¿Es legal si la empresa solicita escaneos de mi tarjeta de crédito?

He realizado el depósito en mi cuenta de inversión, pero la empresa me solicita los escaneos (anverso y reverso firmado) de mi tarjeta de crédito que utilicé para realizar el depósito y los envía por correo electrónico con fines de verificación.

¿Es incluso legal pedir eso? ¿Pueden hacer eso?

Obviamente, alguien puede secuestrar mi correo electrónico (sys-admin, hacker, NSA) y robarme los datos de mi tarjeta de crédito.

El correo electrónico y la empresa son legítimos y, según su política estándar , se requieren los escaneos de tarjetas para la asignación del depósito:

Por razones de seguridad y para protegerse contra el fraude, los clientes deben enviar una copia escaneada (anverso y reverso) de sus tarjetas de crédito/débito y un estado de cuenta reciente para cada transacción realizada. El reverso de la tarjeta debe estar firmado y la firma claramente visible.

¿Cómo puede ser compatible con PCI el envío de información de tarjetas de crédito sin cifrar por correo electrónico? Tan pronto como su empresa almacene datos de tarjetas de crédito internamente, los requisitos para seguir cumpliendo con PCI aumentan drásticamente.
No sé sobre el Reino Unido, pero en los EE. UU., la responsabilidad legal por el robo de información de CC como esta es de $ 0 , siempre que lo informe dentro de un par de meses.
Una foto de la tarjeta de crédito incluiría el número CVV y, en general , se supone que los comerciantes no deben almacenar eso . Tal vez sea un poco más confuso aquí porque no lo están usando específicamente para autenticar una transacción con tarjeta de crédito, sino para algún otro propósito de verificación, y pueden o no almacenarlo indefinidamente, pero lo hace parecer cuestionable. Esto no haría que su solicitud fuera ilegal, pero podría violar su acuerdo con su procesador de tarjetas de crédito...
Puede ponerse en contacto con su compañía de tarjeta de crédito y pedir consejo. Por lo general, usted no es responsable si la información de su tarjeta se usa indebidamente, pero si lo hace posible al hacer algo realmente atroz, la compañía de tarjetas podría alegar que fue negligente e intentar responsabilizarlo de todos modos. Algo así como "enviar fotos de su tarjeta por correo electrónico" podría acercarse a ese estándar.
aaafx parece un sitio muy dudoso si debe hacer negocios de FX, vaya con uno de los grandes jugadores bien establecidos con sede en el Reino Unido.
Una organización financiera con la que recientemente abrí una cuenta me pidió esta información, pero me permitieron borrar algunos de los números en el anverso de la tarjeta, por lo que no se podía usar. Esto fue parte de sus controles contra el lavado de dinero que las empresas del Reino Unido están obligadas a realizar debido a la ley del Reino Unido, aunque la forma en que las empresas interpretan la ley varía, es decir, algunas solicitarán una identificación diferente, etc. Sin embargo, enviar esto por correo electrónico no es seguro y desafiaría en eso, en mi caso subí los escaneos directamente a un servidor seguro.
¿A qué te refieres con "legales"? ¿Es un delito penal? No, casi seguro que no lo es. ¿Es un incumplimiento de un contrato que ha firmado anteriormente con esta empresa? Solo tú puedes responder eso. ¿Es un incumplimiento de otros acuerdos o normas aplicables a esta empresa? Solo ellos pueden responder eso con seguridad.
2.5% parece bastante alto para una tarifa de depósito.

Respuestas (3)

¿Por qué te importa si es "legal"? Si le preocupan las implicaciones de seguridad y no quiere hacerlo, no lo haga. Si la empresa no acepta sus depósitos sin ella, vaya a otra empresa de inversión. Hay cientos de ellos por ahí. Nunca, jamás, alguien me pidió una imagen escaneada de mi tarjeta de crédito, y he hecho negocios con al menos media docena de compañías de inversión, por lo que esta no es una práctica estándar de la industria. Tiene a su disposición una protección mucho más fuerte que la capacidad de presentar algún tipo de queja legal: puede llevar su negocio a otra parte. Hacer eso no requiere contratar a un abogado o ir a la corte ni nada. Solo hazlo.

