¿Las instituciones tienen derecho a solicitar el código de seguridad de su tarjeta de crédito y todos los demás datos de CC?

Una escuela quiere los datos de mi tarjeta de crédito, incluido un código de seguridad. Me han enviado un formulario para rellenar sobre mi tarjeta. Como sé, el código de seguridad es algo que no debe compartirse públicamente. ¿Debería proporcionárselos?

ingrese la descripción de la imagen aquí

¿Les está pagando por algo y está usando una tarjeta de crédito para hacerlo? ¿O fue una solicitud inesperada de su información?
Me parece que podría estar pensando que están pidiendo lo que llamamos en el Reino Unido "un número PIN" porque dice que "es algo que no debe compartirse públicamente". Definitivamente no debe compartir el código de seguridad que usa para pagar artículos en una tienda o sacar dinero de un cajero automático con nadie , nunca. Pero, eso no es lo que están pidiendo aquí. Es un formulario mal redactado, en mi humilde opinión, y debe dejar en claro que solicitan los últimos tres dígitos de la tira de firma en el reverso de la tarjeta. Si cumple, significará que la escuela puede cargar su tarjeta, pero se registrará el cargo.
Considere editar el nombre de la institución fuera de la publicación y luego marque su publicación para pedirle a un moderador que realice una purga de revisión. No quiere que esta institución lo persiga por daños a su reputación.
Probablemente más de la mitad de todos los comerciantes con los que interactúo hacen esto, y casi todos los consultorios médicos y dentales (por ejemplo, cuando recibo una factura). De manera similar a la práctica común de prohibir ciertos símbolos en los campos de contraseña, simplemente lo descarto como una sobrecarga inevitable que debe pagar para vivir en la sociedad actual.
Si bien las respuestas más votadas son precisas, no responden a la pregunta obvia: ¿ Qué puede hacer el cliente cuando se enfrenta a un formulario de este tipo? ¿Puede un cliente denunciar al comerciante por hacer esto?

Respuestas (5)

Significa que el proceso del comerciante (aquí, una universidad) es engañar a su procesador presentando falsamente el cargo como una transacción "CVV2 con falla de banda magnética".

Tener la tarjeta presente durante una transacción reduce el fraude, por lo que es menos probable que el emisor de la tarjeta y la red de procesamiento incurran en costos de investigación de fraude (o incluso consuman todo el cargo), y estos ahorros se transfieren al comerciante en forma de tarifas más bajas.

El comerciante está tratando de calificar para esas tarifas más bajas cuando la tarjeta no está presente en el momento de la autorización (es una situación de muy alto riesgo). En el proceso, lo exponen a un mayor riesgo de cargos fraudulentos en el futuro y le dificultan más impugnar esos cargos (porque el ladrón tendrá el código CVV que sirve como evidencia, no incontrovertible, pero sí sólida, de su conformidad con el cargo).

En el proceso, están violando la redacción clara de las reglas de Visa:

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

Los comentarios no son para una discusión extensa; esta conversación se ha movido a chat .
Para resumir mi voto negativo, que mantengo a pesar de otra discusión: hay varias razones por las que podrían estar solicitando esta información, e incluso si todas son moral o legalmente incorrectas, esta respuesta no proporciona evidencia para su afirmación de una razón específica. La respuesta podría mejorarse mucho eliminando el resumen demasiado confiado "esto significa que..." y enumerando algunas de las otras posibilidades (por ejemplo, el uso indebido de un PDQ de comercio electrónico por conveniencia).

Esto viola PCI-DSS

Solo se les permite usar el código de seguridad o datos completos momentáneamente durante una transacción. No se les permite retenerlo, ni siquiera por un minuto .

Peor aún, este formulario tiene los cinco defectos de los 3 campos de la tarjeta de crédito, el nombre del titular de la tarjeta y el código postal de facturación. Eso es todo lo que necesita para conectarse a la mayoría de los formularios de pedido del sitio web.

