20:11
1/8/2017

Jesteśmy na półmetku wakacji, czasu podróży i oddawania się relaksującym letnim sportom. Nie wszyscy z nas mają swoje samochody, kajaki, kite’y czy deski do surfowania. Dlatego często je wypożyczamy. Niestety, może się zdarzyć, że w czasie korzystania z usług wypożyczalni ktoś zechce spisać wszystkie dane z Twojej karty, razem z kodem CVV2/CVC2. Nie powinniśmy się na to zgadzać, nawet jeśli niektóre firmy zapewniają, że nie ma się czego bać.

Spisywanie wszystkich danych z karty płatniczej to nie jest normalna sprawa. Pisaliśmy o tym w lutym ubiegłego roku, opisując praktyki hotelu Qubus. Ten hotel był o tyle miły, że zmienił swoje praktyki po naszej interwencji.  Niestety w swoich wakacyjnych podróżach możecie natknąć się na liczne wypożyczalnie czy hotele, które będą uzależniać skorzystanie z usług od spisania na papier wszystkich danych z Twojej karty lub nawet konieczności “pozostawienia w depozycie dokumentu tożsamości”. Przypomnijmy więc, dlaczego tak szczególnie niepokojące jest spisywanie danych wraz z kodem CVV2/CVC2 i dlaczego organizacje takie jak Mastercard wyraźnie tego zabraniają.

Spisywanie danych z kart pomysłem operatora?

Czytelnicy co rusz donoszą nam o firmach, które chciały im spisywać dane z karty płatniczej. Jeden z nich napisał do nas w sprawie wypożyczalni samochodów A1 z Poznania. Jak stwierdził, jego dane zostały spisane “zanim się zorientował” i co więcej, te dane miały trafić po prostu do segregatora na półce. Czytelnik ustalił również, że firma wysyła później te dane zwykłym e-mailem.

Ale to nie był koniec relacji Czytelnika:

W dniu dzisiejszym ponownie odwiedziłem wcześniej opisywaną wypożyczalnię samochodów z nastawieniem, że nie pozwolę na spisanie żadnego numerka z mojej karty. Po takiej uwadze Pan zrobił wielkie oczy i stwierdził, że w takim razie nie da rady nic zrobić bo wszystkich danych z karty wymaga od nich operator terminala (tak zrozumiałem) aby zwrócić kaucje zablokowaną na karcie. Na moje oburzenie Panowie tam pracujący stwierdzili, że nie mają pojęcia z czym mam problem bo to normalna praktyka stosowana we wszystkich hotelach i innych wypożyczalniach samochodów

Operator obsługujący płatności każe spisać wszystko? Taki wymóg był dla nas czymś nowym, dlatego zadzwoniliśmy do wypożyczalni A1. Nie udało nam się porozmawiać z nikim, kto mógłby udzielać informacji dziennikarzowi. Właściciel firmy był nieosiągalny i nie wyznaczono nikogo do kontaktów z prasą. Postanowiliśmy więc namówić jedną z pracowniczek firmy na nieoficjalną rozmowę i było to owocne.

Panie! Pan nie wiesz! Wszyscy to robią!

W czasie rozmowy dowiedzieliśmy się, że tajemniczym operatorem, rzekomo nakazującym korzystanie z kart, jest eService.

Pracownica wypożyczalni przekonywał nas również, że… niewiele wiemy o bezpieczeństwie i praktykach na rynku. Usłyszeliśmy również, że nie jest możliwe np. kupienie biletu lotniczego lub zarezerwowanie hotelu przez internet bez wpisania wszystkich danych z karty na stronie! Ośmieliliśmy się zauważyć, że czym innym jest wpisywanie na bezpiecznej stronie, a czym innym spisywanie na kartkę. Pani powiedziała, że o wiele bezpieczniej jest spisywać na kartkę bo z komputerów prędzej coś wycieka!

W dalszej części rozmowy dowiedzieliśmy się, że spisywanie to pestka, bo niektóre wypożyczalnie w Polsce i w Europie dodatkowo drukują to co spiszą albo wręcz skanują/kserują karty. Pani z wypożyczalni pouczyła nas również, że ktoś kto pożycza mienie warte kilkadziesiąt tysięcy złotych nie powinien mieć w ogóle zastrzeżeń do spisania danych z karty.

Ta rozmowa nie była czymś, co możemy przedstawić jako oficjalne stanowisko firmy A1. Zrozumieliśmy jednak, że to się nie skończy tak jak w przypadku hotelu Qubus, nie ma mowy o zmianie praktyk (chociaż… zobaczcie aktualizację pod tekstem :)).

Nie wszyscy to robią

Postanowiliśmy zasięgnąć języka w jakiejś większej wypożyczalni aut. Nasz wybór padł na wypożyczalnię Panek, w której rzeczniczką prasową jest Katarzyna Panek.

W czasie rozmowy telefonicznej Katarzyna Panek powiedziała nam, że wypożyczalnia Panek nie stosuje spisywania numerów z kart (czyli można działać na rynku bez takich sztuczek!). Dane kartowe są przesyłane w formie szyfrowanej do operatora płatności (w wypożyczalni Panek operatorem jest Elavon) i sama wypożyczalnia nie ma do nich dostępu. Katarzyna Panek przyznała, że nie wyobraża sobie spisywania tych danych na kartki.

Ale co ma zrobić A1 jeśli to rzeczywiście jest wymóg eService?

Zwróciliśmy się więc także do eService. Zadaliśmy pytanie o to, czy firma rzeczywiście wymaga od wypożyczalni spisywania wszelkich danych. Przedstawicielka eService Dominika Gałaj odpowiedziała nam krótko:

Jeżeli chodzi o  preautoryzację to oczywiście ze względów bezpieczeństwa nie wymagamy podawania całego numeru karty. W celu odblokowania preautoryzacji, klient w formularzu wypełnia takie informacje jak:
1. Numer terminala
2. Data i godzina transakcji
3. Kwota
4. Kod autoryzacji
5. 6 pierwszych i 4 ostatnie cyfry numeru karty

Mam nadzieję, że te informację rozwieją już wątpliwości.

Pre-autoryzacja to właśnie operacja polegająca na czasowym blokowaniu środków na rachunku klienta. Stosują ją hotele (jako gwarancję otrzymania zapłaty) albo właśnie wypożyczalnie samochodowe. Jak widzimy, sam eService nie wymaga całego numeru karty do pre-autoryzacji.

Wspominaliśmy o tym pracownicy wypożyczalni A1, ale nie była przekonana…

W kopercie bezpieczniej?

O innym, ciekawszym przypadku spisywania danych z karty, powiadomił nas Czytelnik, który lubi jeździć po trasach rowerowych w okolicach Świeradowa-Zdroju. Rowery wypożycza tam firma Ski&Sun.

