26 votos

Máscara de número de tarjeta de crédito - ¿buenas prácticas, reglas, regulaciones legales?

Por lo general, cuando ingreso y guardo mi número de tarjeta de crédito en una tienda en línea o aplicación móvil, solo se muestran los últimos cuatro números como recordatorio. Ejemplo (no son dígitos reales):

Tu tarjeta: **** **** **** 1234

Recientemente utilicé una aplicación en la que el número de tarjeta se mostraba de la siguiente manera (no son dígitos reales):

Tu tarjeta: 1234 56** **** 1234

¿Existen buenas prácticas o algo impuesto por Visa/MC o la ley que regule cómo enmascarar apropiadamente el número de tarjeta?

6 votos

0 votos

0 votos

54voto

recmund Puntos 118

Los términos que desea investigar, siempre y cuando esté en los Estados Unidos, son Cumplimiento de PCI y PA DSS. El cumplimiento de PCI es para el proveedor con el que está comprando y PA DSS se aplica a la empresa que produce el software que recibe las tarjetas de crédito (lo que el proveedor utiliza para venderle cosas).

Según la Guía de Cumplimiento de PCI, los dígitos máximos que se pueden mostrar son los primeros 6 y los últimos 4 de un número de tarjeta. Su ejemplo muestra ese límite máximo permitido. Este requisito es diferente al requisito para almacenar el número de tarjeta en una base de datos.

0 votos

Así que si hay 2 sitios web, sitio web A que muestra los primeros 6, y sitio web B que muestra los últimos 4, y hackeas la cuenta de un usuario en ambos sitios (lo cual es especialmente fácil de hacer debido a que las personas reutilizan con frecuencia el mismo inicio de sesión/contraseña en varios sitios), entonces solo quedarían 6 dígitos por adivinar (espacio de búsqueda de 1,000,000)? ¿Y no olvides que hay un checksum, que sospecho que reduciría aún más el espacio de búsqueda. ¡Eso parece tan inseguro!

1 votos

PCI es mundial y no solo está en Estados Unidos. Para ser exactos, el DSS (Estándar de Seguridad de Datos) se aplica a todos los sistemas de comerciantes, y el PA-DSS (Estándar de Seguridad de Aplicaciones de Pago) a software de terceros; PCI SSC tiene varios estándares además del DSS y PA-DSS, como P2PE (Encriptación de Punto a Punto), pero la 'biblioteca' no los muestra por defecto, necesitas usar el menú desplegable.

0 votos

@Alexander El número CVV2 sería necesario para una transacción en la que la tarjeta no está presente. Dado que el número de la tarjeta de pago y el CVV2 no están relacionados, podrías obtener a la fuerza una versión del primero con un dígito de verificación válido, pero aún así tendrías que interactuar con una cámara de compensación para encontrar una versión del segundo que funcione. Incluso cantidades moderadas de CVV2 inválidos en un número válido de la tarjeta de pago activarían los sistemas anti-fraude de los emisores de tarjetas.

27voto

Michal Kališ Puntos 16

La respuesta de BobbyScon te señala las reglas estándar de la industria PCI pero, la anatomía de un número de tarjeta de crédito es la siguiente.

  • El primer dígito es el número de identificación principal (3 = AMEX/Diners Club, 4 = Visa, 5 = Mastercard, 6 = Discover, etc)

  • Los primeros 6 dígitos (incluyendo el primer dígito) son el número de identificación del banco (diferentes bancos tienen sistemas diferentes para asignar estos, mis tarjetas Chase tienen los mismos primeros seis dígitos)

  • Los siguientes 9 dígitos son tu número de cuenta

  • El último dígito es un dígito de verificación (hay un algoritmo algo simple utilizado para validar rápidamente un número de tarjeta de crédito, no puedes simplemente cambiar un dígito de tu número de tarjeta para usarlo como falso)

Entonces parece que tu segundo ejemplo consideró suficiente bloquear la mayoría de tu número de cuenta pero dejar visible el número del banco. No puedo pensar en una razón para exponer más que los últimos 4 dígitos de un número de tarjeta de crédito. Seguramente la mayoría de las personas no tienen idea de que los primeros 6 dígitos son un número de identificación del banco que será común en muchas tarjetas y no hay beneficio para el vendedor en saber los números de identificación de los bancos.

3 votos

Mastercard también emite algunas tarjetas BIN 2 a partir de 2017, no solo BIN 5. (Fuente: mastercard.us/es-us/emisores/obtener-soporte/…)

3 votos

Mostrar los números de tarjeta parciales ayuda a las personas a recordar cuál usaron (si tienen varias). Desde esa perspectiva, no importa realmente que los primeros 6 dígitos sean comunes en muchas tarjetas (o si te das cuenta de esto o no) siempre y cuando tus tarjetas provengan de emisores diferentes.

2 votos

Quizás para AMEX hay momentos en los que tengo más de una AMEX con los mismos cuatro últimos dígitos, pero para Visa/MC/Discover es tan excepcionalmente improbable que te emitan dos tarjetas con los mismos cuatro últimos que sospecho que este método de enmascaramiento plantea más preocupaciones de seguridad en personas desinformadas que ayuda a las personas con muchas tarjetas de crédito. La gente está acostumbrada a ver los últimos cuatro dígitos, la gente no está acostumbrada a ver los primeros seis y los últimos cuatro.

Finanhelp.com

FinanHelp es una comunidad para personas con conocimientos de economía y finanzas, o quiere aprender. Puedes hacer tus propias preguntas o resolver las de los demás.

Powered by:

X