Dicho todo esto, hay formas de evitar crear muchos riesgos de seguridad adicionales. Supongo que ya les ha dado su nombre, dirección, número de tarjeta y código de seguridad por teléfono o a través de su sitio web, por lo que les ha confiado esta información, y si los piratas informáticos o la NSA querían espiar su información privada , podrían haberlo hecho entonces. De acuerdo, una página web podría haber usado https y, por lo tanto, haber sido encriptada mientras que un correo electrónico no lo está. Entonces, tres soluciones: (a) Si proporcionan una carga en una página https, úsela y no tendrá más riesgos de seguridad que cuando ingresó originalmente esta información. (b) Coloque la imagen escaneada en un archivo cifrado antes de enviarla por correo electrónico, como un PDF cifrado, o cifre el archivo de imagen con algún otro software, y luego envíeles la contraseña en un correo electrónico separado. (c) Puede obtener una seguridad bastante decente enviando el anverso y el reverso de la tarjeta en dos correos electrónicos separados enviados en momentos diferentes. Luego, un hacker tendría que interceptar ambos y poder conectarlos entre sí.

Por cierto, realmente no me preocuparía que la NSA interceptara tales correos electrónicos. Supongo que si quieren acceder a su cuenta de tarjeta de crédito, tienen formas más fáciles de lograrlo que descubrir este sistema inusual. A menos que tengan alguna razón específica para dirigirse a usted o a esta empresa de inversión, probablemente no estén buscando imágenes de tarjetas de crédito en los correos electrónicos.

El envío de correos electrónicos separados no va a ayudar contra la gran mayoría de los ataques de hombre en el medio. Todo lo que puedo decir es que la seguridad técnicamente hablando solo (a) aquí es una opción válida.
Envíe su negocio a otro lugar y notifique a la empresa por qué lo está haciendo (si le importa).
@DavidMulder Hmm, me parece que si alguien está interceptando correos electrónicos, a menos que te esté apuntando específicamente a ti, es poco probable que conecte dos correos electrónicos enviados en momentos diferentes. Además, dependiendo de CÓMO esté interceptando, tenga en cuenta que los paquetes viajan rutinariamente por diferentes rutas, por lo que si está olfateando líneas, probablemente no obtenga ambas, dependiendo de dónde se encuentre en la red. Etc. En cualquier caso, yo no originé la idea de "dos correos electrónicos". Era la política estándar cuando trabajaba para la Fuerza Aérea.
@Jay En primer lugar, darse cuenta de que dos correos electrónicos diferentes de la misma dirección pertenecen juntos no es tan difícil. Quiero decir, el tipo de ataque del que estaríamos hablando aquí sería un ataque (semi) dirigido de cualquier manera, ya que un ataque automático nunca detectaría algo como el escaneo de una tarjeta de crédito. A continuación, un ataque de hombre en el medio (no gubernamental) solo ocurriría de manera realista en el lado del cliente o de la empresa, en cuyo caso ambos correos electrónicos serían interceptados en todo momento en esos puntos. Pero sí, esa última frase lo explica todo, supongo :P :P gobiernos...
@DavidMulder Si solo escribí dos correos electrónicos en mi vida y el pirata informático interceptó ambos, claro, supongo que podría vincularlos. Pero siendo realistas, presumiblemente está mirando millones de correos electrónicos, de los cuales cientos tienen mi dirección de remitente. Si me está apuntando específicamente a mí, claro, podría leer un correo electrónico, ver que falta la información que necesita para descifrar mi cuenta, adivinar correctamente que esa información está en otro correo electrónico y luego buscarla en mis otros correos electrónicos. Pero si no me persigue específicamente, sospecho que buscaría objetivos más simples. Si tendría ambos correos electrónicos...
... en su posesión depende de dónde esté sentado en la red mientras intercepta el correo electrónico, y cuándo envié estos correos electrónicos en comparación con cuando estaba realizando su interceptación. Entonces, ¿es el sistema de dos correos electrónicos una seguridad 100% infalible? Ciertamente no. Es como cerrar la puerta de tu casa. ¿Eso mantendrá alejado a un ladrón decidido? Por supuesto no. Simplemente lo hace un poco más difícil. ¿Cuánto más difícil lo hace esto? Difícil de decir. Diría que es mucho mejor que nada, pero no tan bueno como muchas alternativas disponibles.
@Jay Estás sobreestimando la eficiencia. En primer lugar, nunca he oído hablar de ataques automatizados de intermediarios que interceptan el correo y buscan tarjetas de crédito escaneadas, por lo que estamos hablando de ataques dirigidos de cualquier manera. Ahora, si me salgo por la tangente, definitivamente puedo imaginar situaciones en las que funciona: el atacante está usando un punto de acceso wifi falso o inseguro para interceptar datos y usted usa este punto de acceso wifi para una parte, pero no para la otra. Aún así, si hubieras enviado ambos desde casa, habrías estado a salvo en primer lugar. (continuación)
A continuación, descarto las opciones en las que alguien intercepta el correo en su proveedor de Internet o algo así (porque eso prácticamente nunca ha sucedido, que yo sepa), así que estamos hablando de un virus en su sistema o un ataque de intermediario. del lado de la parte receptora (ya sea un virus simple o un ataque corporativo más complejo donde se interceptan los datos de la red). Si el hacker echa un vistazo a cualquiera de los dos correos, quedará muy claro que la otra mitad se encuentra en otro correo electrónico (porque deberá explicar (cont.)
el concepto al receptor en algún momento) y luego es un caso simple de hacer coincidir tanto la parte emisora ​​como la receptora. Quiero decir, es solo un consejo de seguridad totalmente malo... Quiero decir, el correo es tan inseguro como cualquier cosa que se haya creado y esto simplemente no va a ayudar. Incluso si envía el otro correo desde su conexión de datos móviles, eso solo elimina el 50% de los ataques. De cualquier manera, si desea saber más, haga una pregunta sobre security.SE y estoy seguro de que alguien estará dispuesto a explicarle esto de una mejor manera que yo ahora :)

