Enmascaramiento de números de tarjetas de crédito: ¿buenas prácticas, normas, reglamentos legales?

Por lo general, cuando ingreso y guardo el número de mi tarjeta de crédito en la tienda en línea o en la aplicación móvil, solo se muestran los últimos cuatro números como recordatorio. Ejemplo (no dígitos reales):

Your card: **** **** **** 1234

Recientemente usé una aplicación, donde el número de tarjeta se mostraba a continuación (no los dígitos reales):

Your card: 1234 56** **** 1234

¿Existen buenas prácticas o algo impuesto por Visa/MC o la ley que regula cómo enmascarar el número de tarjeta correctamente?

Respuestas (2)

Los términos que desea consultar, siempre que sea en los EE. UU., son Cumplimiento de PCI y PA DSS. El cumplimiento de PCI es para el proveedor con el que está comprando y PA DSS se aplica a la empresa que produce el software que acepta las tarjetas de crédito (lo que el proveedor usa para venderle cosas).

De acuerdo con la Guía de cumplimiento de PCI , los dígitos máximos que se pueden mostrar son los primeros 6 y los últimos 4 de un número de tarjeta. Su ejemplo muestra esa asignación máxima. Este requisito es diferente al requisito de almacenar el número de tarjeta en una base de datos.

Entonces, si hay 2 sitios web, el sitio web A que muestra los primeros 6 y el sitio web B que muestra los últimos 4, y piratea la cuenta de un usuario en ambos sitios (lo cual es especialmente fácil por la frecuencia con la que las personas reutilizan el mismo nombre de usuario/contraseña en todos los sitios). sitios), entonces solo quedan 6 dígitos para adivinar (espacio de búsqueda de 1,000,000)? Y no olvide que hay una suma de verificación, que sospecho que reduciría aún más el espacio de búsqueda. ¡Eso parece tan inseguro!
PCI es mundial, no solo estadounidense. Para ser exactos, DSS (el Estándar de seguridad de datos) se aplica a todos los sistemas comerciales y PA-DSS (Aplicación de pago DSS) al software de terceros; PCISSC tiene varios otros estándares además de DSS y PA-DSS, como P2PE (Cifrado punto a punto), pero la 'biblioteca' no los muestra de manera predeterminada, debe usar el menú desplegable.
@Alexander Se requeriría el número CVV2 para una transacción sin tarjeta presente. Debido a que el número de la tarjeta de pago y el CVV2 no están relacionados, podría aplicar fuerza bruta a una versión del primero con un dígito de control aprobado, pero aún tendría que interactuar con una cámara de compensación para encontrar una versión del último que funcione. Incluso un número moderado de CVV2 no válidos en un PCN válido pondría en peligro los sistemas antifraude de los emisores de tarjetas.
@Blrfl El CVV no es obligatorio. Simplemente reduce las tarifas de transacción para los comerciantes.
@Alexander No 100%, pero los emisores de tarjetas lo requieren en América del Norte y Europa occidental para los comerciantes amables donde es más probable el fraude. Siendo realistas, ¿cuándo fue la última vez que realizó una transacción con un comerciante en línea que no la solicitó?
@Blrfl Amazon, la semana pasada.
@Alexander FWIW, los primeros 6 dígitos se conocen públicamente y se pueden adivinar si conoce al emisor de la tarjeta. Entonces, una vez que ve los últimos cuatro dígitos, generalmente ya tiene los primeros seis.

La respuesta de BobbyScon le indica las reglas PCI estándar de la industria, pero la anatomía de un número de tarjeta de crédito es la siguiente.

  • El primer dígito es el número de identificación principal (3 = AMEX/Diners Club, 4 = Visa, 5 = Mastercard, 6 = Discover, etc.)

