26 votos

ErJab avatar

Máscara de número de tarjeta de crédito - ¿buenas prácticas, reglas, regulaciones legales?

Preguntado el 23 de Agosto, 2018
Cuando se hizo la pregunta
16878 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Por lo general, cuando ingreso y guardo mi número de tarjeta de crédito en una tienda en línea o aplicación móvil, solo se muestran los últimos cuatro números como recordatorio. Ejemplo (no son dígitos reales):

Tu tarjeta: **** **** **** 1234

Recientemente utilicé una aplicación en la que el número de tarjeta se mostraba de la siguiente manera (no son dígitos reales):

Tu tarjeta: 1234 56** **** 1234

¿Existen buenas prácticas o algo impuesto por Visa/MC o la ley que regule cómo enmascarar apropiadamente el número de tarjeta?

Preguntado el 23 de Agosto, 2018 por ErJab

6 votos

Avatar de djhworld

Ver también security.stackexchange.com/questions/145070/…

Comentado el 23 de Agosto, 2018 por djhworld

0 votos

Avatar de scro

Ver también stackoverflow.com/a/33500575/2908724

Comentado el 24 de Agosto, 2018 por scro

0 votos

Avatar de candtalan

También de interés: ¿Qué significan los números en una tarjeta de crédito?

Comentado el 24 de Agosto, 2018 por candtalan

Respuestas

¿Demasiados anuncios?

54voto

recmund avatar
recmund Puntos 118

Los términos que desea investigar, siempre y cuando esté en los Estados Unidos, son Cumplimiento de PCI y PA DSS. El cumplimiento de PCI es para el proveedor con el que está comprando y PA DSS se aplica a la empresa que produce el software que recibe las tarjetas de crédito (lo que el proveedor utiliza para venderle cosas).

Según la Guía de Cumplimiento de PCI, los dígitos máximos que se pueden mostrar son los primeros 6 y los últimos 4 de un número de tarjeta. Su ejemplo muestra ese límite máximo permitido. Este requisito es diferente al requisito para almacenar el número de tarjeta en una base de datos.

Respondido el 23 de Agosto, 2018 por recmund (118 Puntos )

0 votos

Avatar de belak

Así que si hay 2 sitios web, sitio web A que muestra los primeros 6, y sitio web B que muestra los últimos 4, y hackeas la cuenta de un usuario en ambos sitios (lo cual es especialmente fácil de hacer debido a que las personas reutilizan con frecuencia el mismo inicio de sesión/contraseña en varios sitios), entonces solo quedarían 6 dígitos por adivinar (espacio de búsqueda de 1,000,000)? ¿Y no olvides que hay un checksum, que sospecho que reduciría aún más el espacio de búsqueda. ¡Eso parece tan inseguro!

Comentado el 24 de Agosto, 2018 por belak

1 votos

Avatar de Phil

PCI es mundial y no solo está en Estados Unidos. Para ser exactos, el DSS (Estándar de Seguridad de Datos) se aplica a todos los sistemas de comerciantes, y el PA-DSS (Estándar de Seguridad de Aplicaciones de Pago) a software de terceros; PCI SSC tiene varios estándares además del DSS y PA-DSS, como P2PE (Encriptación de Punto a Punto), pero la 'biblioteca' no los muestra por defecto, necesitas usar el menú desplegable.

Comentado el 25 de Agosto, 2018 por Phil

0 votos

Avatar de ciriarte

@Alexander El número CVV2 sería necesario para una transacción en la que la tarjeta no está presente. Dado que el número de la tarjeta de pago y el CVV2 no están relacionados, podrías obtener a la fuerza una versión del primero con un dígito de verificación válido, pero aún así tendrías que interactuar con una cámara de compensación para encontrar una versión del segundo que funcione. Incluso cantidades moderadas de CVV2 inválidos en un número válido de la tarjeta de pago activarían los sistemas anti-fraude de los emisores de tarjetas.

Comentado el 26 de Agosto, 2018 por ciriarte
Mostrar 4 comentarios más

27voto

Michal Kališ avatar
Michal Kališ Puntos 16

La respuesta de BobbyScon te señala las reglas estándar de la industria PCI pero, la anatomía de un número de tarjeta de crédito es la siguiente.

  • El primer dígito es el número de identificación principal (3 = AMEX/Diners Club, 4 = Visa, 5 = Mastercard, 6 = Discover, etc)

  • Los primeros 6 dígitos (incluyendo el primer dígito) son el número de identificación del banco (diferentes bancos tienen sistemas diferentes para asignar estos, mis tarjetas Chase tienen los mismos primeros seis dígitos)

  • Los siguientes 9 dígitos son tu número de cuenta

  • El último dígito es un dígito de verificación (hay un algoritmo algo simple utilizado para validar rápidamente un número de tarjeta de crédito, no puedes simplemente cambiar un dígito de tu número de tarjeta para usarlo como falso)

Entonces parece que tu segundo ejemplo consideró suficiente bloquear la mayoría de tu número de cuenta pero dejar visible el número del banco. No puedo pensar en una razón para exponer más que los últimos 4 dígitos de un número de tarjeta de crédito. Seguramente la mayoría de las personas no tienen idea de que los primeros 6 dígitos son un número de identificación del banco que será común en muchas tarjetas y no hay beneficio para el vendedor en saber los números de identificación de los bancos.

Respondido el 23 de Agosto, 2018 por Michal Kališ (16 Puntos )

3 votos

Avatar de user14234

Mastercard también emite algunas tarjetas BIN 2 a partir de 2017, no solo BIN 5. (Fuente: mastercard.us/es-us/emisores/obtener-soporte/…)

Comentado el 23 de Agosto, 2018 por user14234

3 votos

Avatar de matt

Mostrar los números de tarjeta parciales ayuda a las personas a recordar cuál usaron (si tienen varias). Desde esa perspectiva, no importa realmente que los primeros 6 dígitos sean comunes en muchas tarjetas (o si te das cuenta de esto o no) siempre y cuando tus tarjetas provengan de emisores diferentes.

Comentado el 23 de Agosto, 2018 por matt

2 votos

Avatar de Michal Kališ

Quizás para AMEX hay momentos en los que tengo más de una AMEX con los mismos cuatro últimos dígitos, pero para Visa/MC/Discover es tan excepcionalmente improbable que te emitan dos tarjetas con los mismos cuatro últimos que sospecho que este método de enmascaramiento plantea más preocupaciones de seguridad en personas desinformadas que ayuda a las personas con muchas tarjetas de crédito. La gente está acostumbrada a ver los últimos cuatro dígitos, la gente no está acostumbrada a ver los primeros seis y los últimos cuatro.

Comentado el 23 de Agosto, 2018 por Michal Kališ
Mostrar 4 comentarios más

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

Finanhelp.com

FinanHelp es una comunidad para personas con conocimientos de economía y finanzas, o quiere aprender. Puedes hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X