カスタマーサービスがPINを要求することは許容されますか？

私はあなたの行動が正当化されているという@ChrisTsiakoulasの回答に完全に同意します。しかし、残念なことに、この習慣は私たち全員が望むほど珍しくありません。私はこの答えを、そのような慣行で実際の状況にもう少し色を追加するつもりです。

私はあなたが説明する正確なシナリオに遭遇しました、それは「適切な」パスワード（パスワードと呼ばれ、文字と数字を許可する）でしたが、むしろ厳密に数値のPINではありません。

オンラインアカウントを作成し、そのオンラインログインにのみ必要であると思われるパスワードを選択した-アカウントで何かを行う前に、自分を認証するために、電話で口頭で人間にそのパスワードを提供することも要求された。

これは英国の主要な（人気のある、大きな予算の、よく宣伝された）ISP PlusNet でした。私があなたに私のパスワードを尋ねられるのと同じくらい驚きました：カスタマーサービス担当者にさらに質問した後、私は彼らが私のパスワードの代わりに私のセキュリティの答えを尋ねるように私のファイルにメモを書くことができたことがわかりました。しかし、同時に、私が電話をかけるたびに、工作員が私のパスワードをプレーンテキストで画面に表示してから、認証用の質問をすることを知りました。

私はこれについてかなりの嵐を巻き起こしました。彼らの苦情手続きによる正式な苦情や、英国の個人情報「番犬」 [〜＃〜] ico [〜＃〜] を紹介しました。そのような安全でないプロセスは、彼らが私について保持している個人情報（銀行口座の詳細を含む、私が口座振替で支払うため）のセキュリティを大いに危うくしたと私は主張しています。しかし残念なことに、内部の苦情と私のICOの「訴訟」の両方により、相手はこの状況に問題があることを確認または確認できませんでした。少なくとも英国の法律では、この慣行は完全にOKであり、データ保護法と対立しないように思われました。

以来、PlusNetに電話をかける必要がなかったので（まだ使用していますが）、これが現在のポリシーかどうかを確認できません。私の苦情自体が実を結ばなかったという事実に関係なく、彼らは私の苦情以来慣行を変更した可能性があります。

残念ながら、今日でも主要な企業の中には、カスタマーサービスのエージェントが（チャット、電話、その他の手段を問わず）PIN、パスワード、またはパスコードを尋ねるのを定期的に求めているところがあります。

ここ米国でこれらの状況の非常に顕著なカテゴリを1つ取り上げると、国内の大手4つの携帯電話会社のカスタマーサービスに電話をかける場合、ライブの人間の代表があなたにPINは、あなたが実際にアカウント所有者であることを認証するプロセスの一部として。さらに、いくつかの主要な運送業者は、運送業者の実店舗の1つに行って対面で受け取るときに、担当者にPINを伝えることを要求することさえありますカスタマーサービス。米国の航空会社の人間のエージェントにPINを提供する必要がある方法とタイミングの詳細については、 AT＆Tのポリシー を参照してください。件名。または T-Mobile's 。または Sprint's 。重要なのは、これがこの非常に重要なサンプル業界で依然として一般的なカスタマーサービス手順であることです。 （間違いなく他のいくつかにも当てはまります。）

さて、ここで問題を明確にすることは、企業が顧客にPINを提供して自分のアカウントにアクセスしたり、サービスを変更したりするよう要求することではありません。実際、PINを要求することは、 はるかに優れたアプローチ であり、推定のアカウント所有者が静的な個人情報（最後の4桁など）で認証できるようにするよりもはるかに優れています（---）彼らの社会保障番号の）今日それは公共または不法な情報源からかなり簡単に収集することができます。ご指摘のとおり、問題はお客様がPINを提供する方法です。現在、ほとんどの主要産業のほとんどの主要企業は、正しい方法で物事を行っています。顧客は自分のアカウント番号（または他のユーザー識別子）とPINを、タッチトーンを介してかどうかにかかわらず、セキュリティで保護されたコンピュータシステムに入力しますカスタマーサービスコールシステムへの電話入力、顧客がWebサイトで認証する必要のある安全なページ、または店内の状況ではキオスクまたはPINパッド-人間に送信される前にサポートエージェント。 PIN /パスワード/パスコード/何でもサポート担当者に直接提供されるべきではありません。限目。しかし、悲しいかな、2016年にはまだall主要なエンティティがそれに従う可能性があるとは言えません。