¿Qué datos de tarjetas puede almacenar el comerciante en línea y qué puede hacer con ellos?

Veo que para realizar una transacción en línea con tarjeta de crédito (o débito) generalmente necesita 3 datos

  • Número de tarjeta
  • Fecha de caducidad
  • Código de seguridad

Algunos comerciantes ofrecen la opción de almacenar el método de pago para su uso posterior. ¿Qué se almacena entonces como práctica habitual y qué puede hacer el comerciante con estos datos sin que el titular de la tarjeta suministre el resto?

La fuente de esta pregunta es mi observación de que si guardo la transacción de mi tarjeta de débito como método de pago, los usos posteriores no están autorizados por mi banco. Eso espero

  • No están guardando todo.
  • Esperan que la información guardada sea suficiente para que el banco autorice la transacción
  • Esperan que sea suficiente porque no me piden que suministre el resto.

Supongo que puede haber una diferencia entre el manejo de tarjetas de crédito y débito.

Esta es una reescritura de la pregunta para obtener mejores respuestas, de modo que los comentarios puedan referirse a la forma original de la pregunta.

Sin saber qué artículos está guardando el comerciante, es difícil adivinar qué falta.
Es posible que desee considerar la conveniencia de tener la información de su tarjeta de débito (eso es lo que tiene) almacenada en el sitio web de un comerciante. Al menos en los EE. UU., y quizás también en otras partes del mundo, las tarjetas de débito tienen muy poca protección contra transacciones fraudulentas si el sitio web del comerciante es pirateado. Una vez que el dinero se ha ido de su cuenta bancaria, se ha ido. Con una tarjeta de crédito , el banco emisor puede revertir los cargos, investigar, etc., y usted no pierde el dinero a menos que pague el estado de cuenta mensual, lo cual puede negarse a hacer en caso de cargos fraudulentos.
Creo que lo que dices puede estar relacionado con la respuesta a mi pregunta. Parece que la cantidad de información almacenada por el comerciante no es suficiente para que mi banco autorice la transacción, pero el comerciante espera que sea suficiente, lo que puede ser un caso de tarjeta de crédito. De esa forma, veo más riesgo en la transacción inicial (donde todos los datos pueden ser interceptados) que en el almacenamiento (donde la información no es suficiente para autorizar el pago).
En los EE. UU., las tarjetas de débito generalmente requieren que se ingrese el número PIN en las terminales de punto de venta. Un comerciante en línea probablemente necesite tener almacenada la información de la tarjeta (número, fecha de caducidad, etc.) y el número PIN para utilizar los datos en una transacción posterior. Puede que se sienta muy cómodo guardando toda esta información en el sitio web del comerciante, pero el comerciante se protege a sí mismo al negarse a guardar todos estos datos en su sitio web. ¿Qué pasa si su sitio es pirateado? La interceptación de su número en tránsito al sitio web es menos probable que la piratería informática o el fraude de los empleados.
@Dilip, ¿quién usa el PIN de la tarjeta de débito con las transacciones en línea? Nadie. En los EE. UU., las transacciones en línea con tarjeta de débito son tratadas (por los comerciantes) exactamente igual que las transacciones en línea con tarjetas de crédito.
@littleadv Personalmente, nunca he intentado usar una tarjeta de débito con transacciones en línea y, por lo tanto, no tengo idea de si se necesitan números PIN o no. Mi punto principal es que no es una buena idea tener el número de tarjeta de débito almacenado en el sitio web de un comerciante por la comodidad de no tener que escribirlo de nuevo para cada transacción.

Respuestas (1)

Desde una perspectiva de seguridad, una vez que le das esa información a un comerciante, puede hacer lo que quiera con ella, incluso filtrarla a actores malintencionados.

Por lo general, un comerciante de buena reputación y consciente de la seguridad no almacenará los datos reales de la tarjeta. El comerciante proporciona los datos de la tarjeta a su procesador de pagos, quien devuelve un token. Luego, el token se usa para transacciones posteriores, pero no contiene el número de tarjeta de crédito u otros datos.

Ejemplo de lectura: http://community.developer.authorize.net/t5/The-Authorize-Net-Developer-Blog/Tokenization-101-with-CIM-and-CRE-Secure/ba-p/22911

¿Qué datos de tarjetas puede almacenar el comerciante en línea y qué puede hacer con ellos?
RespuestasAquíPolítica de privacidad1y, 0v