Este documento parece ser un documento de transporte para un montón de cosas, y luego se archiva o se envía como prueba de pago o algo así. Se encuentra en su buzón, se encuentra en la bandeja de entrada de algún empleado, se apila y se amontona, se pasa por los departamentos universitarios y sabes que lo archivan. Retener esto es el colmo de la moronitud, y alguien necesita explicárselo.

Todo lo que se necesita es que alguien que conozca su mecanismo tome una pila y la ejecute, y luego se siente en algún lugar del campus en su Wi-Fi para ordenar Macbook Pros. Para doble risa, de la tienda web para estudiantes de Apple de esa universidad, por lo que es difícil distinguirlo de una compra de estudiante de buena fe.

Debido al cambio de responsabilidad, la universidad estaría en apuros por la auditoría posterior, las multas y todos los cargos fraudulentos.

Necesitan hacer cualquier arreglo que necesiten hacer con su banco para que puedan ejecutar estos cargos sin el código de seguridad.

Incorrecto. Palabras de PCI "PCI DSS no prohíbe la recopilación de códigos/valores de verificación de tarjeta antes de la autorización de una compra o transacción específica. Sin embargo, no está permitido retener códigos/valores de verificación de tarjeta una vez que se realizó la compra o transacción específica para la cual fue recolectada ha sido autorizada. ” Pueden recolectar la información en papel, siempre y cuando sea triturada luego de obtener la autorización.
@user71659 en la segunda lectura de eso, veo dónde tiene sentido, pero me resulta difícil creer que el texto imagina una retención prolongada de esos datos, en papel, enviados por correo, correo entre campus, manejados en oficinas, etc. durante días. Tal vez si se manejara de la misma manera que manejan los pagos en efectivo, pero realmente no creo que ese sea el caso.
¿Alguna vez OP indicó que la intención es imprimir este formulario y completarlo en papel? Todos parecemos haber asumido eso. Bien podrían esperar que se complete electrónicamente y se les envíe por correo electrónico; en cuyo caso es básicamente imposible destruir la información después de su uso de una manera compatible con PCI. Si bien es posible que esto sea parte de un proceso técnicamente compatible con la regulación si no es la intención (el formulario se imprime y se tritura correctamente inmediatamente después de su uso), el proceso sería engorroso y es poco probable que se siga.
@user71659: Otro ataque contra su idea de que se puede almacenar durante un período de tiempo arbitrario hasta que se procese la transacción: Tarjetas que tienen códigos CVV dinámicos
@BenVoigt Por Dios, creo que podrías tener razón.

La razón por la que lo solicitan es porque lo necesitan para procesar el pago con tarjeta de crédito. El procesador de su tarjeta de crédito les exige que lo ingresen. Si no lo proporciona, no podrán cargar su tarjeta de crédito.

Si desea pagar este servicio con su tarjeta de crédito, entonces sí, debe proporcionarles este código.

Un trabajador sin escrúpulos de la escuela podría usar la información de este formulario para realizar cargos fraudulentos en su tarjeta, pero eso puede suceder en cualquier momento por una serie de razones que están fuera de su control. Debe examinar las transacciones de su tarjeta de crédito continuamente para buscar cargos incorrectos y comunicarse con la compañía de la tarjeta de crédito si se descubren.

Cuando encuentra transacciones fraudulentas, pueden ser el resultado de alguien de la escuela, pero en cambio, podrían ser el resultado de un evento de piratería o robo que no tiene nada que ver con esta escuela. Usted no será responsable de esos cargos.

