший совет.
Flashback, даже увод домена хронопея не позволил бы раскрыть данные карт, если бы они ранее там не хранились.
vladon, где не хранились? Сервера-то не были взломаны, а искусный фишинг быстро просекли. Так что, не думаю, что много народу пострадало. Конечно, это не отменяет распиздяйства хостера.
Flashback, у меня процессился возврат по карте на момент подмены днс.
Сотрудник СБ банка сразу сказал, что возвраты по хронопею утекли все[cvv не обрабатывается, поэтому без него, это радует].(у ХП спёрли все закрытые ключи, и для https, и для части PCI)
Кстати, некоторые банки имеют Картсчет и собственно обычный счет. И снять деньги можно только если они на картсчету. Переброска делается через интернет банк.
А в Альфа-Банке есть счет "Сейф" с которого снять деньги можно только через банкомат (или через инетбанк перебросить с сейфа на текущий), а вот расплатиться с карты если деньги в сейфе нельзя. Ну и в Сейфе процент тикает небольшой.
в handy bank работают генераторы одноразовых паролей, которые присылают с помощью смс
"… карта для оплаты через интернет должна быть:
… желательно с интернет-банком и смс-уведомлением… "
То есть, у меня есть право позвонить в банк, если мне придет смс-уведомление об операции, которую я не совершала, и требовать, чтобы они разобрались, кто крыса?)
juliett, у вас есть право так с сделать с любой транзакцией, с которой вы не согласны.
Процедура называется чарджбэк (charge back), не самая дешевая, т.к банк за неё тоже платит около 20долларов(вы платите около килорубля), но в случае решения в вашу пользу стоимость чарджбэка возвращается.
Если транзакция телефонная, да еще и через ОАЭ, то скорее всего вернут.
Просто с уведомлением вы об этом моментально узнаете. Деньги с карточки снимаются не сразу при любой транзакции(это тема следующего совета, про способ уйти в минус, про списания и блокировки средств, не так нужно как этот совет, но, уверен, познавательно). У вас есть возможность отменить транзакцию еще до фактической оплаты банком.(минимум сутки, обычно до недели)
la, вообще сейчас уже крайне сложно уйти в минус таким способом )) Перед выдачей денег в обход карты проверяются блокированные суммы, которые еще не списаны со счета. Да и в договоре черным по белому написано, что банк не выдает ваши кровные по расходному ордеру пока не пройдет 45 дней (и, соответственно, не спишутся, либо не будут отказаны незавершенные транзакции)
В небольшой минус можно попасть, проводя операции в валюте, отличной от валюты карты, из-за переоценки. Или в большой, если сумма оплаты хорошая, а изменения курса не на пару копеек
la, давайте по пунктам:
Откуда инфа ? Ну, кроме хронопэя, само собой.
Кто конкретно так делает ? Такая ситуация повлекла бы для сервиса немедленное расторжение договора с платежной системой (по крайней мере, с VISA/MC).
Опять же, кто конкретно так делает и откуда у вас лично такая инфа ? Это грубое нарушение полиси VISA/MC. Ни один банк в здравом уме не пойдет на это.
Ну и на посошок — карты платежных систем VISA и МС (за остальные не могу сказать, ибо не пользуюсь) имеют чудесные системы защиты с привязкой к номеру телефона — Master Card SecureCode и Visa Security, соответственно. Подключаются как дополнительная опция при заключении договора, оба сервиса бесплатны.
Alesku, element5 чудным образом не спрашивал у меня CSV.
Палка не спрашивает (но там скорее всего всё зашифровано/захешировано[есть предположение, что cvv в отрытом виде даже процессинги не гоняют]).
По поводу платежей без CVV: лично оплачивал продление домена в .do отправляя по факсу от руки заполненное заявление (cardholder expire cardnumber дата, подпись). Всё списалось, всё продлилось.(cм. f.qwerty.name/ccPaymentFormEN.pdf) Банк: сбер.
Далее: habrahabr.ru/post/109361/
Сам так оплачивал S3, когда пользовался AWS (своей картой разумеется).
Из ваших утверждений следует, что у сбера надо отобрать лицензии и повесить технарей на виждном месте. Но это не так, антифрод у сбера очень хорошо работает.
La, скорее, не у сбера, а у перечисленных операторов. Но в целом спасибо за пруф.