  • Los primeros 6 dígitos (incluido el primer dígito) son el número de identificación del banco (diferentes bancos tienen diferentes sistemas para asignarlos, todas mis tarjetas Chase tienen los mismos primeros seis dígitos)

  • Los siguientes 9 dígitos son su número de cuenta

  • El último dígito es una suma de verificación (hay un algoritmo algo simple que se usa para validar rápidamente un número de tarjeta de crédito, no puede simplemente cambiar un dígito de su número de tarjeta para usarlo como falso)

Por lo tanto, parece que su segundo ejemplo consideró suficiente bloquear solo la mayor parte de su número de cuenta pero dejar visible el número de banco. No puedo pensar en una razón para exponer más que los últimos 4 dígitos de un número de tarjeta de crédito. Seguramente, la mayoría de las personas no tienen idea de que los primeros 6 dígitos son una identificación bancaria que será común en muchas, muchas tarjetas y no hay ningún beneficio para el proveedor al conocer las identificaciones bancarias.

Mastercard también emite algunas tarjetas BIN 2 a partir de 2017, no solo BIN 5. (Fuente: mastercard.us/en-us/issuers/get-support/… )
Mostrar números de tarjeta parciales ayuda a las personas a recordar cuál usaron (si tienen varias). Desde esa perspectiva, realmente no importa que los primeros 6 dígitos sean comunes en muchas tarjetas (o si se da cuenta de esto o no), siempre que sus tarjetas provengan de diferentes emisores.
Tal vez para AMEX, debido a la forma en que se emiten los números, ha habido momentos en los que tengo más de un AMEX con los mismos últimos cuatro dígitos, pero para Visa/MC/Discover es excepcionalmente poco probable que se emitan dos tarjetas con los mismos últimos dígitos. cuatro que sospecho que este método de enmascaramiento plantea más problemas de seguridad en personas desinformadas que ayuda a las personas con muchas tarjetas de crédito. La gente está acostumbrada a ver los últimos cuatro dígitos, la gente no está acostumbrada a ver los primeros seis y los últimos cuatro.
¿Estás seguro de que la regla de que los primeros 6 dígitos son la identificación del banco y los siguientes 9 son la cuenta es válida para todas las tarjetas? En Dinamarca, 4571 ABCD XXXX XXXX, 4571 identifica las tarjetas como VISA/Dankort, ABCD es el número de registro bancario (dígitos) (cada banco tiene uno o más números de registro que corresponden principalmente a las sucursales) y el resto es el número de tarjeta individual, incluida la suma de verificación. .
Por lo general, la razón para no ocultar los primeros 6 dígitos es para referencia interna. Puede haber empleados dentro de la organización que necesiten acceso a más de los últimos 4, pero que no estén autorizados a tener las credenciales para ver los 16 completos descifrados (si es que estaban almacenados en su sistema). Por lo general, esto es para verificar reembolsos y auditar pagos de los bancos apropiados a su propio banco. Si bien es posible que solo vea 4 dígitos impresos en un recibo, eso no significa que los sistemas administrativos no tengan acceso a los primeros 6 también.
@Bent 4 es el identificador principal de la industria, que indica banca>VISA, y sospecho que todo en el rango de "571AB" (donde AB es 00-99 o algún subconjunto) se ha asignado a Dankort, quien luego asigna los números de cuenta (CD + los siete primeros XXXX XXX) como mejor les parezca. Quizás obtuvieron los subconjuntos AB asignados por región, y dentro de cada región AB, establecieron los dos primeros dígitos como un indicador de sucursal y los siete dígitos restantes indican la cuenta individual. Todo esto es especulación, por supuesto (más allá de los 4) :)
@quid Me sorprende que haya obtenido dos tarjetas con el mismo last4. Cada vez que se reemplaza mi tarjeta AMEX, las últimas 4 cambian pero el resto permanece igual.
Enmascaramiento de números de tarjetas de crédito: ¿buenas prácticas, normas, reglamentos legales?
RespuestasAquíPolítica de privacidad1y, 1v