Bardzo miły Pan wypożyczający sprzęt oznajmił mi, że w ramach zastawu mam mu wypełnić formularz, UWAGA, z pełnymi danymi karty i kodem CVC włącznie :D Kartkę schowa do koperty, która zostanie mi oddana w momencie gdy zdam rower. (…) Powiedziałem mu, że nie ma mowy żebym zostawił CVC i że nie mają prawa go przechowywać w żadnej formie. Na co dostałem odpowiedź, że w takim wypadku nie może mi wypożyczyć sprzętu. Tak sobie wymyślili po stracie rowerów wartych kilkadziesiąt tysięcy zł i muszą się jakoś zabezpieczyć. Nie chciałem robić scen, tym bardziej, że przejechałem długą drogę w te pieprzone góry. Na karcie nie było zbyt wiele pieniędzy więc postanowiłem zaryzykować, tym bardziej, że bardziej zżerała mnie ciekawość jak ten “system” działa dalej ;) Szybko okazało się, że stosik kopert w depozycie był dość pokaźny…

Ciekawy jest pomysł wrzucania kartek do kopert i zwracania ich. Niemniej nadal mamy do czynienia z sytuacją, gdy dane kart są spisywane na papierze i przechowywane w sposób narażający je na ujawnienie. Zadzwoniliśmy do Świeradowa-Zdroju by zasięgnąć języka w wypożyczalni. Udało nam się dodzwonić do kogoś z działu marketingu Ski&Sun. Ta osoba wysłuchała nas uważnie i powiedziała, że zwróci się do prezesa z tym problemem, a Prezes do nas oddzwoni. Powtórzono nam, że przyjęty środek bezpieczeństwa ma związek z tym, że zwyczajnie kradziono rowery. Pan z działu marketingu przyznał jednak, że sytuacja wymaga wyjaśnienia i obiecał, że przekaże nasz numer telefonu prezesowi firmy.

Minął miesiąc. Wciąż czekamy na telefon od Prezesa…

Chcę wypożyczyć rower/auto. Co robić? Jak żyć?

Niektórzy nasi Czytelnicy skorzystali z usług wypożyczalni po czym zastrzegli kartę. Niestety oznacza to ponoszenie dodatkowych kosztów. Pytanie, czy nie dałoby się inaczej?

Można — jeśli to możliwe — unikać firm spisujących dane z kart na papier. Jeśli te firmy będą tracić klientów to być może zastanowią się nad zmianą praktyk.

Trzeba mówić o tym, że nawet jeśli spisywanie na kartki wszystkich danych z kart jest dość powszechne to powszechność praktyki nie czyni jej bardziej bezpieczną. My skupiliśmy się na przypadkach opisanych przez naszych Czytelników — dwóch firmach — ale nie mamy złudzeń, że firm takich w Polsce jest pewnie więcej.

Chcieliśmy pomóc, próbując przekonać te dwie firmy do zmiany praktyk (tak jak udało nam się przekonać hotel Qubus). Polegliśmy. Ale może Wam się uda przekonać właścicieli innych wypożyczalni, z usług których przyjdzie Wam kiedyś skorzystać.

Dla ułatwienia, przypomnimy w tym miejscu o tym, co już kiedyś powiedział nam Aleksander Naganowski, szef działu Business Development w polskim oddziale MasterCard Europe.

Kod CVC2 jest kodem osobistym, którego klient nie powinien nikomu udostępniać ani nigdzie zapisywać — podobnie z resztą jak ma się to z kodem PIN do karty. Reguły MasterCard zabraniają też agentom rozliczeniowym czy sklepom gromadzenie kodów CVC, a numer karty czy data ważności może być przechowywana tylko jeżeli spełniony jest standard PCI DSS – branżowa norma zapewniająca bezpieczeństwo danych użytkowników kart. Najogólniej rzecz biorąc, zalecamy wszystkim, żeby nie udostępniali nikomu danych swoich kart i przechowywali je w bezpiecznym miejscu, używając ich tylko do płacenia za pośrednictwem terminala w sklepie lub bezpiecznej aplikacji służącej do płatności online

Nie pozostaje nic innego jak mówić i pisać o tym problemie. Będzie najlepiej, jeśli to Wy jako klienci dokonacie “głosowania portfelem”. Zapamiętajcie — dla waszego bezpieczeństwa — karty płatniczej i dokumentów tożsamości nigdy nie wypuszczajcie z rąk. Kartą płaci się samodzielnie, a dowód/prawo jazdy/paszport się okazuje, a nie przekazuje.

Aktualizacja

Pracownik wypożyczalni A1 poinformował w komentarzu, że firma ta zmieniła praktyki. Potwierdziliśmy autentyczność tego komentarza, a oto jego treść.

Witam serdecznie,

jako pracownik A1 Wynajem Samochodów, chciałbym ustosunkować się do artykułu “Spisywanie danych z kart płatniczych w wypożyczalniach i hotelach — to może Ci popsuć wakacje” z dnia 01-08-2017. Po zgłoszeniu problemu przez klienta (spisywanie danych z karty), zdecydowaliśmy przestudiować zagadnienie preautoryzacji oraz przestrzegania zasad bezpieczeństwa. Wynikiem czego jest zmiana operatora kart oraz pełne stosowanie się do zaleceń i wymogów przy tego typu transakcjach.

Pozdrawiam

Ciągłe poprawianie praktyk to jest właśnie coś, co cechuje firmy dbające o klienta. Dziękujemy!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

121 komentarzy

Dodaj komentarz
  1. Tak lekko offtop, nie wiem czy ktoś z czytających był w galerii Gemini w Tarnowie, ale aby wypożyczyć tam wózek na zakupy w kształcie auta, dla dziecka, musi pozwolić automatowi zeskanować swój dowód osobisty. Wcześniej stała dziewczyna i prosiła o dowód, jak się nie zgodziło podać, to chciała tylko imię i nazwisko. Teraz bez kolekcjonerskiego dowodu osobistego ani rusz ;)

    • > aby wypożyczyć tam wózek na zakupy w kształcie auta,
      > dla dziecka, musi pozwolić automatowi zeskanować swój dowód osobisty

      Żądanie oczywiście bezprawne. Nie wolno im przetwarzać wizerunku, a taki znajduje się na dowodzie osobistym.

    • Nie wiem czy zwróciłeś uwagę jak przykładasz ten dowód – przejeżdżasz paskiem przez czytnik i z paska brane jest tylko imię + nazwisko + numer dokumentu (pasek to ten z >>>>>). Tyle widać.

      Tego czego nie widać to to, że te dane są hashowane (sha256) i szyfrowane publicznym kluczem (prywatny siedzi na karteczce w sejfie – zauważ, że nawet jego zdobycie niewiele da).

      Już kilkakrotnie osoby występowały o udostępnianie informacji na temat tego jak te dane są pobierane i przechowywane. Są firmy, że wystarczy zapytać ;)

      Pozdrawiam

    • > Nie wiem czy zwróciłeś uwagę jak przykładasz
      > ten dowód – przejeżdżasz paskiem przez czytnik
      > i z paska brane jest tylko imię + nazwisko +
      > numer dokumentu (pasek to ten z >>>>>). Tyle
      > widać.

      Czyli nie jest skanowany cały dokument, a jedynie jego MRZ. To faktycznie co innego i tutaj nie ma zbierania wizerunku.

      Chciałam jednak dodać, że zestaw danych w MRZ “imię+nazwisko+numer dowodu” był do 2015 r. Od tamtego czasu w MRZ zamieszczany jest również numer PESEL.

    • Do Maria

      W kwestii MRZ – tak czytnik zwraca komplet danych ale PESEL jest nadmiarową daną która nie jest używana, tak jak pisałem system zapisuje sobie zaszyfrowane a wcześniej zahashowane imie + nazwisko + nr dokumentu i w zasadzie robi to tylko po to by była możliwość “identyfikacji klienta” (na zasadzie jesteś stałym użytkownikiem, korzystałeś z Bumbusia X razy w tym miesiącu) i na wypadek gdyby miały być włączone jakieś promocje (swego czasu było co 10 wypożyczenie gratis).

