web-dev-qa-db-fra.com

Combien de chiffres d'un numéro de carte Visa les fournisseurs peuvent-ils divulguer sur les reçus?

J'ai visité un McDonald's local et j'ai remarqué qu'une partie de mon numéro Visa était répétée sur le reçu comme ceci: NNNN NN__ ____ NNNN. (Donc, sur un total de 16 chiffres, il se décompose comme suit: six premiers chiffres révélés, six chiffres du milieu cachés, quatre derniers chiffres révélés à nouveau.)

Donc, seuls 6 chiffres étaient cachés. Trouver le bon nombre prendrait 1 000 000 de suppositions, mais il y a aussi une somme de contrôle qui réduit encore le nombre de suppositions nécessaires à 100 000 (selon mon calcul, peut-être erroné).

Existe-t-il une politique sur le nombre de chiffres pouvant être révélés? Les cartes peuvent-elles être en danger si les entreprises ne cachent que les six chiffres du milieu?

80
SimZal

Selon PCI, les 6 premiers (BIN) et les 4 derniers peuvent être affichés, les autres doivent être masqués:

À partir d'un PDF 2008 officiel: À faire et à ne pas faire pour le stockage de données PCI :

Ne stockez jamais le numéro d'identification personnel (PIN) ou PIN Bloquer. Assurez-vous de masquer PAN chaque fois qu'il est affiché. Les six premiers et les quatre derniers chiffres sont les nombre maximum de chiffres pouvant être affichés.

[~ # ~] pan [~ # ~] est Numéro de compte principal

En ce qui concerne la conformité, le terminal de données utilisé pour imprimer le reçu est conforme.

106
Burhan Khalid

N'oubliez pas que sensible ne signifie pas secret. Le numéro de carte est "sensible" car il peut être utilisé pour initier des transactions financières, mais il n'est pas secret. Seul le code PIN est.

Auparavant, le numéro complet était inscrit sur le reçu, comme le numéro de compte complet est inscrit sur un chèque. Les entreprises en ligne n'utilisant que des numéros de carte VISA sans validation, les banques ont réalisé que le risque de fraude était trop élevé et ont choisi de masquer partiellement les informations sur le reçu. Mais le numéro de carte complet est connu (ou du moins accessible) pour presque tous les employés d'un site Web où vous avez initié un achat en ligne.

TL/DR: si la banque est trop paresseuse pour cacher le numéro de carte sur un reçu imprimé, c'est leur problème, pas le vôtre. Comme vous n'êtes pas responsable de cela, il n'y a aucune négligence de votre part.

19
Serge Ballesta

Aux États-Unis, la Fair and Accurate Credit Transactions Act de 2005 (FACTA) interdit d'imprimer plus de cinq chiffres d'un numéro de carte de crédit. Ainsi, bien que votre reçu soit conforme aux réglementations PCI, il ne serait pas conforme à la loi si vous étiez aux États-Unis. Cependant, votre profil indique que vous êtes en Slovénie et je ne connais pas de lois slovènes ou européennes similaires.

12
Mike Scott

Puisqu'il y a environ 1 milliard de cartes Visa en circulation dans le monde (il y avait 883,5 millions en 2012 ) et chaque carte a 14 chiffres uniques (le premier est toujours 4 et le dernier est la somme de contrôle), il faudrait en moyenne 50 000 suppositions pour trouver un numéro valide sans aucune information préalable.

De cette façon, si le pirate n'est pas intéressé à deviner votre numéro en particulier , il ignorera très probablement votre reçu même s'il l'a obtenu.

7
Dmitry Grigoryev

Comme un autre utilisateur l'a déclaré, selon les règles de conformité PCI, cela est parfaitement acceptable.

Je voulais clarifier un peu exactement pourquoi les choses sont ainsi. Tout d'abord, les six premiers chiffres du numéro de carte constituent le BIN, un numéro qui est considéré comme "bien connu". Il s'agit d'un numéro attribué à l'institution qui a émis votre carte, et tous les autres titulaires de carte qui sont membres de cette institution partagent le BIN. Donc, montrer le BIN ne donne à un attaquant aucune information qu'il ne peut pas obtenir simplement en consultant la liste BIN. Étant donné que le fait de masquer le BIN n'offre qu'une sécurité marginale (certains diraient "triviale"), pourquoi le masquer? Le BIN en texte clair est couramment utilisé dans le traitement des paiements, et le masquer créerait beaucoup plus de maux de tête pour une augmentation de la sécurité presque nulle.

L'affichage des quatre derniers est généralement le meilleur compromis entre afficher trop d'informations et pas assez d'informations pour identifier de manière unique la carte lorsqu'elle est utilisée pour le rapprochement, etc. Si vous travaillez souvent avec des numéros de carte de crédit, vous rencontrez parfois deux numéros de carte masqués identiques, mais avec une probabilité de 1/10 000, cela se produit.

Ces deux choses prises ensemble, vous allez probablement revenir au point "vous donnez à un voleur de données dix des nombres, ce qui réduit son espace de recherche à 1 million, et la somme de contrôle, qui le réduit à 100 000!"

Vous avez un argument valable, mais qu'est-ce que cela signifie? Cela signifie que le voleur a maintenant une liste de 99 999 mauvais numéros de carte de crédit et 1 bon, sans aucun moyen de savoir lequel est le bon. Le numéro de carte de crédit ne contient en soi aucune information vous permettant de savoir quand vous avez le "bon" numéro. Ce n'est pas comme résoudre un puzzle cryptographique; vous devez présenter la carte pour un paiement afin de savoir si elle est "bonne" ou non. Cela signifie que pour casser même UNE carte, vous devez compromettre la plate-forme de paiement d'un commerçant et exécuter en moyenne 50 000 transactions pour la trouver. Étant donné que les commerçants sont facturés par transaction, il est grandement dans leur intérêt de s'assurer que quelqu'un ne puisse pas faire ce genre de chose. Et même si le commerçant n'a pas su protéger les informations d'identification de son compte marchand, les processeurs de paiement détectent souvent ce genre de chose et éteignent le compte en quelques secondes.

5
Jon Jenkins