MasterCard no revelará quién filtró los datos de mi tarjeta de crédito

Recientemente, la agencia de procesamiento de pagos de mi banco me informó que una tienda en línea se vio comprometida y que, como medida de precaución, mi tarjeta de crédito MasterCard fue congelada y reemplazada. No hubo ningún cargo fraudulento real.

Le pregunté a mi banco qué tienda en particular estaba comprometida, pero me dijeron que no reciben esta información de MasterCard por razones de privacidad.

Siento que tengo derecho a saber dónde se filtró mi información privada. Sí influye en mis decisiones como consumidor. Además, debo tener en cuenta que es posible que también se haya filtrado otra información privada. El argumento de la privacidad parece pretextual.

¿Es común ocultar este tipo de información a los clientes afectados? ¿Hay más formas de averiguar más sobre lo que sucedió?

Nota: No pude hablar con nadie en MasterCard, todos los intentos se reenviaron automáticamente al banco.

¿Has probado a contactar con Mastercard? Es posible que solo le digan al banco quién se ha visto afectado, pero es posible (pero no garantizado) que le digan al cliente de dónde provienen los detalles.
En los EE. UU., esta es definitivamente la práctica estándar. No sé si Alemania específicamente o la UE en general tiene leyes del consumidor que exigen la divulgación, pero EE. UU. definitivamente no tiene tales leyes.
Aunque estoy de acuerdo en que debe tener derecho a saber, también creo que un comerciante debe tener derecho a permanecer en el anonimato si así lo desea. Si no pudieran, es posible que no reportaran la brecha en primer lugar por temor a perder negocios, y eso sería aún peor para todos. Por supuesto, MasterCard también tiene el derecho de revocar la capacidad del comerciante para aceptar pagos MC, si considera que el comerciante se vio comprometido debido a negligencia o alguna otra razón que podría haberse evitado razonablemente.
Además, es posible que ni siquiera haya habido una infracción. Es posible que haya habido una auditoría de las prácticas de almacenamiento de datos de algunos comerciantes y, aunque no hubo evidencia de una infracción, el comerciante fue eliminado de la red y a todos los que alguna vez usaron ese comerciante se les emitió una nueva tarjeta.
¿Qué información privada tuya se filtró? Yo diría que su número de tarjeta de crédito no es su información privada; es de la compañía de la tarjeta de crédito. Después de todo, ellos son los que se cargan a través de su fuga. ¿Tu nombre es privado (¿puede ser privado?) y si crees que lo es de alguna manera, se filtró? Si no, ¿qué se filtró realmente?
El interés público de lograr que las empresas admitan que filtraron datos confidenciales, como información de tarjetas de crédito, supera con creces el interés privado de los consumidores de saber dónde se produjo la filtración. También es probable que, a corto plazo, después de una filtración, haya una investigación civil o penal en curso sobre la filtración que podría verse comprometida al revelar a la víctima.
@TripeHound sí: todos los intentos de contactar a MaterCard hasta ahora se reenviaron directamente al banco. Tengo que dar mi número de CC en el teléfono y me reenviarán directamente antes de que pueda hablar con alguien.
@TTT / asgallant: No estoy de acuerdo con clasificar el encubrimiento de la empresa sobre la transparencia hacia el cliente. El incentivo para no retener información debe provenir de la responsabilidad. La idea de que la transparencia podría comprometer la investigación es una teoría hipotética . En ese caso, aún podría manejarse de manera mucho más transparente.