      W kwestii skanowania wizerunku – klika lat temu były takie czytniki które działały na zasadzie kamery (jakiejś węgierskiej firmy), miały one kilka wad (czas działania, konieczność instalacji binarnych sterowników i przywiązania do konkretnego jądra) i główną – z punktu widzenia klientów że “skanuje się cały dowód”, jednak obecnie nie są już stosowane.

  2. Witam,
    “Reguły MasterCard zabraniają też agentom rozliczeniowym czy sklepom gromadzenie kodów CVC” – to jak to się w końcu ma do tego, że jednak to robią? Czy operator nie powinien zerwać umowy z takim klientem?

    • Może właśnie najlepszą drogą było by zgłaszanie takich incydentów do operatora kart? Jeśli takich wpłynie kilka to pouczą przedsiębiorcę, a w ostateczności zerwą umowę.

    • Powinien, ale praktyka pokazuje, że operator często woli przymknąć oko na takie praktyki i kasować prowizję, w razie czego udaje że o niczym nie wiedział, a regulamin zabrania, więc jest kryty. Dopiero jak o sprawie robi się głośno to zaczyna realnie działać, choć zerwanie umowy to ostateczność.

  3. Widać potrzebna jest też kolekcjonerska karta :-) Dobrym rozwiązaniem sa karty mBanku e-karta gdy porzbujesz środki to ja zasilasz . To w jakiś sposób cię zabezpiecza co nie zmienia faktu ,że praktyki tych oszołomów są nie do przyjęcia.

    • Mylisz się co do rzekomego bezpieczeństwa takich kart. Rzeczywiście, przy próbie autoryzacji on-line centrum autoryzacyjne nie pozwoli zrealizować transakcji. Diabeł tkwi jednak w szczegółach. Wystarczy taką kartę obciążyć w trybie off-line (zakupy na promie, kupno biletu w pociągu itp.) a bank zobowiązany jest transakcję taką zaksięgować w ciężar rachunku karty. Niby bezpieczeństwo jest a debecik na karcie na dowolna kwotę się pojawić może.
      Oczywiście to wszystko to nie bug a fjuczer – dzięki temu możesz kartą zapłacić w innej walucie mając świadomość, że nawet przy znaczących wahaniach kursu transakcja dojdzie do skutku

  4. “Zapamiętajcie — dla waszego bezpieczeństwa — karty płatniczej i dokumentów tożsamości nigdy nie wypuszczajcie z rąk.” No nie za bardzo policja traktuje to jako wykroczenie,jeśli chodzi o dowód osobisty https://inforfk.pl/aktualnosci/356660,Podczas-legitymowania-policjant-ma-dostac-dokument-do-reki.html

    • Artykuł 15 ustawy o Policji na który powołują się w tym artykule mówi tylko o tym, że policjant ma prawo do legitymowania. Ja OKAZUJĄC swój dowód policjantowi umożliwiam mu wylegitymowanie mnie. Nie ma w tym artykule mowy o tym, że aby zostać wylegitymowanym muszę wręczyć swój dowód policjantowi.

    • Kwestia interpretacji , nomen omen dość jasnych przepisów.
      Ale dobra papuga i wygrałeś każdą sprawę o to wykroczenie, choć niestety najczęściej dopiero w drugiej instancji.

    • Obawiam się że papuga nie pomoże. Może chodzić o weryfikację czy dowód osobisty jest autentyczny. A to wymaga “pomacania” i popatrzenia pod różnym kątem…

    • > “Zapamiętajcie — dla waszego bezpieczeństwa —
      > karty płatniczej i dokumentów tożsamości
      > nigdy nie wypuszczajcie z rąk.” No nie za
      > bardzo policja traktuje to jako wykroczenie
      > jeśli chodzi o dowód osobisty

      Policja w ogóle wiele rzeczy traktuje jak sobie chce. Na przykład legitymuje bez powodu. Tzn. powód jest, na przykład “komendant kazał wylegitymować min. 100 osób w danym dniu”. Nakaz taki jest bezprawny oczywiście, ale cóż:

      1) samo prawo w Polsce bywa absurdalne, a niekiedy nawet opresyjne; widać to i na niebezpieczniku: https://niebezpiecznik.pl/post/rozeslala-poczte-bez-bcc-sad-ja-ukaral-po-czym-prokuratura-ujawnila-dane-osobowe-wszystkich-poszkodowanych-i-samej-skazanej/

      2) zachowania Policji w Polsce bywają absurdalne i bezcelowe (wspomniane masowe spisywanie na przykład)

      3) Policja sama często jest, delikatnie mówiąc, na bakier z prawem.

      A co do legitymowania: to czy trzeba wręczyć czy nie, to kwestia interpretacji, bo wprost o tym ustawa nie mówi. Słowniki też są różne, np. ja znalazłam taką definicję: “legitymwać – sprawdzać, kontrolować czyjeś dokumenty osobiste, ustalać czyjąś tożsamość, będąc do tego uprawnionym”. Ani słowa o wręczaniu dokumentu.

      IMHO zresztą należałoby zmienić prawo i zabronić wprost legitymowania gdy nie jest to konieczne dla POWAŻNEJ przyczyny, bo dzisiaj swoboda w “spisywaniu” jest za duża.

      Ja w praktyce robię tak: policjant chce sprawdzić autentyczność dokumentu, niech go sobie maca i ogląda do woli ze wszystkich stron, ale ja go będę trzymała w ręku. Zdarzało się już że policjant wyjmował – i to na oczach legitymowanej osoby – telefon i robił zdjęcia dowodu. I nic takiemu głupkowi w praktyce zrobić się nie da, dlatego trzeba twardo bronić swojej godności: pytać o podstawę prawną ORAZ o przyczynę legitymowania, pisać zażalenia gdy policjant się nie przedstawił BEZ WEZWANIA, dokumentu starać się nie wręczać, tylko okazywać. Inaczej policjanci nigdy nie spokornieją i nie zrozumieją, że mają nam służyć, a nie nas gnębić ani nam szkodzić.

      I jeszcze: wcale nie trzeba pokazywać dowodu osobistego (nawet jeżeli nosi się go przy sobie) – można pokazać prawo jazdy, paszport albo nawet legitymację studencką. Ustawa o policji wcale nie nadaje priorytetów dokumentom – może to być dowolny niebudzący wątpliwości dokument ze zdjęciem, numerem i serią. Jak będą się czepiać że musi być dowód, mogą zrobić kontrolę osobistą – ale wtedy muszą sporządzić na żądanie protokól, na co nie mają ochoty najczęściej. A nawet jeśłi, to taki protokół będzie później dobrym dowodem w sądzie na poparcie tezy, że kontrola osobista (a może i samo wylegitymowanie) były bezpodstawne.

