Witaj Krzysztof Halasa, 04 maj 2017 w news:m3h910r1ln.fsf@pm.waw.pl
napisałeś/aś:

> pueblo <n...@n...pl> writes:
>
>> Rozumuję w bardzo prosty sposób - w kontekście startowego posta.
>> Mogę płacić kartą w sklepach zbliżeniowo lub tradycyjnie przez
>> terminal w sklepie, wypłacać w bankomatach. I tutaj naiwnie
>> zakładam, że nikt niepowołany nie będzie mógł wykorzystać
>> jakichkolwiek danych do wykonania później transakcji moją kartą.
>
> Niepowołany to może nie. No bo taki np. sprzedawca to jest chyba
> powołany, nie?
>
To zależy...powołany, niepowołany - zależy, co może z tymi danymi złego
zrobić.

>> Dla mnie to nr, data, CVV, bo jeśli ktoś uzyska te dane, to może
>> bez mojej wiedzy wykonać transakcję przez internet. Najbardziej
>> niebezpieczne, bo o ile zgubienie karty zauważę dość szybko, to
>> nieautoryzowane transakcje przez net mogę zauważyć po tygodniu.
>
> To i tak bardzo szybko.
> Rozumiem że chodzi o kod "CVV", który jest nadrukowany na karcie.
> Te dane może uzyskać każdy, kto ma kontakt z kartą. Tego kodu akurat
> nie wymienia się "elektronicznie" (w czasie zakupów "z obecnością
> karty"), ale kamery, pamięć człowieka, ołówek i papier - bez
> problemu.
>
Zdaję sobie z tego sprawę.
>>> A jak płacisz w sklepach "stacjonarnych"? W szczególności, w
>>> takich, które nie mają czytnika elektronicznego w pinpadzie?
>> Sugerujesz, że jakieś dane mojej karty zostają u sprzedawcy? Nie
>> rozumiem, co to znaczy "nie mają czytnika w pinpadzie" Podaję kartę
>> sprzedwcy, który ją wkłada do terminala, a ja w osobnym urządzeniu
>> (pinpadzie) wklepuję pin? Nie przypominam sobie takiej sytuacji.
>
> To dziwne. Używasz karty bardzo sporadycznie, tak?
>
Nie, po prostu wszędzię, gdzie ostatnio coś płaciłem terminal, czytnik
(jak zwał tak zwał) jest podciągnięty na zasięg klienta.
>> No dobra, jakie dane, dla kogo dostępne i gdzie zostawia moja karta
>> po płatności w np. Lidlu? Przecież nie CVV. Niech już mają numer
>> karty. Czy to wystarczy, żeby ktoś mógł obciążyć moją kartę?
>
> Oczywiście, numer karty i data ważności zostają praktycznie w każdym
> sklepie "stacjonarnym" (i w wielu internetowych).
>
No, ok, choć jest to dla mnie dziwne, biorąc pod uwagę np. kontakty z
bankiem w sprawie karty, gdzie nigdy nie musiałem podawać człowiekowi
całego nr karty. Stąd moje przeświadczenie, że cały nr karty to ma być
"wielka tajemnica" he he.


> CVV2 (lub CVC2) nie jest używany w transakcjach "z obecnością", więc
> (jeśli sprzedawca go nie zapamięta) nie zostaje w sklepie. Ale
> transakcje internetowe niekoniecznie wymagają tego kodu, to jest
> tylko dodatkowe, opcjonalne zabezpieczenie sprzedawcy.
No i to jest najistotniejsze dla mnie. Nie miałem do czynienia z
płatnością przez internet bez kodu CVV. Ty piszesz, że jest taka
możliwość. Wystarczy nr i data? Np. gdzie?


> Sklepy, w
> których sprzedawca "wklepuje" dane karty do normalnego terminala
> (tak jakby to była transakcja "card present, keyed in"), nie mogą
> nawet użyć tego kodu.
Sorry, mało światowy jestem, ale nie miałem takiej sytuacji.
W każdym razie z tego, co piszesz wynika, że jest możliwość
wykorzystania danych, jakie karta zostawia podczas transakcji do
wykonania innej transakcji.
Dotąd sądziłem, że są dwie możliwości transakcji:
1. Fizyczna karta+jakiś terminal
2. Dane(nr, data, cvv) w internecie.
Ty dorzuciłeś pkt. 3
Dane niepełne(bez fizycznej obecności karty): nr i data + w internecie
lub jakiś terminal.
Zgadza się?