@Tari: La idea de que la transparencia haría que los comerciantes (y/o sus procesadores de pago) estuvieran más motivados para encubrir las infracciones en lugar de alertar a las redes puede ser estrictamente hipotética , pero es una especulación tan obvia que parece tener poco sentido en apostando con la seguridad de todos probándolo en la práctica.
@Mehrdad, El CC# es absolutamente mi información privada , o para ser más precisos , información de identificación personal (PII) que me identifica. Sí, mi nombre también es PII. También me cobran en primer lugar. Eso no se ve afectado por la responsabilidad limitada.
@HenningMakholm Estoy de acuerdo en que el argumento de encubrimiento es real (se refería a que comprometer la investigación criminal es teórico). Sin embargo, también puede darle la vuelta fácilmente al argumento: si no había una forma tranquila de manejar las infracciones, los comerciantes tenían más incentivos para prevenir las infracciones.
@Tari: Solía ​​sentir lo mismo que tú, hasta que me di cuenta de que estaba equivocado. Primero, cuando se cobra su CC, se le cobra a la compañía, no a usted. La empresa CC solo le cobra (/factura) por compras autorizadas; claramente saben que este no fue el caso aquí. Así que claramente no te pueden cobrar aquí. En segundo lugar, la información privada y la información personal son cosas bastante diferentes, y PII es un término legal que tampoco abarca completamente. Estabas argumentando que tu "privacidad" fue violada aquí. Puede que tengas razón, pero no veo cómo. Lea la primera oración sobre "Privacidad" en Wikipedia...
@Tari: ... dice "La privacidad es la capacidad de un individuo o grupo para recluirse, o información sobre sí mismos, y por lo tanto expresarse selectivamente". Podría argumentar, digamos, que su derecho a vivir una vida aislada se violaría si alguien pudiera cobrarle por compras fraudulentas, pero eso claramente no puede suceder aquí. Y una vez que se anula un número de tarjeta de crédito, ya no le pertenece y no puede afectarlo. El único argumento posible que veo aquí es que alguien intente correlacionarlo con otras bases de datos más tarde, pero buena suerte tratando de demostrar que es una amenaza real en los tribunales.
@Mehrdad Ni siquiera escribí que se violó mi "privacidad" . Escribí que se filtró mi información privada . MasterCard afirma que no pueden divulgar la filtración debido a " motivos de privacidad " (otra traducción sería " motivos de protección de datos "). También podemos tener una comprensión diferente de lo que significa privacidad o PPI debido a problemas de traducción y diferencias culturales. En Alemania, la Bundesdatenschutzgesetz, que puede traducirse como Ley de Privacidad o Ley de Protección de Datos, de hecho protege al individuo ... con respecto al uso de su información de identificación personal..
@Tari: Si por "información privada" te refieres a "información que se suponía que debía mantener en secreto [es decir, información que no debía ser pública]" (que parece ser lo que estás diciendo) en lugar de "información cuya revelación puede resultar en una invasión de mi privacidad [es decir, dificultando mi capacidad de vivir una vida aislada]" (que entendí originalmente), entonces la respuesta clara es "esta información ya no es secreta y, por lo tanto, su responsabilidad de mantenerla en secreto ya ha terminado". Y estoy ignorando los términos legales porque no sé cuáles son y estoy hablando de los conceptos, no de la jerga legal.
@Mehrdad PII (información de identificación personal) no tiene que ser secreta en ningún sentido. Su nombre, su fecha de nacimiento e incluso su edad son PII porque se pueden usar, en combinación con otros elementos, para identificar específicamente a una persona. La divulgación de PII está protegida por ley en muchas jurisdicciones, incluso cuando no es privada per se.