    • @Maria
      wszystko to pewnie prawda, ale nie wiem w jakich okolicach sie Marysia obraca, bo mnie bez wyraznego powodu spisano moze… nigdy (?). Kiedys jechalem za wolno (40 na ograniczeniu do 40) i mysleli, ze jestem pijany chyba. Ale ja osobiscie uwazam kontrole trzezwosci kierowcow za podstawna zawsze (w ruchu drogowym oczywiscie). Wszystko zalezy wiec od osobistych doswiadczen, a policjanci mieli kiedys prawo do żądania okazania dowodu tozsamosci, czyli DO albo paszportu (jesli mowa o pelnoletnich obywatelach). Prawo jazdy, patent żeglarza i karta biblioteczna to przyklady dokumentow nie bedacych dowodami tozsamosci, a jedynie potwierdzajacych pewne uprawnienia. Tak bylo kiedys, moze sie pozmienialo… obecnie ustawy rosna jak grzyby po deszczu.

  5. Wszystko pięknie fajnie, tylko co mam zrobić. Jesli jadę na wakacje. Mam rezerwację w hotelu. Tego dnia tez jest jakiś inny event w mieście i żadnego wolnego pokoju. A Pani recepcjonistka w hotelu gdzie mam rezerwacja wymaga ode mnie podania danych karty wraz z kodem CVC2.
    Oczywiście jeśli nie podam, to pani powie, żebym nie korzystał z tego hotelu, że mają mnie w dupie.
    Gdyby był jakiś przepis na który można się powołać. Coś ala, gdy idziesz do media markt i chcesz kupić np TV. A Pani Ci powie, że Ci go nie sprzeda, bez podania przyczyny, wystarczy powołać się na
    Art. 135 Kto, zajmując się sprzedażą towarów w przedsiębiorstwie handlu detalicznego lub w przedsiębiorstwie gastronomicznym, ukrywa przed nabywcą towar przeznaczony do sprzedaży lub umyślnie bez uzasadnionej przyczyny odmawia sprzedaży takiego towaru, podlega karze grzywny.
    I sprawa załatwiona. Jeśli dalej usilnie CI nie sprzeda, wzywasz kierownika, legitymujesz go i zgłaszasz na Policje.

    Fajnie było by mieć coś takiego w tej sprawie.

    • można płacić gotówką i powiedzieć ze się karty zapomniało.

    • Co za durny przepis. I jeszcze ten Twój komentarz o kierowniku… że ty go legitymujesz??? Chyba by ci parsknął w twarz.

    • ad rem: artykuł z czasów głębokiej komuny – 1971 rok

    • Domyślam się, że z tym numerkiem to strzelałeś (bo nie podałeś z jakiej ustawy toto), ale trafiłeś dość zabawnie.

    • Ok… nie strzelałeś. Cytując ustawodawstwo warto podać z jakiej ustawy się cytuje. Ja np. zajrzałem do KK (stąd moje rozbawienie).

    • Najprostszym rozwiązaniem jest zapamiętanie i usunięcie kodu CVV2 z karty lub skuteczne jego zaklejenie. Ten kod jest wyłącznie dla właściciela karty i ma być używany wyłącznie w przypadku realizacji operacji “bez przedstawiania karty”.
      To jest zwykła farba którą da się wywabić sprawiając nieczytelność kodu

    • Prosisz grzecznie o podanie informacji o operatorze obsługującym ich terminale (najlepiej z numerem telefonu do niego) bo po prostu chcesz się upewnić, czy taka praktyka jest dla Ciebie bezpieczna. I dzwonisz…

      Gwarantuję Ci, że sam operator odpowie Ci, że taka praktyka jest niedozwolona i żebyś nie podawał, a dany hotel dostanie upomnienie/karę/zerwą z nim umowę.

  6. hahahah “nie wypuszczaj karty z ręki” . To weź mądralo zapłać kartą np. za autostradę na bramce. Nawet nie pytają i pobierają kasę w sposób dotykowy, a nie tradycyjny z PIN. Nie masz żadnego wyboru i co im pan zrobisz?

    • Haha mądralo, terminal podają do auta. Spróbuj następnym razem :)

    • Terminale do auta podają, zgoda. Ale autoryzacji żadnej nie ma – ani PIN ani podpis. Jak o to zapytałem w swoim banku (pytając dlaczego ta transakcja przeszła), to mi odpisali że transakcja została dokonana bezstykowo. Nie zauważyli tego drobiazku że mam wyłączone płatności bezstykowe. Nie miałem wtedy czasu ciągnąć sprawy, a że z autostrad korzystam rzadko to następna okazja jeszcze nie nadeszła.

    • To wynika z umowy pomiędzy autostradą a operatorem. O ile w przypadku sklepu Pana Henia takie “rozluźnienie” polityki byłoby ryzykowne, to w przypadku opłaty za autostradę, gdzie liczy się czas i gdzie Twój wizerunek razem z rejestracją jest nagrany, ewentualny fraud stanowi akceptowalne ryzyko. Zresztą, powiedzmy sobie szczerze, kto by “fraudował” kartę jeżdżąc na niej na lewo po autostradzie?

    • To czy oplata za autostrade przechodzi z pinem czy bez zalezy tez od tego ile odpowiedzialnosci chce wziac na siebie sprzedawca.
      W Chorwacji na bramkach po prostu wsuwa sie karte do szczeliny, zabiera i jedzie dalej. Zadnych pinow, podpisow. Nie jest to tez platnosc nfc.

    • @Piotr Konieczny
      Taka sama procedura (stykowo, bez pinu) jest też stosowana w niektórych automatach z jedzeniem, więc ten “wizerunek razem z rejestracją jest nagrany” nie zawsze jest spełnione.

    • @Jan i dlatego wszyscy zlodzieje tak lubia pewne biletomaty we wroclawiu…

    • To jeszcze kwestia limitów na samej karcie. Ustaw sobie limit płacenia bez PINu na zero i bądź zdziwiony jak wszędzie każą ci go wstukiwać – u większości banków i operatorów jest to domyślnie 50pln.

    • Płatność bez autoryzacji kartą za gazetę, hotdoga czy na bramkach autostradowych wprowadzono w dwóch celach:
      1. ograniczenie kosztów transakcji (brak połączenia do CA = brak opłat za uzyskanie autoryzacji) i przyspieszenie procesu płatności – to są bonusy dla sprzedawcy
      2. uproszczenie i przyspieszenie obsługi “śmieciowych” transakcji – przy płatnościach bezstykowych nie trzeba wyciągać karty z portfela, przy transakcjach gdzie kartę trzeba włożyć do czytnika oszczędzamy na poszukiwaniu pinu do karty.
      Nie da się ukryć, że coś w tej argumentacji jest – wystarczy spojrzeć na korki na rodzimych autostradach i średnia trzy-czterokrotnie większa przepustowość bramek we Francji czy Chorwacji, gdzie nie przeba wklepywac pinu.
      Jeśli nie odczuwam stresu płacąc bez autoryzacji za colę i hamburgera, dlaczego ma mnie stresować zapłacenie za przejazd przez most czy autostradę?

    • W automatach z jedzeniem po prostu pin padów NIE ma. I nie ma możliwości zapłacenia tam z pinem, ale sam terminal posiada limit wysokości jednorazowej transakcji oraz odrzuci próby dokonania zbyt wielu transakcji tą samą kartą pod rząd.

    • Na A4, zjazd na Nysę Pani powiedziała mi, że kabelek jest za krótki :)

    • @adam
      “Na A4, zjazd na Nysę Pani powiedziała mi, że kabelek jest za krótki :)”

      W PKP na podobny problem (no, podobny – ale nie identyczny – tam nie kabelek był za krótki ale otwór za mały) znaleziono rozwiązanie następujące “pan mi poda PIN tylko głośno bo hałas i nie słychać” ;)

  7. A co zrobią, jak z karty jest usunięty CVC?

    • Też mnie to zastanawia. Usunięcie CVV to pierwsza rzecz, którą robię po otrzymaniu karty.

