web-dev-qa-db-fra.com

Le commerçant m'a envoyé un e-mail avec toutes mes informations de carte de crédit

Y a-t-il un endroit où un consommateur peut déposer une plainte pour mauvaise utilisation des informations de carte de crédit?

J'ai donné ma carte de crédit à une entreprise de remorquage et ils m'ont envoyé un reçu par e-mail avec toutes mes informations de carte de crédit dans le champ des notes. L'email envoyé n'est en aucun cas sécurisé.

Y a-t-il un organisme gouvernemental où je peux déposer une plainte? Je crois que ma carte de crédit est maintenant compromise et je vais l'annuler et la faire réémettre. Je ne crois pas que cette entreprise ait une idée du risque dans lequel elle place son entreprise.

emailcredit-card
61
Jim Skov

(Remarque: Pas un PCI QSA, sachez juste quelques trucs PCI et PII)

La violation de la norme de sécurité des données de l'industrie des cartes de paiement n'est pas une violation de la loi. Le PCI DSS est un accord entre les sociétés de cartes de paiement (VISA, etc.) et les processeurs sur la manière dont les données seront sécurisées.

La société de remorquage est probablement en violation d'un accord avec son processeur en faisant cela - et serait certainement plus responsable en cas de fuite d'informations.

Si l'e-mail indique le processeur de carte de crédit, vous pouvez le contacter. Vous pouvez également contacter directement la société de remorquage. Enfin, comme @Matthew le suggère, vous devez informer la banque lorsque vous annulez.

Une autre possibilité consiste à consulter les lois sur les informations personnellement identifiables dans votre état (en supposant que vous êtes aux États-Unis). Les statuts PII varient considérablement en fonction de votre emplacement, mais ils considèrent largement le numéro de carte de crédit (connu sous le nom de PAN) comme comptant comme PII (ainsi que les autres informations personnelles vraisemblablement dans cet e-mail). Si votre emplacement a un commissaire à la protection de la vie privée, vous pouvez le signaler à ce ministère. La plupart des lois sur les PII exigent que les entreprises traitent les PII avec le soin approprié et il existe des sanctions importantes pour ne pas le faire dans de nombreuses juridictions.

Pour PCI, vous pouvez consulter cette fiche d'information sur les rapports violations

57
crovers

Je suppose que "Government" == "US" car c'est NOS.

Y a-t-il un organisme gouvernemental où je peux déposer une plainte?

Pas vraiment. Le gouvernement a a commencé à s'impliquer dans de grandes infractions , mais il ne s'occupe pas de petites choses. Les exigences PCI, qui régissent les protections que les commerçants doivent appliquer concernant la gestion des données de carte, sont des restrictions non gouvernementales basées sur le consentement. Vous ne pouvez pas être arrêté pour violation du PCI parce que ce n'est pas une loi.

Vous pourriez certainement essayer de porter plainte auprès des agences de protection des consommateurs, ce qui compte comme une plainte, mais cela ne fera pas grand-chose.

Vous pourriez intenter une poursuite. Cela vous coûtera presque certainement plus que ce que vous pouvez espérer gagner, gagner ou perdre.

Je crois que ma carte de crédit est maintenant compromise et je vais l'annuler et la faire réémettre.

Lorsque vous le faites, indiquez clairement que la raison pour laquelle vous le faites est la transmission non cryptée des données de carte en clair par le commerçant. Il y a amendes pour non-conformité PCI , et la seule chance pour qu'ils interviennent est s'il y a une violation ou si un modèle significatif de plaintes survient. (Cela dit, pour une entreprise de remorquage, les chances que les plaintes atteignent un niveau qui déclencherait des amendes sont proches de zéro.)

Si vous pouvez découvrir qui ils sont et savoir comment vous plaindre auprès d'eux, vous pouvez vous plaindre auprès du processeur de cartes de crédit du commerçant. Les mêmes mises en garde s'appliquent à personne qui écoute les plaintes de personne à personne; seuls les modèles de mauvaise conduite généralisée sont susceptibles de déclencher une réponse.

Je ne crois pas que cette entreprise ait une idée du risque dans lequel elle place son entreprise.

Eh bien, ils ne le sont pas vraiment. Le système ne punit que les défaillances graves, pas la non-conformité des éléments de campagne. Les petits commerçants sont effectivement sur le système d'honneur et ne sont pas soumis à un audit impartial. Ce n'est pas juste, mais la vie non plus.

Pour être honnête, il est probable que la réponse la plus efficace que vous pourriez avoir serait d'approcher le marchand, de lui dire que l'envoi d'un PAN (numéro de carte) via un e-mail non crypté n'est pas autorisé par sa carte de crédit accord de traitement et demandez-leur de modifier leurs systèmes pour masquer tous les chiffres sauf les 4 derniers. Si vous le faites de manière polie et non agressive, ils pourraient même le faire (si vous les approchez de manière négative ou réprimandante, vous ne devriez rien attendre d'autre que leur volonté de vous remorquer la prochaine fois que vous tomberez en panne).

14
gowenfawr

Attention: réponse centrée sur les États-Unis, la question concerne un gouvernement sans spécifier de juridiction :(

Oui, en quelque sorte.

Si "toutes les informations de carte de crédit" incluent la date d'expiration ou les chiffres du numéro de carte autre que les cinq derniers, le fait de l'avoir sur un reçu constitue une violation de FACTA, ce qui vous permet également de les poursuivre vous-même.

Le le site Web de la FTC a des détails .

Les portions les plus pertinentes:

Selon la loi fédérale sur les transactions de crédit justes et précises (FACTA), les reçus de cartes de crédit et de débit imprimés électroniquement que vous remettez à vos clients doivent raccourcir - ou tronquer - les informations de compte. Vous ne pouvez pas inclure plus que les cinq derniers chiffres du numéro de carte et vous devez supprimer la date d'expiration de la carte.

et

La non-conformité pourrait ouvrir une entreprise jusqu'à une FTC action d'application de la loi, y compris des sanctions civiles et des injonctions. En outre, la loi autorise les consommateurs à poursuivre les entreprises qui ne se conforment pas et à percevoir des dommages-intérêts et des avocats. honoraires.

Mais FACTA ne s'applique qu'aux reçus "imprimés électroniquement", et les tribunaux ont conclu dans Simonoff c. Expedia que cela n'inclut pas le courrier électronique.

Cependant, la loi Gramm-Leach-Bliley exige également que les entreprises protègent les informations financières de leurs clients et le FTC donne un exemple pertinent :

Prenez des mesures pour assurer la transmission sécurisée des informations client. Par exemple:

  • Lorsque vous transmettez des informations de carte de crédit ou d'autres données financières sensibles, utilisez un Secure Sockets Layer (SSL) ou une autre connexion sécurisée, afin que les informations soient protégées en transit.
  • Si vous collectez des informations en ligne directement auprès des clients, automatisez la transmission sécurisée. Mettez en garde les clients contre la transmission de données sensibles, comme les numéros de compte, par e-mail ou en réponse à un e-mail ou un message contextuel non sollicité.
  • Si vous devez transmettre des données sensibles par courrier électronique sur Internet, assurez-vous de crypter les données.

Il semble certainement qu'ils ne sont pas diligents dans ce domaine, et il n'y aurait sûrement aucun problème à déposer une plainte FTC.

6
Ben Voigt