Respuestas (4)

Como se indica en los comentarios, esta es una práctica común en los EE. UU. y en la UE. Por ejemplo, en este artículo de Fox Business , un usuario tuvo básicamente la misma experiencia: su tarjeta fue reemplazada pero sin revelar el comerciante específico. Cuando el reportero contactó a Visa, le dijeron:

"También creemos que se sirve mejor al interés público notificando rápidamente a las instituciones financieras con la información necesaria para protegerse a sí mismos y a los titulares de sus tarjetas de pérdidas por fraude. Incluso un ligero retraso en la notificación a las instituciones financieras podría ser costoso", dijo el vocero en un correo electrónico. "Visa trabaja con la entidad violada para recopilar la información necesaria y proporciona a los emisores de tarjetas de pago los números de cuenta afectados para que puedan tomar medidas para proteger a los consumidores a través del monitoreo independiente del fraude y, si es necesario, la reemisión de tarjetas. La información más crítica lo que se necesita son las cuentas afectadas, que Visa trabaja para proporcionar lo más rápido posible”.

Lo que no están diciendo, por supuesto, es que lo mejor para Visa es que los comerciantes informen a Visa de inmediato cuando se produce una filtración, sin tener que pensar si va a fastidiar a ese comerciante en la prensa. Si el comerciante tiene que considerar las relaciones públicas, es posible que no informe a las redes de manera tan oportuna: al menos puede esperar hasta que haya verificado el problema con más detalle, o incluso esperar hasta que haya encontrado a quién fijarlo. para que no los culpen.

Pero más allá de eso, el punto es que es más fácil para la red (Visa/Mastercard/etc.) tener un sistema que es solo una lista de números de tarjeta para enviar al banco para su reemisión; a nadie le importa realmente qué comerciante tuvo la culpa, solo quieren volver a emitir las tarjetas rápidamente. Hacerle saber quién tiene la culpa es algo aparte. Hay pocas razones para que el banco emisor lo sepa; debe averiguarlo con el propio comerciante o con la red (y, según mi experiencia, generalmente lo primero).

Eventualmente, es posible que lo descubras: el artículo sugiere que:

[L]a situación es común, pero hay buenas noticias: en muchos casos, los consumidores descubren el origen de la infracción.

Pero, por supuesto, no entra en detalles sobre números.

La última afirmación del artículo me parece algo sorprendente. Nunca me han informado sobre el evento de origen detrás de ninguna de las media docena de veces que me dieron un nuevo número de tarjeta. Con la semiexcepción de uno cuyo tiempo se correlacionó con una importante entidad de procesamiento de transacciones de middleware que fue violada, ninguno de ellos pudo asociarse con una violación que fue noticia nacional.
Otro problema es la certificación que hace Visa a los comerciantes para manejar los detalles de pago. Los absuelven y los protegen de cualquier responsabilidad siempre que el comerciante se adhiera a los estándares (bastante estrictos) establecidos. Revelar su nombre a pedido ciertamente violaría el espíritu, si no la letra, de ese contrato.
Creo que también es importante señalar aquí que si bien es tentador pensar que los tarjetahabientes son clientes de visa o mastercard, en realidad son los comerciantes sus clientes. Ellos son los que pagan las tasas de tramitación. Por lo general, es un mal negocio andar molestando a sus clientes por sus errores.
¿Podría poner en negrita el punto principal en su segundo párrafo? Fue difícil ver dónde está la respuesta real, pero ahí estaba: Visa necesita que los comerciantes se sientan cómodos anunciando una brecha lo más rápido posible, y proteger la reputación del comerciante es parte de su proceso para hacerlo.
Creo que la respuesta completa es la respuesta real, eso es solo una parte.
Gracias por el artículo. Es lamentable ver que Visa no es mejor que MasterCard. De lo contrario, habría cambiado.
Las principales razones para no divulgar están claramente expuestas. Relaciones públicas para el comerciante, sin dañar la relación entre la red de la tarjeta y el comerciante, y porque al emisor de la tarjeta y al banco no les importan los demás datos.
@DanNeely: Estoy de acuerdo en que la afirmación parece no tener fuente, pero no dudo que la gente se entere gracias a las noticias. Esto sucede. Por supuesto, esto no es algo que haya notado en absoluto en todos los casos, pero he oído hablar de tales problemas anunciados en más de una ocasión. (¿Tal vez necesitaría utilizar una fuente de noticias diferente para notar esto? Parte de mi exposición a tales anuncios podría ser noticias relacionadas con TI, ya que este tema se considera interesante porque refleja InfoSec: manejo de información).

Encontré un artículo alemán que describe la situación legal en Alemania. Para resumir

  • La " Bundesdatenschutzgesetz (BDSG) § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten " Más o menos Ley de Privacidad: La obligación de informar sobre la obtención ilegal de información rige esta situación.
  • La información de la tarjeta de crédito está explícitamente incluida en la ley (§ 42a 4).
  • Condición 1: Debe ser muy probable que un tercero haya obtenido la información y la empresa necesita saberlo.
  • Condición 2: Es necesario que haya un impacto adverso severo en los afectados. El riesgo de evaluar esto correctamente es de la empresa.
  • El afectado debe ser informado de inmediato, pero sólo después de que se realicen contramedidas y no se ponga en peligro la investigación criminal.
  • La divulgación debe dar al afectado una pista sobre la forma en que la información se obtuvo ilegalmente y las medidas para mitigar las posibles consecuencias. Los afectados deberán saber qué y qué información se filtró a personas ajenas.
  • Si no fuera factible informar a cada afectado, en particular porque hay demasiados, también pueden informar al público a través de al menos dos anuncios de periódico de media página o similares.