    • Teoretycznie mogą zatrzymać kartę bo jest “uszkodzona”.

    • Karta jest własnością banku – widzimisię sprzedawcy nie może być powodem zatrzymania karty. Od ponad 20 lat zawsze wydrapuję kod CCV pierwszego dnia – mam go zapisanego w KeePass-ie :-)

      Karta płatnicza może być zatrzymana w następujących przypadkach:
      nieważność karty płatniczej
      zastrzeżenie karty płatniczej
      niezgodność podpisu na karcie z podpisem na paragonie lub innym dokumencie obciążeniowym
      korzystanie z karty przez osobę do tego nieuprawnioną
      otrzymanie polecenia zatrzymania karty od agenta rozliczeniowego

      Dokładne informacje można znaleźć w Ustawie z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych.

    • @blad201 – z tym zdrapywaniem to pojechałeś. Na karcie ten CVC jest tak mocno odciśnięty maszynowo, że można go odczytać pod światło nawet po zdrapaniu (przynajmniej z kart MasterCard)

    • @Monter
      A ja mam VISĘ i był nadrukowany, starł mi się od noszenia w portfelu.

  8. Być może głupie pytanie ale… dlaczego by nie mieć na wyjazdach przynajmniej jednej zastrzeżonej karty, której spisywanie nic nikomu nie da?

    • @Jan Bartnik O ile byłaby taka sama z wyglądu, to chyba by problemu nie było z podmianą. Podmianą dlatego, że przecież kartą trzeba dokonać transakcji ;).

    • Bo nie przejdzie pre-autoryzacji ?
      Chyba, że firma używa tylko obrotu “papierowego” :)

    • Musiałbyś mieć pewność, że po zastrzeżeniu karty Twój bank nie wyśle Ci natychmiast nowej. Niektóre banki tak właśnie robią.

  9. ‘Kod CVC2 jest kodem osobistym, którego klient nie powinien nikomu udostepniac’ – to Dlaczego drukuja go na karcie, ktora nie raz trzeba komus dac do reki? Jesli musza moze powinni dodawac instrukcje, ze nalezy go zdapac po zapamietaniu…

    • Powinni, ale nie żadne drapać tylko powinna być albo naklejona na karcie (naklejka do usunięcia) albo – tak jak jest zwykle z PIN – wysyłana osobną przesyłką do wiadomości własnej.
      Też nie rozumiem tej polityki z nadrukowywaniem CVC na karcie (zwlaszcza w kontekście przytoczonej wypowiedzi rzecznika MasterCarda).

  10. Dlatego dobrze jest sobie kody zakleić kawałkiem tej samej taśmy klejącej, którą zakleja się kamerki w laptopach.

  11. Tak. CVC2 jest osobistym kodem. Szkoda tylko, że jest zapiany na karcie i każdy może go odczytać np: w sklepie kiedy podajesz kartę do czytnika.

  12. https://niebezpiecznik.pl/post/link4-wymaga-danych-karty-kredytowej-przez-telefon-podawac-czy-nie/

    ” Zapewne po części z tego powodu podawanie numeru karty płatniczej w innych miejscach uważamy za coś podejrzanego, ale jak najbardziej możemy to robić i w zasadzie nie powinniśmy mieć z tego tytułu żadnych obaw co do utraty gotówki”

    • Jednak czym innym jest podanie numeru karty w celu płatności zaufanemu mechantowi, a co innego pozostawienie karty płatniczej Panu Heńkowi. Faktem natomiast jest to, że jeśli Heniek nie pozna PIN-u, to każdą lewą transakcję powinniśmy móc spokojnie reklamować / zchargebackować.

    • O tym samym artykule pomyślałem jak tylko przeczytałem wyżej opisany problem. Załóżmy, ze nr karty podaję zaufanej stronie, jednak zawsze ktoś w tym pośredniczy, może to być Wasz Pan Heniu. Czym to się różni?

    • @Bartosz&Patryk. Różnica jest taka, że rozmowy telefoniczne są zazwyczaj nagrywane, a sama płatność jednorazowa i CVC nie zostaje zapisany w systemach informatycznych przedsiębiorcy.
      W przypadku zapisywania tego typu danych na karteczkach, nie ma pewności który pracownik będzie miał do nich dostęp i przekaże te informacje osobie trzeciej.

      Już nie mówiąc o tym, że nie mamy pojęcia kiedy te zapisane dane zostaną zniszczone i w jaki sposób?

  13. Redakcjo, a możecie się dowiedzieć od operatorów kartowych (Visa/Mastercard) oraz takich wypożyczalni co w sytuacji gdyby kod CVC/CVV/CVC2 na mojej karcie byłby nieczytelny/uszkodzony?
    Powiedzmy, że go nie znam, albo skłamię, że go nie znam, a na co dzień płacę zbliżeniowo/tradycyjnie i ten kod zwyczajnie nie jest mi potrzebny?
    Z tego co wiem numer karty, nazwisko i data ważności nie są zbyt wiele warte bez CVC2?
    I jeszcze jedno pytanie do operatora kart: folia przodu mojej karty bardzo się już zniszczyła i niedługo nazwisko, data ważności i numer karty przestaną być czytelne. Czy wolno mi się posługiwać taką kartą? Czy ktoś robi z tego tytułu problemy? Ja te dane znam i mam zapisane, ale np. sprzedawca?

    • O ile dobrze pamiętam, to Amazon nie wymaga podania CVV.

  14. kompletnie offtop.
    Panowie, mam problem, mój manager haseł (keepassx) poinformował mnie, iż inna jego instancja obecnie używa bazy haseł podczas gdy uruchomiłem jedną instancje, czy jest to znak wystarczający do reinstalacji systemu i wymiany wszystkich haseł?

    (OS:gentoo/GNU/Linux, keepassx uruchamiany jako oddzielny user)

    • Nie, to oznacza że nie usunął się tymczasowy plik *.lock ;)

    • Michale, dziękuje Ci.
      Uspokoiłeś moją paranoje :3

  15. na booking_com klient podaje numer karty, do których ma wgląd pracownik hotelu / pensjonatu , standardową praktyką jest ich drukowanie.

  16. Jest też Domino’s Pizza bodajże, gdzie WSZYSTKIE dane karty (też z kodem, a jakże) trzeba podać przez telefon – tak zorganizowane są “płatności kartą”. Żadne tam tonowe systemy, po prostu gość, co to siedzi i gryzmoli to na kartce albo w jakimś ichnim systemie. A przynajmniej było tak parę tygodni temu…

    • A w jakim mieście tak robią? Bo w Warszawie zamawiamy bardzo często z Dominos i ani razu z czymś takim się nie spotkałam. Przyjeżdża dostawca z terminalem i wtedy płacę.

    • W Szczecinie kurier Domino’s przyjeżdża z terminalem.

    • Dokładnie tak samo czyli podawanie wszystkich danych z karty przez telefon działa Link4 przy zakupie polisy. Nie ma możliwości uzyskania elektronicznego linku do płatności kartą.