Buena respuesta, aunque me pregunto por qué esta escuela todavía usa papel para procesar el pago con tarjeta de crédito. Los pagos en línea en página segura son más seguros que en papel. Donde vivo, puede pagar los cargos de la universidad directamente en el sitio web de la universidad (hablando sobre el pago de cc).
@Gainz Huelo el hedor de la oscuridad o la sombra . Y aunque a menudo hay momentos en los que es necesario pasar por la TI central; hacerlo por cualquier cosa financiera me hace temblar.
"Si no lo proporcionas, no podrán cargar tu tarjeta de crédito". está rotundamente equivocado. Es posible que no puedan procesarla como una transacción de "presentación de tarjeta", lo que puede generar tarifas más altas por parte de su procesador, pero la única información obligatoria es el número de tarjeta y la fecha de vencimiento; incluso la falta de coincidencia del código postal es una advertencia, no un error fatal. Y cuanta más información proporcione, más sólido será el caso del banco de que usted autorizó el uso de su tarjeta (en lugar de iniciar una sola transacción). OP será responsable de las transacciones realizadas por alguien a quien autorizó a usar su tarjeta.
@BenVoigt No estoy de acuerdo y creo que estás equivocado. El código de seguridad no es un PIN secreto, no es una prueba de que autorizó un cargo y no lo hará responsable de un cargo fraudulento.
@BenVoigt es correcto, esta respuesta es totalmente incorrecta y debe eliminarse. No se supone que los números de verificación de la tarjeta se almacenen. No son secretos (es decir, el cliente puede dárselos a un proveedor), pero registrarlos en medios no volátiles (es decir, papel, base de datos, etc.) haría que este proveedor no cumpla con PCI. La única razón por la que los necesitarían sería para clasificar erróneamente su transacción. Las transacciones de "tarjeta en archivo" y "recurrentes" no las requieren.
El CVV puede no ser un "secreto", pero está prohibido almacenarlo, incluso en papel o en formularios electrónicos. El proceso de la escuela es defectuoso en el mejor de los casos.
@ SaSSafraS1232 Incluso si no se "supone" que la escuela haga las cosas de esta manera, no invalida ninguna de mis respuestas. El hecho es que si el OP quiere pagar con tarjeta de crédito, deberá proporcionar el código de seguridad, y realmente no es un problema en lo que respecta al OP. Las tarjetas de crédito son inherentemente inseguras y los consumidores no son responsables de las transacciones fraudulentas.
@BenMiller: No se trata de "prueba de que autorizó un cargo", sino de prueba de que autorizó a la persona que realizó el cargo a usar la información de su tarjeta. Si permite que alguien use su tarjeta para un propósito, usted es responsable de cualquier cargo que haga con ella. Si le das a alguien una tarjeta para que recoja el almuerzo de tu equipo y se pasa por la joyería en el camino, el banco no lo considerará un fraude. Usted sería dueño de lo que pagó su tarjeta y tendría un caso civil contra la persona que se la embolsó, pero el banco no se involucrará. Esta situación le parece al banco como si le prestara su tarjeta.
"Si no lo proporcionas, no podrán cargar tu tarjeta de crédito". No es verdad. Algunos (¿todos?) procesadores de tarjetas de crédito aún lo aceptarían, solo cobrarían tarifas de transacción más altas (tanto para alentar la incorporación a cvv como para cubrir las mayores tasas de fraude). Amazon no lo pide, por ejemplo (al menos donde estoy).
@BenVoigt Su hipótesis no es análoga a la situación del OP aquí.
@ SaSSafraS1232 No, estás totalmente equivocado acerca de los CVV. Los CVV no se pueden almacenar después de la autorización . Las palabras exactas de Visa "Nunca conserven datos completos, de banda magnética, CVV2* y de chip después de la autorización de la transacción ". Siempre y cuando destruyan el formulario después de la autorización, están en cumplimiento. No hay ningún requisito sobre "medios no volátiles". Y tenga en cuenta su asterisco: "En ciertos mercados, se requiere que CVV2 esté presente para todas las transacciones sin tarjeta".
Han pasado aproximadamente 10 años desde que trabajé en este campo, pero manejé la certificación del software de manejo de tarjetas de crédito en línea con varios problemas de tarjetas del Reino Unido a través de la autorización de tarjetas en tiempo real. En ese momento, era decisión del comerciante si aceptaba o no una transacción, según la indicación devuelta del emisor de la tarjeta sobre si los campos CVV2 y Verificación de dirección coincidían. Una vez que haya obtenido una coincidencia de CVV2 de un cliente conocido (es decir, en la primera transacción), no habrá necesidad de enviarla en las siguientes.
@BenVoigt """Si no lo proporciona, no podrán cargar su tarjeta de crédito". es rotundamente incorrecto". Bueno, no rotundamente incorrecto. Es posible que puedan obtener una autorización (no existe una regla que indique que los emisores deben exigir un CVV2), pero es muy probable que un CVV2 faltante resulte en un rechazo. "Pueden ser no se puede procesar como una transacción de "Tarjeta presente" Eso no tiene sentido. Si están solicitando el CVV2, eso indica una transacción sin tarjeta presente. Con una transacción con tarjeta presente, se espera el CVV1.