Como se describe por las muchas razones posibles en la otra respuesta, no está claro a partir de la información que tengo, si la condición 1 se cumple. Además, es posible que la condición 2 no se cumpla porque se congeló la tarjeta de crédito.

Supongo que esto es un buen argumento para MasterCard y mi banco, pero también sospecho que no les importará a menos que venga con el membrete de un abogado.

Probablemente incluso el membrete de un abogado no importará. Ya cumplieron con los requisitos, a menos que haya verborrea que no haya incluido y que requiera que la compañía de la tarjeta de crédito revele de qué comerciante se produjo la filtración.
Bueno, técnicamente, la entidad que almacenó y perdió mi información necesita informarme. Asumiendo que hay una tienda web como indica la carta, no la tienen.
@Tari: Mi alemán no es lo suficientemente bueno para estar seguro, pero de un vistazo, no parece que la entidad que perdió su información esté obligada a informarle directamente, siempre que se asegure de que esté informado de alguna manera. el incumplimiento. Dejar que su procesador de tarjetas de crédito y/o su banco se encarguen de informarle probablemente satisfaga sus obligaciones legales.
¡Buen trabajo para encontrar la legislación relevante y gracias por agregarla aquí!
@IlmariKaronen tienes un buen punto. No sé, podría ser algo que los tribunales interpreten en la ley. Un buen punto es también que la tienda podría no tener información de contacto (actualmente válida), por lo que el camino sobre MasterCard es más confiable. También depende de qué tan lejos llegue la información sobre la forma de obtención ilegal .

Otros ya han comentado sobre el impacto de cualquier cosa que disuada a los comerciantes de plantear posibles infracciones, por lo que no me detendré en eso. Tal vez necesitemos una legislación más fuerte, tal vez no, pero eso no cambia la respuesta de hoy. A menudo, funciona al revés de lo que podría esperar: en lugar de que el comerciante se dé cuenta y notifique a Visa/MC/otros, Visa/MC/otros detectan patrones de actividad sospechosa ( ejemplo 1 ).

No tengo ningún dato sobre los números relativos de quién está siendo notificado/notificando entre comerciantes y procesadores de pago, pero en el momento en que su tarjeta se identifica como comprometida, no hay razón para suponer que un comerciante individual en el sentido tradicional ha sido comprometidos, y mucho menos identificados. De hecho, debido a que hay una investigación que avanza rápidamente, incluso podría ser una falsa alarma que provocó la cancelación de su tarjeta. Por el contrario, podría ser una investigación multinacional enormemente compleja la que estaría en peligro.

Simplemente no es seguro asumir que simplemente la "marca X" se ha visto comprometida, por lo tanto, todo lo que la "marca X" sabe sobre usted también está comprometido:

  1. Podrían ser sistemas separados, por lo que solo la información de CC involucrada
  2. Podría ser su contratista de procesamiento de pagos ascendente (y, por implicación, todos los demás comerciantes con la misma configuración, ejemplo 2 , pero piense en sagepay/worldpay/paypall, etc. en el mundo en línea)
  3. (No relacionado con Internet tanto) podría ser solo un franquiciado de una gran franquicia
  4. Es posible que ni siquiera sepan qué tienda en línea, simplemente el tipo de datos adjuntos en un "volcado" indica que es probable que esté en línea, pero lo único que se sabe hasta ahora es que su número de tarjeta apareció en alguna parte.

Además, no hay razón para suponer que el comerciante haya admitido o descubierto la causa raíz. MC/Visa/Banks, en el momento en que están cancelando las tarjetas simplemente no pueden decir (al menos no de una manera que podría resultar contraproducente costosamente involucrando a muchos abogados) porque el estándar de prueba necesario para dejar constancia de culpar a alguien es simplemente aún no se ha cumplido.