    • To, co się dzieje w Link4, to się nazywa płatność MO/TO. Z tym, że do MO/TO nie potrzeba CVV. CVV jest do płatności internetowych i tylko internetowych. A że ktoś w terminalu pewnie nie ma moto włączonego, to ciuła w trybie webowym -.-

  17. Czy nie ma żadnego urzędu który regulowałby tego typu praktyki? I gdzie można byłoby zgłaszać nadużycia. Czy nie można tego zgłaszać do urzedu ochrony konsumenta?

    • Do organizacji kartowych. Organizacja może cofnąć certyfikację merchantowi naruszającego warunki umowy.

  18. Ja tam z tym problemu nie mam, limity ustawione na 0. Gdy dokonuję płatności po prostu loguję się do banku i ustawiam chwilowy limit. Całość zajmuje mi jakieś 5 minut, ale trudno.

  19. Z tego co pamiętam jeden z banków wydaje karty w których CCV jest małym wyświetlaczem elektronicznym i zmienia się co kilka minut

  20. Pisałem do was o podobnym przypadku na Gdańskim lotnisku, przy dopłacie za nadbagaż babka spisała wszystkie dane z karty łącznie z CVC. Gdy zwróciłem uwagę powiedziała że przewoźnik (RyanAir) tego wymaga. Podobno wpisuje te dane bezpośrednio do systemu przewoźnika. Płatność z jakiegoś powodu nie powiodła się, po czym Pani uznała że w takim razie zrobimy standardową płatność przez terminal :/
    Kontaktowaliście się może w tej sprawie z RyanAirem?

  21. A co z dowodem czy prawo jazdy dla wypożyczalni kajaków? Jaki inny dokument mogę zostawić? Wypozyczalnie przewaznie nie respektując innych dokumentów

    • Wydruk art 79 ustawy o dowodach osobistych z dnia 6 sierpnia 2010 powinien załatwić sprawę zabierania dowodu w zastaw

    • Zależy od wypożyczalni. Testowałem w minionym tygodniu nad Soliną ;-)
      Dowód Osobisty jest tylko jedną z opcji. Wymagają dowolnego dokumentu na którym jest nazwisko i zdjęcie lub jak nie chcemy zostawić dokumentu to kaucja 200zl.

    • powinni spisać od Ciebie numer dokumentu – jako tako nie jest to dana osobowa a odpowiednim służbom wystarczy do znalezienia człowieka

    • Dowodu zabierać nie wolno (ustawa wprost zabrania), ale prawo jazdy już wolno – nie jest to zabronione.

      Ale i tak radzę się nie zgadzać ani na branie go (prawa jazdy, czy dowolnego innego dokumentu ze zdjęciem) w zastaw, ani na kopiowanie, ani na robienie zdjęć. Powinno wystarczyć spisanie imienia, nazwiska i numeru dokumentu (PESELu lepiej nie powierzać innym, bo łatwiej z nim nabrać chwilówek). Oczywiście często się wypożyczalnie na to nie zgadzają i chcą skanować dokument.

  22. A potem ludzie czytają takie artykuły jak ten https://www.esky.pl/porady-dla-podroznych/hotele/rezerwacja-hotelu/wybor-sposobu-platnosci-za-hotel
    I uważają takie praktyki za normalne :/

  23. Miałem kiedyś podobną sytuację na poczcie. Wysyłałem list polecony za granicę, cena wyższa niż zapas gotówki w portfelu. Da się kartą, ale “operacja jest rejestrowana jak z obcego bankomatu” – dobra, i tak bankomaty darmowe.
    Pani w okienku najpierw zrobiła transakcję przez terminal, a potem spisała wszystko z karty “bo ona tak musi”. Karta była ważna do końca miesiąca, a potem i tak ustawiłem limity internetowe na zero, więc się nie piekliłem za bardzo.

  24. Ostatnio na plaży trafiłem na event organizowany przez policję. ‘Bezpiecznie nad wodą’, czy jakoś tak. No i policja oglaszała przez megafon, że można u nich wypożyczyć sprzęt do siatkówki ‘pozostawiając na czas wypożyczenia dowód osobisty’. :V

    • No to jest hit :)))

  25. Co tam mała wypożyczalnia rowerów. Kolega kupił kiedyś komputer wycofany z eksploatacji z pewnej ogólnopolskiej firmy telekomunikacyjnej. Na dysku znaleźliśmy ponad 3500 kompletów skan dowodu + skan karty. Wystarczyło zresetować hasło administratora. Ciekawe jak to się ma do PCI DSS i ustawy o ochronie danych osobowych.

    • Firma może odpowiadać za udostępnienie danych osobowych osobom nieuprawnionym. W ich obowiązku było zzerowanie tych danych.

    • PCI = Payment Card Industry

      Gdzie w tym przypadku dane z kart ? ;)

  26. https://privacy.com/ Polecam :)

    • Z tego co widzę to serwis jest dostępny tylko w USA. Jest możliwość utowrzenia takiej wirtualnej karty dla konta złotówkowego?

      Ja osobiście swojego czasu przyglądałem się serwisowi https://sudoapp.com gdzie można tworzyć karty, numery telefonów itp. Niestety ze względu na ograniczenie regionalne i ściąganie środków za pomocą apple pay nie ma jak z tego korzystać.

      Przydałoby się takie uniwersalne rozwiązanie gdzie możnaby stworzyć wirtualne karty i np. numery telefonów dla wybranych regionów.

    • Niestety ta usługa wymaga podłączenia konta bankowego i obsługują tylko banki z USA.

  27. Dowód nie jest skanowany – zczytywany jest obszar z >>>> z dolnej części dowodu (w przypadku płatności kartą automat w ogóle o dowód nie pyta – akurat taka wersja jest w Gemini).

  28. do Maria

    Dowód nie jest skanowany – zczytywany jest obszar z >>>> z dolnej części dowodu (w przypadku płatności kartą automat w ogóle o dowód nie pyta – akurat taka wersja jest w Gemini).

  29. > Pani w okienku najpierw zrobiła transakcję przez terminal,
    > a potem spisała wszystko z karty “bo ona tak musi”

    A rzeczywiście musi?

    Myślałem, że przy tego typu transakcji, która jest traktowana jako wypłata gotówki z bankomatu, powinna raczej prosić o dokument ze zdjęciem i spisać z niego dane, czego zresztą byłem kiedyś świadkiem w placówce Poczty Polskiej. Spisywanie danych z karty płatniczej to dziwna praktyka.

  30. Wszystko ok, tylko jak wypożyczalnie mogą obciążyć klienta kiedy ten zwraca uszkodzony, niekompletny itp sprzęt? O ile w ogóle zwraca. To działa w oby dwie strony. Do tego są potrzebne dane transakcyjne.

    • Jak nie słyszeli o kaucji to nie wiem co w ogóle robią w biznesie.

  31. “Kartą płąci się samodzielnie, a dowód/prawo jazdy/paszport się okazuje, a nie przekazuje.”

    Co robić w sytuacji kiedy już ktoś zrobił kopię jednego z naszych dokumentów?

    Powszechna była praktyka np. robienia kopii prawa jazdy przez salon samochodowy, który udostępniał nam auto do jazdy testowej. Wiele hotelów za granicą robi kopie paszportów zasłaniając się wymogami prawnymi danego państwa. Co w takiej sytuacji? Nie wyobrażam sobię, żeby teraz po każdej wizycie np. w Wietnamie lecieć i składać wniosek o nowy paszport.

