web-dev-qa-db-ja.com

販売者からクレジットカード情報をすべてメールで送信された

消費者がクレジットカード情報の不正使用について苦情を申し立てる場所はありますか?

私はクレジットカードを牽引している会社に渡し、メモ欄に私のクレジットカード情報をすべて記載した領収書を電子メールで送ってきました。送信される電子メールは決して安全ではありません。

苦情を申し立てることができる政府機関はありますか?クレジットカードが不正使用されたと考えています。キャンセルして再発行します。この会社が彼らが会社を置くリスクについての手がかりを持っているとは思いません。

emailcredit-card
61
Jim Skov

(注:PCI QSAではなく、いくつかのPCIおよびPIIについて知っているだけです)

ペイメントカード業界のデータセキュリティ基準に違反することは法律違反ではありません。 PCI DSSは、支払いカード会社(VISAなど)とプロセッサ間のデータの保護方法に関する合意です。

牽引している会社は、これを行うことによって彼らのプロセッサとの合意に違反している可能性が高く、情報が漏洩した場合にはほぼ確実に責任を負うことになります。

メールにクレジットカードの処理業者が記載されている場合は、それらに連絡することができます。牽引会社に直接連絡することもできます。最後に、@ Matthewが示唆するように、キャンセルするときは銀行に知らせる必要があります。

さらなる可能性としては、あなたが米国にいると仮定して、あなたの州の個人を特定できる情報の法令を調べることです。 PII法は場所によって大きく異なりますが、クレジットカード番号(PANとして知られています)はPIIとして数えられると広く見なされています(おそらくそのメールに含まれる他の個人情報も同様です)。あなたの場所にプライバシーコミッショナーがいる場合、その部門でそれを上げることができます。ほとんどのPII法には、企業がPIIを適切に注意して取り扱う必要があり、多くの管轄区域ではそうしないとかなりの罰則があります。

PCIについては、レポートに関するこの情報シートをご覧ください violations

57
crovers

NOSなので「政府」==「米国」とします。

苦情を申し立てることができる政府機関はありますか?

あんまり。政府は 大規模な違反に巻き込まれ始めた ですが、彼らは小さなことを扱いません。加盟店がカードデータの取り扱いに関して適用する必要がある保護を規定するPCI要件は、同意ベースの非政府規制です。 PCIは法律ではないため、PCI違反で逮捕されることはありません。

あなたは確かに不満として数える消費者保護機関に不満を試みることを試みることができますが、それは多くをしません。

あなたは訴訟を起こすことができます。それはほぼ確実にあなたが得る、勝つまたは失うことを期待できるよりも多くの費用がかかります。

クレジットカードが不正使用されたと考えています。キャンセルして再発行します。

その際、販売者によるプレーンテキストカードデータの暗号化されていない送信がその理由であることを明確にしてください。 PCI非準拠の罰金 があり、違反が発生した場合、または重大なパターンの苦情が発生した場合にのみ、彼らが侵入する可能性があります。 (とはいえ、牽引している会社では、罰金を引き起こすレベルまで苦情が上がる可能性はほぼゼロです。)

彼らが誰であるかを理解でき、どのように彼らに不平を言うべきかを理解できれば、あなたは商人のクレジットカード処理業者に不平を言うことができます。ワンシーツーシーの苦情を聞いている人がいない場合にも、同じ警告が適用されます。広範囲にわたる不正行為のパターンのみが応答をトリガーする可能性があります。

この会社が彼らが会社を置くリスクについての手がかりを持っているとは思いません。

まあ、彼らは実際にはそうではありません。このシステムは、重大な障害のみを罰し、ラインアイテムの非遵守は罰しません。小さな商人は事実上名誉制度を利用しており、公平な監査を受けていません。それは公平ではありませんが、どちらも人生ではありません。

正直に言うと、販売者にアプローチするのが最も効果的であり、PAN(カード番号)を暗号化されていないメールで送信することは、クレジットカードでは許可されていません。合意を処理し、最後の4桁を除くすべてをマスクするようにシステムを変更するように依頼します。礼儀正しく積極的でない方法でそうする場合、彼らはそれを行うことさえあります。あなたが次に故障したときにあなたを牽引する意欲があることを除いて、何も変化しないと期待するべきです)。

14
gowenfawr

警告:米国中心の回答、管轄を指定せずに政府について質問します:(

はい、そうです。

「すべてのクレジットカード情報」に有効期限またはカード番号の最後の5桁以外の数字が含まれている場合、それを領収書に記載することはFACTAに違反するため、自分で訴えることもできます。

FTC Webサイトに詳細があります

最も関連する部分:

連邦の公正かつ正確なクレジット取引法(FACTA)に従って、顧客に提供する電子的に印刷されたクレジットカードとデビットカードの領収書は、アカウント情報を短くするか、切り捨てる必要があります。カード番号の下5桁までを含めることができ、カードの有効期限を削除する必要があります。

そして

違反すると、会社が最高FTC民事罰や差し止めによる救済などの法執行措置をとることができます。さらに、消費者は、遵守していない企業を訴え、損害賠償や弁護士の損害賠償を求めることができます。手数料。

ただし、FACTAは「電子的に印刷された」領収書にのみ適用され、Simonoff v。Expediaでこれに電子メールが含まれていないと裁判所が認めた。

ただし、Gramm-Leach-Bliley法では、企業が顧客の財務情報を保護することも義務付けられており、 the FTCは関連する例を示しています

顧客情報を安全に送信するための措置を講じます。例えば:

  • クレジットカード情報やその他の機密の財務データを送信する場合は、Secure Sockets Layer(SSL)またはその他の安全な接続を使用して、情報が転送中に保護されるようにします。
  • お客様からオンラインで直接情報を収集する場合は、安全な送信を自動化します。電子メールを介して、または一方的な電子メールまたはポップアップメッセージに応答して、アカウント番号などの機密データを送信しないようにお客様に注意してください。
  • 機密データをインターネット経由で電子メールで送信する必要がある場合は、データを暗号化してください。

確かに、彼らはこの分野で勤勉ではないように思われ、確かにFTC苦情を提出しても問題はないでしょう。

6
Ben Voigt