Entonces: sí, es común que no te digan nada por todas las razones anteriores. Y, por supuesto, si realmente desea obtener más información, puede tener cierto éxito con su legislación local de protección de datos y realizar formalmente una solicitud de acceso de sujeto (o equivalente local) para ver qué trae eso. Asegúrate de hacerlo por escrito, a la dirección oficial tanto de mastercard como de tu banco.

Gracias por la buena lista de posibles cosas que pueden haber sucedido. El texto de la carta que recibí implicaba que, de hecho, había una tienda en línea específica involucrada, pero supongo que eso no necesariamente descarta una ruptura de POS. La multitud de diferentes eventos posibles, todos relacionados con mi PII, son exactamente la razón por la que busco transparencia. Por ejemplo, si me dijeran que un contratista de procesamiento de pagos ascendente anónimo que maneja solo mi nombre, dirección, CC estaba comprometido, ya sería una gran mejora.
No creo que esto sea muy relevante para la situación. El tipo de carta que recibió OP indica que un comerciante informó a la red de una violación de la información de sus sistemas, no que un comerciante informó a la red de un incidente específico de actividad fraudulenta en el comerciante.
@ Joe, no me imagino que se usen más de unas pocas cartas modelo para situaciones como esta. Dudo que tengan un conjunto de letras lo suficientemente matizado para cubrir todos los subtítulos que podrían conducir a un momento de "hemos cancelado su tarjeta", incluso pueden ocultar deliberadamente el hecho de que vieron su tarjeta en un basurero en algún lugar. Además, no hay ninguna indicación en la pregunta que respalde su afirmación de que "un comerciante informó a la red de una infracción". Sin una copia exacta de la carta no podemos decir. La Q solo dice "una tienda en línea fue comprometida", nada más, lo que podría significar muchas cosas.
Mi punto es que no encuentro que esta respuesta contenga información relevante para esta pregunta. Es más una respuesta formal a una pregunta genérica que específica a esta.
@ Joe, pero mi punto es que la pregunta en sí no es específica. Dice que la carta decía que "una tienda en línea fue comprometida" sin decir cómo fue comprometida o quién lo notó. No decía "un comerciante informó que su tienda en línea estaba comprometida", en cuyo caso me inclinaría a estar de acuerdo.
Estoy en desacuerdo; Creo que esa carta es bastante específica (yo mismo he recibido una carta casi idéntica). En cualquier caso, mi punto es que no veo qué agrega su respuesta aquí; si la pregunta que tienes en mente no es específica, entonces, ¿cómo ayuda esto realmente en cualquier caso?
Específicamente, la pregunta dice: Is it common to withhold this kind of information from affected customers? Are there any further ways to find out more about what happened?su respuesta deambula simplemente adivinando cosas, y de repente dice 'Sí, es común' sin ningún vínculo lógico con el resto de la respuesta. Compare con mi respuesta, que cita específicamente un artículo de investigación sobre el tema exacto, o con la respuesta del OP, que cita la legislación específica.
@Joe Mi punto es que creo que a los bancos les gusta esconderse detrás de una razón simple muy suave que en realidad es una fachada que oculta una gran cantidad de subtítulos y evita que se desvíen hacia la difamación/calumnia cuando no está claro y solo están mirando. para sus propios resultados finales.

Si realmente quieres saberlo, demandalos.

Presentar una demanda de John Doe, "demandante por determinar", y luego citar la información relevante de Mastercard. John Doe no contrademanda, por lo que está bastante seguro haciendo esto.

Pero probablemente no funcionará. Mastercard anularía su citación. Afirmarán que no tiene legitimación para demandar a nadie porque no tuvo una pérdida (lo cual es un punto justo).

Esto es guerra total. Amy's Waffles no es el enemigo.

Están detrás de las personas que realizan la piratería y las brechas de seguridad que hacen posible la piratería. Y cómo surgen esas brechas entre las empresas que solo intentan hacer lo mejor posible. Es un problema difícil .

Y he hecho las guerras de abuso profesionalmente. OpSec es un gran problema. Simplemente no puede revelar sus métodos o incluso gran parte de sus hallazgos, porque eso expondrá demasiado su método de detección. El hecho feo es que los malos no están tan lejos de ganar, y atraparlos depende de que usen imprudentemente las mismas técnicas conocidas una y otra vez. Cuando obtienes una técnica verdaderamente novedosa, cuesta una fortuna en tiempo de ingeniería desentrañar lo que hicieron y construir defensas contra eso. Si tal vez el 1% de los ataques son esto, es manejable, pero si fuera el 10%, simplemente no puede dotar de personal a un brazo de ejecución lo suficientemente grande: no existe el personal capacitado para contratar (a menos que los robe de Visa, Amex, etc. .)