"lo que puede causar tarifas más altas de su procesador" Es principalmente la red/emisor la que cobra tarifas más altas. "la única información obligatoria" El término "obligatorio" es vago. ¿Significa "lo que se requiere para que la red se niegue a aceptarlo" o significa "lo que se requiere para que el emisor lo acepte"? "Si permite que alguien use su tarjeta para un propósito, usted es responsable de cualquier cargo que haga con ella". Eso es simplemente falso y demuestra que no tienes idea de lo que estás hablando. Deja de publicar tonterías y desinformar a los lectores.
@Acumulación: si la red otorga una aceptación de autorización, el comerciante puede optar por rechazarla, pero esa es su elección. BenMiller se equivoca al describir eso como "no poder cargar la tarjeta". En cuanto a afirmar que no tengo idea de lo que estoy hablando, infórmese buscando en Google "Si permite que cualquier persona use su tarjeta" . Los bancos tratan la entrega conjunta del número de tarjeta y el código de autorización como la creación informal de un usuario autorizado, que luego puede realizar múltiples transacciones y usted es responsable.
@BenVoigt Nuevamente, la situación que presenta de dar su número a un amigo/familiar no es lo mismo que darle su número a un comerciante y que lo usen indebidamente o lo roben después del hecho.
@Accumulation: Y no, se supone que este formulario de pedido no crea un usuario autorizado, pero a partir de la información disponible para el banco (la entidad tiene el número de cuenta y todos los códigos de autorización) parece que sí, dejando a OP con la indeseable tarea de probar no dio permiso.
@BenVoigt "Si la red otorga una aceptación de autorización, el comerciante puede optar por rechazarla" La red no autoriza transacciones, lo hace el emisor. "BenMiller se equivoca al describir eso como 'no poder cargar la tarjeta'". Si el emisor rechaza la transacción, entonces es razonable referirse a eso como "no se puede cargar la tarjeta". Y los emisores son libres de rechazar cualquier tarjeta que no presente una transacción sin un CVV2. "En cuanto a afirmar que no tengo idea de lo que estoy hablando, infórmese buscando en Google" Si tiene una cita específica, preséntela. Diciéndome que busque en Google no es una cita.
"Los bancos consideran que dar el número de tarjeta y el código de autorización juntos crea informalmente un usuario autorizado" El término "usuario autorizado" se refiere a una persona que se agrega oficialmente a una cuenta, como un cónyuge, y se le permite usar la tarjeta como un tarjetahabiente normal.
El primer resultado que surge de buscar en Google "Agregar un usuario autorizado" está aquí "... El usuario autorizado recibe una tarjeta de crédito con su nombre y puede usar la tarjeta como si fuera el titular principal de la cuenta. .. Para agregar un usuario autorizado, comuníquese con el emisor de su tarjeta de crédito por teléfono o iniciando sesión en su cuenta en línea. El emisor de la tarjeta necesitará la información personal del usuario autorizado, incluido su nombre, dirección, fecha de nacimiento y número de seguro social, para procesar la solicitud..."
Con cada comentario, simplemente agrega más y más evidencia de que no sabe de lo que está hablando.
@Acumulación: El hecho de que pedir una tarjeta para alguien establezca un usuario autorizado no significa que sea la única acción que crea un usuario autorizado. (A -> B por lo tanto /A -> /B) es una de las falacias lógicas más básicas ("falacia inversa"). Bank of America llama a esta situación "Personas que usan su cuenta", pero Northwest Bank tiene la misma regla bajo el título exacto "Usuarios autorizados".
@Accumulation: Y ciertamente nunca dije que la aceptación de la autorización fuera decidida únicamente por la red, por supuesto, el emisor de la tarjeta estuvo involucrado. Pero el comerciante nunca contacta al emisor directamente, recibe la autorización de la red a través de la API de su propio procesador comercial. Puede haber muchas otras partes involucradas, como las billeteras digitales. Ninguno de ellos es relevante para el comerciante.
@BenVoigt Mi cita no dice que pedir una tarjeta establezca un usuario autorizado, dice que establecer un usuario autorizado hace que se le envíe una tarjeta. Es decir, "si es un usuario autorizado, recibirá una tarjeta". Lógicamente se deduce que si no reciben una tarjeta de crédito a su nombre, no son usuarios autorizados. Esto se conoce como el "converso".
Ahora, usted podría afirmar que este emisor es un caso atípico, y que la mayoría de los otros emisores tienen otras políticas, pero pretender que estoy incurriendo en la falacia inversa muestra su falta de comprensión de mi comentario, una falta de comprensión de la lógica, mentira, o alguna combinación de los tres. Tus comentarios se están volviendo bastante tediosos. Los comentarios sin sentido entregados en un tono condescendiente no son una combinación agradable.
"Y ciertamente nunca dije que la aceptación de la autorización fuera decidida únicamente por la red, por supuesto, el emisor de la tarjeta estuvo involucrado". Si por "dar", quería decir "transmitir", esa es una redacción muy pobre que seguramente causará confusión.
@Acumulación: está describiendo una acción, para un proceso que establece un usuario autorizado y envía una tarjeta. Esta no es necesariamente la única regla para crear un usuario autorizado. Cuando tiene un ejemplo que cité para usted, y puse la palabra informal frente a usuario autorizado, eso tal vez debería haberlo alertado sobre el hecho de que estoy hablando de un proceso diferente al "llame a su banco y cree un usuario autorizado" en el que estás pensando. Pero su falta de familiaridad no significa que no exista, está justo ahí en los TyC. Su citación no es un T&C.