    Pewnie jest sporo osób, które z takiej czy innej przyczyny przynajmniej raz dało sobie skopiować/spisać jeden z dokumentów. Czy w takiej sytuacji powinno się lecieć do urzędu i składać wniosek o nowy dokument?

    • > Co robić w sytuacji kiedy już ktoś zrobił kopię jednego z naszych dokumentów?

      Postarać się wyrobić nowy.

      > Powszechna była praktyka np. robienia kopii prawa jazdy
      > przez salon samochodowy, który udostępniał nam auto do
      > jazdy testowej.

      Kategorycznie się nie zgadzać. Jak powiedzą że trzeba, wspomnieć ustawą o ochronie danych osobowych i zapytać, na podstawie jakiego przepisu chcą przetwarzać wizerunek (znajduje się na prawie jazdy) – a to dana wrażliwa. Nie odpuszczać; zaproponować alternatywne rozwiązanie, np. kaucję.

      > Wiele hotelów za granicą robi kopie paszportów zasłaniając
      > się wymogami prawnymi danego państwa. Co w takiej
      > sytuacji?

      1) Zaproponować spisanie danych zamiast kopii,
      2) Sprawdzić jakie naprawdę przepisy są w danym państwie,
      3) i na ich podstawie negocjować.

  32. Tak z ciekawości w nawiązaniu do ostatniego akapitu o okazywaniu dokumentów tożsamości: jak się to ma do praktyk kserowania dowodów osobistych np. u operatorów telefonii komórkowej lub w bankach?

  33. W Hertz też skanują karty. A przynajmniej w Cork na lotnisku. Zaskoczony tym byłem, ale powiedzieli mi, że to w ramach zabezpieczenia. Nie dopytałem i nie zauważyłem czy tył karty też skanowali.

  34. Trzeba im zrobić niezamówiony audyt z kontrolowanym wyciekiem danych z kart. GIODO i operatorzy kart powinni łyknąć przynętę.

  35. Firmy zabezpieczają się przed swoimi klientami, bo wiadomo, klient, to potencjalny złodziej, chociaż głoszą bezczelnie, że “nasz Pan”.

    Takiego kogoś, kto chce spisywać, skanować, a który przecież rzadko kiedy jest samym właścicielem firmy, można łatwo zgasić prośbą o udowodnienie, że formalnie ją reprezentuje. Skoro chce spisywać dane, niech poda swoje. Niech udowodni, powiązanie z daną firmą. Przekazanie wrażliwych danych “pracownikowi” na czarno, czyli takiemu, którego “nie ma”, może równać się z podaniem swoich danych przypadkowej osobie na ulicy. Dlatego zwyczajem, jak już, powinno być dane za dane.

    Spróbujcie kiedyś tak postawić sprawę, zobaczycie co się stanie. Usłyszycie, że nie macie prawa, że to niebezpieczne i że nikt tak nie robi, więc nie, bo nie. Śmieszni są tacy ludzie. Najpierw mówią, że ale przecież nie ma się czego bać, a potem sami się boją, Brak argumentów przechodzi w oburzenie, bo nie muszą się z niczego tłumaczyć.

    Firmy pozwalają sobie na coraz więcej, bo zdecydowana cześć klientów, to po prostu dupy. Co miał biedny zrobić, był na wakacjach, a wakacje bez kajaka, to nie wakacje, więc oddał wbrew prawu dowód swojej tożsamości kajakowemu mężowi zaufania w budce z dykty. Gdyby chociaż co piąty klient się postawił, to właściciele firmy zmieniliby “procedury” i nawet zapomnieli o tej kradzieży sprzed 5 lat, na kwotę którą zarabiają w kilka dni.

    Rozumiem zabezpieczanie się, ale na zasadzie równowagi. Korzystanie z usługi przez dobę nie może równać się przechowywania danych przez lata w szufladzie, itd.

    • Dokładnie. Jaką mam gwarancję, że moja karta nie zostanie użyta bez mojej wiedzy. Oczywiście mogę reklamować usługę później, ale czemu by taka osoba nie miała odpowiadać za ten czyn. Tak? Więc jeśli mam na karcie 1000 zł chcę wiedzieć, że gość, który skanuje moją kartę też na swojej ma 1000 zł i chcę też zeskanować jego kartę. Potem jak coś zginie, chcę wiedzieć, że mi odda.

      Ok, to żart, bo:
      a) jaką mam pewność, że sam tej gotówki ze swojej karty nie ściągnie przede mną?
      b) po za tym ściąganie pieniędzy z czyjejś karty bez wiedzy właściciela karty to kradzież, więc to nie wchodzi w grę, prawda?

      Dlatego nie zgadzać się, koniec i kropka i ewentualnie robić interesy z bardziej uczciwymi firmami/ludźmi.

    • Masz całkowitą rację. Swego czasu (z 5 lat temu) wypożyczalnia łyżew w Krynic działała w ten sposób, jak powiedziałem, że nie dam dowodu to obsługa poprosiła o 100zł kaucji. Nie wiem jak teraz to działa, ale w tamtych czasach wszyscy raźno oddawali dowody.
      Można również olać wszelkie zabezpieczenia i tak np. na lodowisku w Chełmcu łyżwy wypożycza się po prostu za przysłowiowe 5zl bez żadnych formalności.

  36. Wypada mieś 2 karty – jedną z zerowym limitem do kserowania i 2 dowody – jeden “przeterminowany” lub kolekcjonerski. Tak to naginanie prawa generuje dalsze naginanie prawa.

    • Przy odbieraniu nowego dowodu biurwa w urzędzie ucina róg starego dowodu, tak że raczej nic nim już nigdzie nie zdziałasz.

  37. Skoro Mastercard zabrania takich praktyk to może warto do nich zgłaszać takie firmy? Co o tym myślicie? Czy jest szansa na reakcje że strony Mastercard?

  38. link4 wymaga podania konsultantowi cvc do autoryzacji płatności drogą telefoniczną, doliczają wówczas dodatkową zniżkę.

  39. Widzicie o tyle o ile można zrobić rożne wałki dla mnie fenomenem jest kserowanie karty w UK przez agencje pracy :). Tu wytworzył sie taki system że czasem idziesz do roboty na 2-3 dni i zmieniasz agencje pracy bo w innej maja lepsze warunki. Problem w tym że wszystkie mają duży przemiał pracowników a ksero karty w wielu jest wymagane uwaga z obu stron ;).
    Nie uwierzycie jakie było zdziwienie gościa przy rejestracji kiedy zacząłem mu tłumaczyć że chyba na głowe upadł że dam mu odbić kartę z ccv numerem. Po czym wyszedłem. Ale do czego zmieżam jeśli ktoś jest dobrym w rożnych rzeczach i mi nie zależy może zgarnać od agencji pracy dużo nr kard z danymi do orżniecia sprawa nie jest mega trudna ale dziw że nikt na to nie wpadł żeby zhakować payrola i puchnąc te dane.