Por mucho que le gustaría decirle al público, créanme, me gustaría obtener algo de crédito por lo que he hecho, simplemente no pueden decir mucho o educan a los malos, y luego tienen una problema mucho más difícil más adelante. ¡Perdón! ¡Yo sé lo frustrante que es!

Cómo podría ocurrir esto, no es culpa de Amy

Las compañías de tarjetas de crédito elaboraron PCI-DSS (Estándares de seguridad de datos de la industria de tarjetas de pago). Este es un conjunto básico de reglas y prácticas de seguridad que deberían hacer que la piratería sea poco probable . El cumplimiento es alcanzable (no es fácil), y si lo hace, está libre de responsabilidades . Esa es una forma en que Amy puede no tener la culpa.

El ejemplo se eliminó por su extensión, pero como pequeña empresa, simplemente no puede ser un experto en seguridad de PCI. Confía en los compromisos de los demás para hacer un buen trabajo, como su banco y vendedor de cuenta mercantil. Hay tantas formas en que esto puede salir mal que simplemente no es tu culpa .

En cuanto a la idea de decir "afectó a los clientes de Amy, pero fue culpa del contratista Doofus", eso no funciona, la mafia de linchamiento de Internet no escuchará los detalles y acabará con el negocio de Amy. Luego está demandando a Mastercard por falsedad , un tipo de difamación en la que los hechos son ciertos pero se enmarcan falsamente. Y la difamación tiene consecuencias mucho más graves en Europa.

De todos modos, incluso una empresa que no tiene la culpa tiene que pagar por una auditoría PCI-DSS. Una empresa en falta tiene muchos más problemas, al menos paga $ 50-90 por cliente para reemplazar sus tarjetas. El simple hecho es que el 80% de las empresas en esta situación quiebran en este momento.

Esa violación de datos puede no ser tan mala

Por lo general, los estafadores realizan ataques automatizados utilizando scripts que obtienen de otros. Solo unas pocas docenas de ataques (en sitios) tienen éxito y luego usan otros scripts para interceptar los datos de pago, que es todo lo que quieren. Son secuencias de comandos de cortadores de galletas, y no están personalizados para cada sitio, y no pueden ir tras los datos personales que son particulares de ese sitio. Entonces, en la mayoría de los casos, todo lo que obtienen son datos de pago.

También es probable que los datos primarios, como una unidad en la nube, una colección de fotos o registros médicos, se mantengan en sistemas completamente separados con seguridad separada, y es poco probable que pirateen ambos a la vez, incluso si el hacker está dispuesto a poner mucho esfuerzo de ingeniería en ello. . La mayoría de los piratas informáticos son niños de secuencias de comandos, capaces de ejecutar secuencias de comandos proporcionadas por otros pero incapaces de piratear por sí mismos.

Por lo tanto, es probable que "ninguno se filtró" sea la razón por la que no notificaron la fuga de información privada.

Por último, no pueden obtener lo que no subiste . La piratería de sitios es un fenómeno bien conocido. Una persona preocupada por la privacidad tiene cuidado de no poner cosas en línea que sean demasiado riesgosas.

También es posible que se trate de conjeturas ciegas por parte de Visa/MC, y no han identificado positivamente a ningún comerciante en particular, pero están reemplazando sus tarjetas por precaución.