Esto es completamente inseguro y personalmente, no proporcionaría la información.

Como ha razonado, no tendrá idea de cómo se usa su información una vez que haya dejado sus manos, y nunca sabrá si se eliminó correctamente (triturada/destruida). Además, el hecho de que sigan prácticas tan inseguras te dice que a nivel institucional no tienen ni idea de la importancia de proteger la información privada y financiera. Eso significa que todos, desde el conserje hasta el presidente de la escuela, pondrán en riesgo su información.

Si debe hacer esto, algunas opciones:

  • ver si se puede pagar en persona.
  • crear un número de tarjeta de crédito temporal con un límite muy bajo (algunos cc ofrecen esta función)
  • pagar en efectivo.
¿Realmente necesitan su número de cuenta bancaria personal? El fraude ACH es realmente peligroso.
@trognanders, buena información, ¡eliminó el comentario de verificación!

Colocar toda la información requerida para autorizar una transacción sin tarjeta presente en un formulario en papel que estará sujeto a un posible robo de correo en la oficina no es una idea particularmente buena. Otras respuestas mencionan cosas que la escuela debería hacer. Esta no es una forma útil de pensar sobre el problema... usted no es la escuela y no tiene autoridad sobre sus prácticas. En cambio, protégete.

Considere opciones de pago alternativas:

  1. Giro postal / cheque de caja. No les des un cheque personal , los números de abajo son mucho más peligrosos que el código CVV2 de una tarjeta de crédito.
  2. Efectivo (¡consigue un recibo!)
  3. Tarjeta prepago Visa.

Es posible que estén menos interesados ​​​​en aceptar cheques o efectivo porque no es el proceso, pero una Visa prepaga limita su riesgo al valor almacenado y puede tirarlo a la basura después.

+1 para resolver el problema real, ya que es poco probable que solo decir "oye, tu política es mala y necesitas cambiarla" tenga algún efecto, particularmente porque las personas con las que es probable que el posible estudiante pueda hablar son es poco probable que sean personas que tengan la autoridad para hacer un cambio.
¿Las instituciones tienen derecho a solicitar el código de seguridad de su tarjeta de crédito y todos los demás datos de CC?
RespuestasAquíPolítica de privacidad1y, 0v