  40. Nic nowego. Proponuję poczytać forum fly4free.pl gdzie ludzie wielokrotnie opisywali praktyki portali pośredniczących w rezerwacji hoteli i również ich praktyki. Rezerwujesz hotel logując się na stronę pośrednika, po https, podajesz dane karty, z kodem CVV2/CVC2 a potem znika Ci z konta kasa bo… dane te wyciekły w hotelu bo: przyszły faksem, bo ktoś wydrukował je i zapomniał wyciągnąć kartkę z drukarki, bo segregator jest dostępny dla każdego, bo pracownicy kradną, itd. Moja historia w skrócie. Hotel w Niemczech, rezerwacja przez booking, na dzień przed wyjazdem znika mi z konta tysiąc złotych (taki miałem limit transakcji internetowych), nigdzie indziej nie podawałem danych mojej karty. Reklamacja w banku i zgłoszenie na policję. Po miesiącu kasę odzyskałem, z wyjazdu nic nie wyszło, sprawę umożono ze względu na niemożliwe (sic!) wykrycie sprawcy (a poszło 6 transakcji internetowych w różnych sklepach na świecie, pierwsza z nich testowo za dolara, na świeżo założonym koncie google (jakaś subskrypcja Kaspersky’iego). Transakcje widniały na koncie jako blokady a bank nie zrobił nic aby je zablokować tylko czekał aż się zaksięgują. To tak jakbyś widział złodzieja przez okno że Ci dom okrada ale mógł go próbować złapać dopiero gdy z niego wyjdzie. Ja sam pisałem do wszystkich tych sklepów (widziałem nazwy w operacjach na koncie), ta firma od antywirusa podała mi adres email z którego ktoś subskrypcję testowo kupił. Wszystko czego się dowiedziałem przekazałem policji, stwierdzili, że oni nie zwrócą się do Google bo tu obowiązują jakieś umowy międzypaństwowe i taka procedura zajęłaby rok. Po miesiącu, gdy zwrócono mi kasę (bank próbował przeciągać sprawę mimo, że wg regulaminu, jeśli bank nie rozpatrzy reklamacji w ciągu 30 dni, jest uznawana za uznaną), policja zapytała czy może zakończyć sprawę czy też życzę sobie aby nadal szukać sprawcy. Jedyne czego chciałem to dowiedzieć się czy złodziej był w Niemiec bo to dowodziłoby, że dane mojej karty wyciekły właśnie w tym hotelu. Booking zarzekało się, że oni wysyłają email z linkiem do strony gdzie hotel się loguje i ma na to dwie próby przy czym może tylko raz podejrzeć dane karty klienta.

    • Dodam jeszcze, że od tamtego czasu, za sugestią innych z wymienionego przeze mnie forum, jeśli mam podać dane karty przy rezerwacji, zawsze podaję błędny kod CVV2/CVC2 lub podaję dane karty do zakupów elektronicznych (eKarta mBanku) którą zasilam tylko wtedy kiedy sam o tym zdecyduję.

  41. Pracuję w pewnym hotelu od niedawna. Gdy gość czegoś zapomni to odsyłamy kurierem na jego koszt. Jeśli gość jest z Polski to problemu nie ma, jeśli jest z innego kraju to musi podać dane arty kredytowej do obciążenia. Wysyłamy mu wtedy formularz który ma nam odesłać podpisany. Oczywiście w formularzu są wszystkie dane karty, łącznie z kodem CVV2/CVC2. Formularz jest przesyłany zwykłym mailem, drukowany i leży sobie na recepcji. Gdy zwróciłem uwagę kierownikowi że tak nie powinno być usłyszałem że tak jest i tyle. No cóż, wszystkie te dane cały czas leżą u nas na mailu. Może powinienem zrobić sobie jakieś zakupy żeby ktoś zrozumiał w czym problem?
    Ps.
    W szoku byłem że jeszcze nikt nigdy nie odmówił podania tych danych.

  42. Jak mi jatomi fitness spisalo kod cvc z karty to wypowiedzialem umowe i zastrzegłem kartę.

  43. Jak na autostradzie A4 chce się zapłacić kartą to trzeba ją dać Pani w okienku, bo nie ma możliwości wystawienia terminala. Jakiekolwiek tłumaczenie jest bezskuteczne więc albo gotówka albo karta Pani do ręki…
    Wiem, że Pani w okienku nie ma czasu na spisanie danych, ale wystarczy zamontowana kamerka i szybkie obrót karty przed obiektywem i ktoś miałby wszystkie moje dane.

    • Wydrap sobie CVV z tyłu, tylko delikatnie aby w jak najmniejszym stopniu uszkodzić kartę. Niestety, samo zamalowanie flamastrem nic nie da bo te cyferki są zwykle wklęsłe… Owszem, nie będziesz do końca zabezpieczony ale lepsze to niż nic.

  44. To jest standardowa procedura booking.com i expedia.com przy rezerwacji w Hiszpanii.
    Już się przyzwyczaiłem, że podaję dane z eKarty i transakcja jest potwierdzona a mój pokój na pewno zarezerwowany. A następnego dnia jest email z hotelu, że wpisali dane z karty w terminal i nie działa.
    Generalnie mieszkam w UK, ale płatności w Euro robię z polskiego mBanku. Zdziwiłem się jak miesiąc temu rezerwując hotele w Kanadzie przez Ekspedię i płacąc angielską kartą miałem logowanie 3D z Barclaysa. Nie wiem czy to globalna zmiana w Ekspedii czy może klienci z UK są lepszego sortu. Jeśli to drugie, to chyba lepiej poświęcić koszt przewalutowania w zamian za bezpieczeństwo.

  45. Gdyby ktoś spróbował poprosić mnie o coś takiego, dyskretnie włączyłbym kamerkę w telefonie i udałbym się na policję, nagranie umieściłbym w internecie, oczywiście tak by gość nie zwiedział się, że ja nagrałem i ja wrzuciłem.

    Chamstwo w państwie jak to Ferdzio Kiepski gadał…

  46. No właśnie – byłem pewny, że eservice nie wymaga podawania takich danych, to zwyczajny wymysł hotelu. Dobrze, że wyciągnęliście opinię od operatora terminali.

  47. Firma Tolis Motors n Korfu, właśnie spisali moją kartę kredytową łącznie z CVV2. Kartę zastrzegłem.

  48. W aplikacji “Revolut” (w celu otrzymania karty przedpłaconej) też podajemy kod CVV karty do zasileń, podobno aplikacja nie zapamiętuje tego kodu, na ile jest to bezpieczne (następne obciążenia/zasilenia wykonuje bez kodu CVV)?

  49. Miom.znajomym firma Panek po zwrocie kaucji za wypożyczenie auta po uplywie 4 miesiecy ponownie zapukala na konto bankowe uzywajac danych z karty kredytowej.

  50. […] już o tym, że wypożyczalnie i hotele mogą wam popsuć wakacje spisując dane z kart lub próbując skanować wasze dowody. Innym problemem są wyciągi […]

  51. Dzisiaj doładowywałem konto karty SIM. Ponieważ byłem na zakupach w TESCO podszedłem do salonu PLAY i załatwiłem tą sprawę od ręki. Karta umieszczona jest w lokalizatorze GSM. Na pytanie ile jeszcze zostało środków na karcie, pracownik zażądał dowodu celem wprowadzenia w system po zeskanowaniu. Na pytanie ile dostaje za handel cudzymi danymi obraził się i sczerwieniał. Kraków, Tesco, Kapelanka.

  52. […] z różnego rodzaju wypożyczalni niestety się zdarzają. Dlatego właśnie wypożyczalnie ograniczać zbieranie danych do tych absolutnie koniecznych. Wiemy oczywiście, że wypożyczalnie samochodów oddają w ręce użytkownika drogie mienie, ale […]

  53. […] » Spisywanie danych z kart … – NieBezpiecznik.pl […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: