web-dev-qa-db-ja.com

クレジットカード情報を記録するコールセンター

携帯電話プロバイダーと電話で新しい契約を結んだだけで、アクティベーション料金を支払う必要がありました。女性は、クレジットカードのみを受け入れることができると私に言って、電話で完全な詳細(番号、有効期限、およびセキュリティコード、通常のもの)を私に尋ねました。

ただし、彼女は個人的に詳細を取得し(使用するデータベースに入力するため)、通話が記録されます。

私は今、私の情報のセキュリティについて心配しています。彼女は私のクレジットカードへの完全なアクセス権だけでなく、録音を聞く人もすべて持っています。有名で有名なプロバイダーなので、怪しげなことはできないと思いますが、それでも迷惑です。それは本当に受け入れられますか?拒否すべきでしたか?

(注:私はスイスに住んでおり、ここでのデータ保護規制は正確にはわかりません)

1
user10149660

記録を暗号化するか、それ以外の方法でスクランブルする限り、SAD(Secure Authentication Data、カードの裏面に印刷されているセキュリティコード)以外のすべてを記録できます。 PCI SSC情報補足を引用するには 電話ベースの支払いカードデータの保護

強力な暗号化を使用して、たとえばオーディオ録音やデータベースなどに保存されているCHDを保護するか、または切り捨てやハッシュなどによって保存されたデータを読み取り不可能にします。機密認証データ(SAD)は、暗号化されている場合でも、承認後に保存しないでください。これは、環境にPANがない場合でも当てはまります。

コールセンターの従業員が、カードデータのコピーを作成できるメモ帳や携帯電話を持っていないことを確認するなど、その他の予防策が提示されています。

残念ながら、どの予防策が実施されているかを知る方法はありません。販売者がカードの詳細を朗読するために録音をオフにして、それが終わったら録音に戻るのが一般的です。通常、これは発信者に通知されますが、通知する必要はありません。また、彼らが録音に使用している暗号化と使用していない暗号化を知る方法はありません。

価値があることについては、ここで直面するリスクは、レストランの給仕にカードを渡すたびに直面するリスクより大きくはなく、おそらく低くなります。カードを請求するためにカードを奪うことができます。

3
gowenfawr

現代のクレジットカードは、不正な取引から保護するために高度なセキュリティ対策を実装しています。

クレジットカードプロセッサはまだ古いトランザクションプロトコルを受け入れます。彼らは商人との合意のためにそうしますが、商人は争われた取引に対して完全な責任を引き受けます。

ちなみに、クレジットカード名義人の名前はトランザクションの一部ではありませんQ&A を参照してください。

  • PANと有効期限

これは、カードを充電するための基本的で安全性の低い方法です。アマゾンはまだそれを使用しています。彼らはリスクを取る。

この場合、銀行は、異議申し立てを行う可能性のあるほぼすべてのトランザクションをキャンセルすることに消極的ではありません。

  • PAN、有効期限、CVV

紛争の条件は似ていますが、多くの取引について紛争を起こし始めると、銀行が疑わしくなり始める可能性があります。

  • PAN、有効期限、CVV2およびOTP

これは最も難しい認証であり、これは私が議論したかったポイントです。今あなたはトランザクションの異議申し立てに非常に苦労します。このメカニズムにより、商人は紛争から安全に保護されますr