¿De dónde sacas $50/cliente? ¿Qué tiene esto que ver con informar a un cliente de un comerciante de una infracción? Parece pensar que la empresa debería tener tiempo para investigar/auditar, etc., pero después de eso, ¿por qué no informar a los clientes sobre el problema una vez que se completa la investigación/auditoría?
Usted malinterpreta lo que estoy diciendo. Esa no es una opinión de lo que creo que debería suceder. Eso proviene de la literatura PCI-DSS, que está dirigida a los comerciantes, y establece las consecuencias si son atrapados con una violación de datos, incluidos los ~ $ 50. Hablas como si fuera una opción para que las empresas investiguen, no, se les obliga a hacerlo. Estoy declarando hechos. Lo único que "parece pensar" es que no podrías darles una paliza peor de la que ya lo ha hecho Mastercard. En todo caso, sentirías lástima por ellos.
¿Se supone que debo sentirme mal por un negocio que metió la pata y permitió que me robaran la información de mi tarjeta de crédito? Sí, no veo eso (ni veo cómo esto realmente responde a la pregunta).
@Joe, lo harías si supieras, sí. Cometieron un error. ¿Deberían ir a la quiebra profesional y personalmente? ¿Tienes un negocio? Permítanme decirlo de esta manera, creo que Visa/MC son reacios a "salir" de las empresas que han tenido infracciones, porque ya han golpeado el negocio al borde de la muerte, y dado que los ciudadanos están totalmente indemnizados, su único interés sería lascivo: crucificarlos por deporte en las redes sociales, lo que sin duda acabaría con el negocio. Lo que significaría que nunca cobran ningún dinero adicional adeudado a Visa/MC por el incidente. Lo que significa tasas más altas para usted.
Entiendo lo que dices y entiendo que hay un proceso formal para los comerciantes. Pero una vez que se resuelve el problema o la empresa está en bancarrota, ¿qué impide que alguien finalmente informe a los clientes? No hay nada que prohíba al comerciante informar a los clientes, y cree que se le debe dar tiempo al comerciante para comprender el problema, pero ¿qué pasa una vez que se comprende el problema?
Sin embargo, no estaba al tanto de una tarifa estricta de $ 50 por cliente, ¿tiene una fuente para eso, o la estadística del 80% de las empresas? Además, creo que los números de tarjetas de crédito son la información "privada" más sobrevalorada porque, como usted señala, está protegido contra el fraude, pero creo que la persona que hace las preguntas no está muy preocupada por los números de CC, ya que sí lo están. posible información privada real. Como si hubiera una violación de datos en un equipo de facturación médica y los registros médicos pudieran estar en juego.
Visa/MC podría engañarlos si tuvieran motivos para hacerlo (sin embargo, esto tendría efectos secundarios). Y la empresa podría autoinformarse. Pero la última pregunta es ¿esto sirve de algo? Buen punto sobre la atención médica, pero el procesamiento de tarjetas de crédito y los registros médicos están totalmente separados por esa misma razón , y los registros médicos están sujetos a HIPAA, un conjunto de reglas vagamente similar a PCI. Los $50 estaban en el primer documento que probé: revention.com/whitepapers/dangers_pci_compliance.pdf , así que estoy seguro de que se repetirá en otros lugares.
Deben estar totalmente separados por ese motivo y todos deben respetar el manejo de HIPAA. Sin embargo, el hecho es que no todas las entidades responsables lo hacen todo el tiempo, y no hay dientes para las leyes anémicas que existen en los EE. UU. Los datos no siempre se manejan correctamente, no es necesario que se le notifique si/cuando la entidad A comparte con la entidad B, no se entera de que la entidad C compró partes de los conjuntos de datos de la entidad A y B y los recombinó, no No puede decirle a nadie que no de una manera significativa, y no puede recibir una notificación cuando algo finalmente sale mal.
Según los médicos con los que he hablado, HIPAA es algo aterrador. a ellos Pero van a conferencias médicas, no Blackhat. Una vez más, hay un límite práctico de lo que es posible dado con quién está tratando: viejos empresarios normales cuyo negocio no es la seguridad de TI y están trabajando con J. Random PC con Windows 7. Peor aún, el gobierno hace cumplir HIPAA, por lo que volverá al personal de seguridad que comprará un salario G10.
