Ayer recibi la respuesta de parte de Visa Argentina a mis preguntas enviadas por medio del portal Visa home:
Preguntas :
La ultima semana realice la compra de un teléfono celular en Capital Federal y el vendedor utilizo una cuponera. Esta vigente el uso de cuponeras en lugares donde es posible el uso de POS ? Se aplica PCI DSS en los locales de venta ? Muchas gracias
Respuesta :
-------------------------------------------------------------------------------------------
Estimado Socio:
Respecto a su consulta, registrada bajo el numero 329757, le informamos que depende del convenio que posee el establecimiento.
Sin otro particular le agradecemos que se haya comunicado a traves de este medio.
Atentamente
Web Center
Atencion al Cliente
Visa Argentina S.A
NOTA: Por favor no responda a este correo. Le recordamos que, con el fin de intentar resguardar su seguridad, en los e-mails que Visa Argentina le envie no solicitara ningun tipo de ingreso de datos ni incluira en los mismos links directos a paginas en internet que se los soliciten.
Por ello, le sugerimos nunca proveer informacion via e-mail o accediendo a links directos contenidos en e-mails,incluso cuando la informacion fuera aparentemente solicitada por Visa Argentina.
Si desea hacernos llegar sus comentarios, puede acceder a Visa@Home o www.visa.com.ar; el medio seguro de comunicacion que Visa posee a disposicion de sus clientes.
---------------------------------------------------------------------------------------------
Ok, fui respondido a medias. Visa Argentina permite a los comercios adheridos trabajar con cuponeras y no aplica PCI DSS al menos en los comercios.
Si bien los POS no ofrecen 100% de seguridad ( se pueden utilizar, POS truchos que lean la banda magnetica ), los cupones son del Jurasico. Es una invitación al fraude y cualquier persona inescrupulosa no va a dudar en hacerlo.
Veamos, hice una rapida consulta en google con el termino "estafa cupones Visa", resultado :
12-02-2009
Detectan estafa de $300 mil con tarjetas
Es una pareja de Las Heras. Habían montado una empresa de viajes fantasma y utilizaban cupones de tarjetas de crédito. El arresto fue por una denuncia de VISA Argentina por unas 70 víctimas.El problema que este tipo de estafa no es menor, el usuario puede quedar registrado en sitios como Veraz, puede que en una emergencia no cuente con el credito.
Visa Argentina recibió a fin del año pasado la certificacion PCI DSS, lo cual es obvio ya que son los impulsores de la norma, pero esta empresa es solo la punta del iceberg de una transaccion comercial realizada con una tarjeta de crédito.
Veamos nuevamente el gráfico del circuito de una tarjeta :
Payment Brand Network : Visa Argentina ( PCI DSS compliance )
Issuer : Banco emisor de la tarjeta ( PCI DSS compliance ??????? )
Merchant : Comercio ( PCI DSS compliance ???? )
Acquirer Bank : Banco que paga el reembolso ( PCI DSS compliance ????? )
De los cuatro posibles puntos por donde pasa la información de la tarjeta, solamente VISA Argentina cumple con la normativa.
Y por casa como andamos ?
Luego de realizar mi consulta, vi la posibilidad de cargar mi CV en el sitio de recursos humanos de Visa Argentina.
Para ingresar el CV la pagina principal de Visa tiene un link a recursos humanos.
Al momento de registrarnos nos muestra la siguiente pantalla :
Notemos los párrafos remarcados "En tal sentido los mensajes de correo electrónico enviados por internet pueden estar sujetos a posibles intercepciones o alteraciones"
"su clave de acceso determinada por Ud, que la misma se encuentre compuesta por una combinación de letras y numeros"
Dando el acepto a estas condiciones, e ingresando nombre de usuario y mail, se nos muestra un mensaje de activación.
Y ahora si vamos al mail, vemos con no poco asombro, que el mail de activación, tiene el usuario y la password !!!! Pero entonces en que quedamos ? No es que los email pueden ser interceptados en internet, y me mandan el usuario y la password ?
Activando la cuenta, ya podemos ingresar los datos y dar de alta el CV.
Ahora que ocurre si nos olvidamos la password ? Bueno el sitio nos da la posibilidad de recuperarla....enviandola por mail.
Por supuesto una clave generada que no cumple con "su clave de acceso determinada por Ud, que la misma se encuentre compuesta por una combinacion de letras y numeros"
Todo esto no pone en duda que los datos de tarjeta de VISA Argentina cumplen con PCI DSS, lo que quiero reflejar es la falta de coherencia entre su discurso de proteccion de datos y privacidad de la información con lo que muestra uno de sus sitios de acceso publico.
El mundo del reves ( Para el que no entendió la ironía del logo :-) )
No comments:
Post a Comment