¿Qué dos piezas de información obtendrían: la firma y el código de seguridad en la parte posterior? El número de cuenta, la fecha de vencimiento y su nombre están en el frente.

Sospecharía mucho de esa petición. La información que necesitan para procesar la transacción se recopiló en el momento de la transacción. La imagen de la tarjeta demuestra que está en posesión de una imagen de la tarjeta.

Comuníquese con la compañía de su tarjeta de crédito. También verifique si la transacción se realizó. Nunca he tenido a alguien que me pida un escaneo de la tarjeta.

No confíes en la dirección de correo electrónico que te dieron. Puede parecer legítimo, pero tendría que comprobarlo. Además, la seguridad de https no significa que un correo electrónico sea seguro; de hecho, el correo electrónico no es seguro a menos que se use el cifrado en el mensaje. No confío en esta petición.

EDITAR: en su edición de la pregunta, incluyó un enlace a su página de política

no terminaste la cita:

Por razones de seguridad y para protegerse contra el fraude, los clientes deben enviar una copia escaneada (anverso y reverso) de sus tarjetas de crédito/débito y un estado de cuenta reciente para cada transacción realizada. El reverso de la tarjeta debe estar firmado y la firma claramente visible. Todos los datos importantes (nombre completo, número de tarjeta, dirección residencial) deben estar claramente visibles. Estos documentos se destruyen inmediatamente después de completar con éxito la transacción y se pueden cargar a través de la página de "Perfil" de su cuenta o por correo electrónico a support@aaafx.com. AAAFx puede contactarlo personalmente por teléfono para verificar ciertas transacciones.

La clave es que pueden cargarse a través de su página de perfil. Suponiendo que tiene una URL https, ese es el camino a seguir.

Gracias. El correo electrónico y la empresa son legítimos, pero no quieren realizar el depósito sin escanear la tarjeta, ya que es su política estándar : "Por razones de seguridad y para protegerse contra el fraude, los clientes deben enviar una copia escaneada (anverso y atrás) de sus tarjetas de crédito/débito'. Pregunta actualizada con información adicional.
¿Por qué necesitaría hacer eso en el Reino Unido? Abrí una cuenta comercial (TD Direct) con facturas de servicios públicos y un escaneo de mi certificado de nacimiento.

Hice la misma pregunta en NatWest Bank Online Community y obtuve la siguiente respuesta del administrador de la comunidad:

Nos gustaría que estuviera lo más protegido posible, por lo que, debido al riesgo de que los datos de su tarjeta sean vistos por otras personas distintas a las previstas, no recomendamos compartir sus datos de esa manera.

Lo mejor sería ponerse en contacto con ellos y decirles que no se siente cómodo enviando ese tipo de información y ver si hay algo que puedan hacer para ayudarlo.

Espero que ayude.

¿Es legal si la empresa solicita escaneos de mi tarjeta de crédito?
RespuestasAquíPolítica de privacidad1y, 0v