Encuentro alienantes sus acusaciones de intenciones maliciosas hacia dueños de negocios inocentes. En ningún momento reconoces mis intereses por la transparencia. Su ejemplo está mal, dado que me dijeron que era una tienda en línea. Pero incluso en su caso: explicar que Doofus tiene la culpa, que se ha solucionado y que Amy siguió todas las buenas prácticas es fácilmente posible sin siquiera usar la jerga tecnológica y establece el tipo de transparencia que pido.
@Tari, lamento ponerte a la defensiva, pero mira tu OP. ¡Dices rotundamente que la gente debería saberlo! Bueno, no enumeras a nadie más que a ti mismo, pero ¿solo te dices a ti ? ¿Obtienes la seguridad examinada y firmas un NDA? ¡No querrás decir eso! Lo que quieres solo funciona si no consensualmente sales del negocio. Mastercard ha decidido que es una mala idea. Estoy de acuerdo y te dije por qué. Esa es la realidad de luchar contra gente así. Duele no poder decírselo a la gente, pero mencioné algunas de las docenas de razones que empeorarían mucho las cosas .
También lamento que sientas que no "reconocí tus intereses en la transparencia". En mi trabajo he tratado 1-1 con cientos de personas con la misma frustración. Es muy difícil decirles que no. Pero debo recalcarte lo frágil que es la nave, y podemos perder . ¡Quiere pensar en la prevención del fraude como un monolito infalible! No, es una guerra asimétrica. Depende de que el 99% de los ataques sean lo mismo de siempre. El 1% de los ataques nuevos e inventivos son extremadamente costosos de investigar . Y si los malos se vuelven más inteligentes, no puedes aumentar el personal y entrenar lo suficientemente rápido, los malos ganan.
@Harper, creo que te estás perdiendo la intención de la pregunta. Y solo para señalar nuevamente, no tiene nada que ver con los datos de la tarjeta de crédito, o qué estándares se supone que existen para proteger los datos de la tarjeta de crédito. Está claro que tiene alguna participación en esta industria, pero debe dar un paso atrás y volver a leer la pregunta y los comentarios. Nadie se pregunta si la seguridad es difícil de lograr o no. O impenetrable.
@quid OP tiene dos oraciones que terminan con un signo de interrogación. ¿Cómo puedo saber quién? - Soy la única persona que dio una respuesta seria a eso. ¿Es común retener? - Sí, y expliqué extensamente varias de una docena de razones por las cuales, y le concedo que lo embellecí un poco. Perdóname si fui demasiado literal. ¿Qué pregunta le gustaría que respondiera? ¿Le gustaría ver la discusión tomada en una dirección diferente? (Tenga en cuenta que Q/A es el formato aquí, no es un foro de discusión en general).
Quién tiene la culpa cuando alguien configura WiFi realmente no tiene nada que ver con si existe o no una ley en Alemania que obligue a las empresas a informar las violaciones de datos a los consumidores. ¡Pero buena suerte para ti!
-1 Esta publicación tiene un hilo de información interesante, pero está muy inflada y sesgada. ¡Solo los hechos, por favor!
Edición sustancial. ¡Lo estoy intentando! @jpaugh
Yo no hice la pregunta. @Tari lo hizo.
@quid ¡Vaya! Veo lo que quieres decir. Estoy recibiendo un latigazo aquí, ni siquiera sé qué pregunta se supone que debo responder. Edité extensamente en respuesta a usted y jpaugh. SMH a veces se ocupa del dinero. Se siente como si me golpeara la cabeza contra la pared.
Estos comentarios realmente necesitan una limpieza para el volumen, pero los he dejado por ahora, ya que se trata directamente de mejorar la respuesta, pero me gustaría volver y podarlos más tarde. Mi propia opinión es que esta respuesta se sale del tema y sería mejor reducirla al primer párrafo más un breve resumen que omite la jerga técnica.
"¿Qué pregunta te gustaría que respondiera?" ¿Cómo se puede mejorar la transparencia con poco o ningún beneficio para los malos? Con el objetivo específico de permitirme evaluar 1) qué pasos adicionales se podrían tomar para minimizar los daños y 2) qué tan en serio las partes involucradas toman la protección de mi PPI. Observaciones: A) No creo que un general diga que algo ayuda a los malos . Supongo que los malos al menos descubrirán fácilmente qué lotes de CC se congelaron. B) sugerir la evasión de datos en este contexto es ridículo. C) Los daños por publicar una filtración son consecuencia de la filtración, no de la publicación.
MasterCard no revelará quién filtró los datos de mi tarjeta de crédito
RespuestasAquíPolítica de privacidad1y, 1v