it-swarm.com.de

Wie viele Ziffern einer Visa-Kartennummer können Anbieter auf Quittungen angeben?

Ich besuchte ein lokales McDonald's und bemerkte, dass ein Teil meiner Visa-Nummer auf der Quittung wie folgt wiederholt wurde: NNNN NN__ ____ NNNN. (Von insgesamt 16 Ziffern wird es also folgendermaßen aufgeschlüsselt: Die ersten sechs Ziffern werden angezeigt, die mittleren sechs Ziffern werden ausgeblendet, die letzten vier Ziffern werden erneut angezeigt.)

Es wurden also nur 6 Ziffern ausgeblendet. Das Finden der richtigen Anzahl würde 1.000.000 Vermutungen erfordern, aber es gibt auch eine Prüfsumme, die die Anzahl der benötigten Vermutungen weiter auf 100.000 verringert (nach meiner, möglicherweise falschen Berechnung).

Gibt es eine Richtlinie darüber, wie viele Ziffern angezeigt werden können? Könnten Karten in Gefahr sein, wenn Unternehmen nur die sechs mittleren Ziffern verbergen?

80
SimZal

Gemäß PCI können die ersten 6 (BIN) und die letzten 4 angezeigt werden, andere sollten maskiert werden:

Aus einem offiziellen PDF von 2008: PCI Data Storage Do’s and Don’s :

Speichern Sie niemals die persönliche Identifikationsnummer (PIN) oder PIN Block. Achten Sie darauf, PAN immer dann zu maskieren, wenn sie angezeigt wird. Die ersten sechs und letzten vier Ziffern sind die maximale Anzahl von Ziffern, die angezeigt werden dürfen.

[~ # ~] pan [~ # ~] ist die primäre Kontonummer

In Bezug auf die Konformität ist das zum Drucken der Quittung verwendete Datenterminal konform.

106
Burhan Khalid

Denken Sie daran, dass empfindlich nicht geheim bedeutet. Die Kartennummer ist "vertraulich", da sie zum Initiieren von Finanztransaktionen verwendet werden kann, aber nicht geheim ist. Nur der PIN Code ist.

Zuvor war die vollständige Nummer auf der Quittung vermerkt, so wie die vollständige Kontonummer auf einem Scheck vermerkt ist. Da Online-Unternehmen nur VISA-Kartennummern ohne Validierung verwenden, stellten die Banken fest, dass das Betrugsrisiko zu hoch war, und entschieden sich, die Informationen auf der Quittung teilweise zu verbergen. Die vollständige Kartennummer ist jedoch fast jedem Mitarbeiter einer Website bekannt (oder zumindest zugänglich), auf der Sie einen Online-Kauf initiiert haben.

TL/DR: Wenn die Bank zu faul ist, um die Kartennummer auf einer gedruckten Quittung zu verbergen, liegt dies an ihrem Problem, nicht an Ihrem. Da Sie dafür nicht verantwortlich sind, gibt es keine Fahrlässigkeit von Ihnen.

19
Serge Ballesta

In den USA verbietet das Fair and Accurate Credit Transactions Act von 2005 (FACTA) das Drucken von mehr als fünf Ziffern einer Kreditkartennummer. Während Ihre Quittung den PCI-Bestimmungen entspricht, würde sie nicht dem Gesetz entsprechen, wenn Sie in den USA wären. Ihr Profil besagt jedoch, dass Sie sich in Slowenien befinden, und mir sind keine ähnlichen slowenischen oder EU-Gesetze bekannt.

12
Mike Scott

Da weltweit etwa 1 Milliarde Visa-Karten im Umlauf sind (es gab 883,5 Millionen im Jahr 2012 ) und jede Karte 14 eindeutige Ziffern hat (die erste ist immer 4 und die letzte ist die Prüfsumme), es würde durchschnittlich 50.000 Vermutungen erfordern, um eine gültige Nummer ohne vorherige Informationen zu finden.

Wenn der Hacker nicht daran interessiert ist, Ihre Nummer zu erraten , wird er Ihre Quittung höchstwahrscheinlich einfach ignorieren, selbst wenn er sie erhalten hat.

7

Wie ein anderer Benutzer angegeben hat, ist dies gemäß den PCI-Konformitätsregeln vollkommen akzeptabel.

Ich wollte ein bisschen genau erklären, warum die Dinge so sind. Zunächst einmal bilden die ersten sechs Ziffern der Kartennummer die BIN, eine Nummer, die als "bekannt" gilt. Dies ist eine Nummer, die der Institution zugewiesen ist, die Ihre Karte ausgestellt hat, und alle anderen Karteninhaber, die Mitglieder dieser Institution sind, teilen sich die BIN. Das Anzeigen der BIN gibt einem Angreifer also keine Informationen, die er nicht einfach durch Betrachten der BIN-Liste erhalten kann. Da das Verschleiern der BIN nur eine marginale (manche würden sagen "triviale") Sicherheitsstufe bietet, warum sollte sie maskiert werden? Die Klartext-BIN wird routinemäßig in der Zahlungsabwicklung verwendet, und das Maskieren würde viel mehr Kopfschmerzen verursachen, um die Sicherheit nahezu auf Null zu erhöhen.

Das Anzeigen der letzten vier ist in der Regel der beste Kompromiss zwischen dem Anzeigen zu vieler Informationen und nicht genügend Informationen, um die Karte bei der Abstimmung usw. eindeutig zu identifizieren. Wenn Sie häufig mit Kreditkartennummern arbeiten, stoßen Sie gelegentlich auf zwei identische maskierte Kartennummern. aber mit einer Wahrscheinlichkeit von 1/10.000 passiert es.

Zusammengenommen werden Sie wahrscheinlich immer noch auf den Punkt zurückkommen: "Sie geben einem Datendieb zehn der Zahlen, wodurch sein Suchraum auf 1 Million reduziert wird, und die Prüfsumme, die ihn auf 100.000 reduziert!"

Sie haben einen gültigen Punkt, aber was bedeutet das? Dies bedeutet, dass der Dieb jetzt eine Liste mit 99.999 schlechten Kreditkartennummern und eine gute hat, ohne dass er feststellen kann, welche die richtige ist. Die Kreditkartennummer enthält von Natur aus keine Informationen, die Sie darüber informieren, wann Sie die "richtige" Nummer haben. Es ist nicht so, als würde man ein kryptografisches Rätsel lösen. Sie müssen die Karte vorlegen, damit eine Zahlung erfolgt, um festzustellen, ob sie "gut" ist oder nicht. Das heißt, um auch EINE Karte zu knacken, müssen Sie die Zahlungsplattform eines Händlers kompromittieren und durchschnittlich 50.000 Transaktionen ausführen, um sie zu finden. Angesichts der Tatsache, dass Händler pro Transaktion belastet werden, liegt es in ihrem Interesse, sicherzustellen, dass jemand so etwas nicht kann. Und selbst wenn der Händler die Anmeldeinformationen seines Händlerkontos nur unzureichend schützen konnte, erkennen Zahlungsabwickler solche Dinge häufig und schließen das Konto innerhalb von Sekunden.

5
Jon Jenkins