Biz| Društvo| Ekonomija| IT| Tehnologija

PCI DSS i problemi sa karticama

Dragan Pleskonjic RSS / 16.12.2011. u 22:30

credit-card-security.jpgTrenutno je aktuelan slučaj ugrožavanja velikog broja kreditnih kartica, njihovog blokiranja i prilične konfuzije u vezi sa neposrednim uzrocima. Prema vestima u medijima, pretpostavlja se da su bezbednosne mere preduzete zbog upada hakera u sisteme pojedinih banaka kao preventivna mera, ali ta informacija još nije zvanično potvrđena. Sumnja se da je prevara izvršena u više zemalja istočne Evrope. Takođe se kaže da je evropska centrala kompanije Viza obavestila je da su podaci iz tih kartica ugroženi i da bi moglo da dođe do zloupotrebe. Pominju se i neki veliki trgovinski lanci i mogućnost da su podaci „iscurili ili provaljeni" u njihovim sistemima. Nadam se da ćemo uskoro saznati prave razloge i detalje događaja. Javnost treba da bude obaveštena o detaljima događaja i ima pravo da to traži, pogotovu što je u pitanju blokiranje velikog broja kartica. Ovaj tekst je o onome o čemu se nešto manje govori, a trebalo bi.

Na Internetu i u medijima se sada, a i ranije, našlo dosta preporuka o tome šta vlasnici kartica mogu i treba da urade, kako bi umanjili rizik da dovedu sebe, neopreznim rukovanjem karticama, PIN kodovima i slično, u povećan rizik od zloupotrebe i ugrožavanja sigurnosti kartica i svog novca. Ovo je nužno, kako bi ljudi koji nisu upućeni u materiju zaštite i bezbednosti, saznali što više o opasnostima i načinima da ih izbegnu.

Manje se govori o tome šta su obaveze trgovaca i davaoca usluga u oblasti poslovanja koje uključuje različite vrste kartica i rukovanje podacima vezanim za kartice i njihove korisnike. Ovo je veoma bitno i zbog očekivanog rasta Internet i uopšte elektronske trgovine. Zato ću se u ovom tekstu osvrnuti na jednu organizaciju i skup standarda relevantnih za tu oblast.

Kao odgovor na rastući broj zloupotreba (engl. fraud) u poslovanju na Internetu i u poslovanju kreditnim i sličnim karticama uopšte, pet vodećih svetskih brendova u oblasti kreditnih kartica: Visa, Master Card, American Express, Discover i JCB International, pre nekoliko godina su odlučili da donesu bezbednosni standard koji bi pomogao da se pronevere i zloupotrebe smanje. Time bi se smanjile i štete koje trpe vlasnici kartica, ali i trgovci, izdavaoci kartica, banke itd. To je standard: PCI DSS (Payment Card Industry Data Security Standard). Ovaj standard nadzire i razvija PCI Security Standards Council (PCI SSC) - nezavisno telo osnovano od stane pomenutih pet kartičnih brendova kao osnivača.

Pored PCI DSS standarda, ovo telo održava i razvija još dva standarda:
PCI PTS - PCI PIN Transaction Security Standard (ranije PIN Entry Device standard)
PCI PA-DSS Payment Application Data Security Standard
kao i prateću dokumentaciju.

IC521934.png

PCI DSS standard je namenjen svakom entitetu koji čuva, procesira ili prenosi podatke o kreditnim karticama (engl. cardholder data). Standard pokriva sve komponente sistema koje su uključene ili povezane na sisteme koji barataju podacima o kreditnim karticama u trgovini ili okruženje davaoca usluga u oblasti rada sa podacima o karticama.

U suštini, kompanije koje posluju sa karticama, a koje prođu ovu sertifikaciju, imaju značajno povoljnije uslove u pogledu provizija i načina refundiranja transakcija koje su posledica pronevera i zloupotreba.Sa druge strane, provođenje svih zahtevanih mera, značajno povećava sigurnost tj. smanjuje rizik od nastanka zloupotreba i neželjenih događaja.

Svi trgovci (engl. merchants), davaoci usluga (engl. service providers), procesori plaćanja (engl. payment processors), ali i banke i druge finansijske ogranizacije bi trebali ozbiljno da povedu računa o usklađenosti (engl. compliance) sa ovim standardom.

PCI DSS standard obuhvata 12 zahteva svrstanih u 6 grupa. To su:

PCI_DSS_Requirements_1.png

Pokušaj prevoda na srpski bi bio:

• Izgrađivanje i održavanje sigurne mreže
  Zahtev 1: Instalacija i održavanje konfiguracije firewall-a radi zaštite podataka.
  Zahtev 2: Ne koristiti podrazumevane (default) vrednosti za lozinke i druge sigurnosne parametre.

• Zaštita podataka vlasnika platnih kartica
  Zahtev 3: Zaštita uskladištenih podataka.
  Zahtev 4: Šifrovanje podataka o karticama i drugih osetljivih informacija koje se prenose preko javnih mreža.

• Održavanje programa za rukovanje ranjivostima
  Zahtev 5: Korišćenje i redovno ažuriranje antivirusnog softvera.
  Zahtev 6: Razvoj i održavanje sigurnih sistema i aplikacija.

• Implementacija strogih mera kontrole pristupa
  Zahtev 7: Ograničenje pristupa podacima po poslovnom principu "treba da zna".
  Zahtev 8: Dodela jedinstvene identifikacije svakom licu koje ima pristup računaru.
  Zahtev 9: Ograničavanje fizičkog pristupa podacima o vlasnicima kartica.

• Redovni nadzor i ispitivanje mreže
  Zahtev 10: Praćenje i nadgledanje svih pristupa mrežnim resursima i podacima o vlasnicima kartica.
  Zahtev 11: Redovno proveravanje sigurnosnih sistema i procesa.

• Održavanje politike sigurnosti informacija
  Zahtev 12: Održavanje politike i polisa koje se odnose na sigurnost informacija.


Navedeni zahtevi su dalje detaljno opisani i razrađeni u standardu u dodatnim tačkama, a prateći dokumenti vrlo detaljno objašnjavaju namere i duh standarda, daju preporuke kojim načinima, merama, aktivnostima, sredstvima i procesima mogu da se implementiraju i ispune zahtevi.

Trenutno važeća verzija standarda je 2.0, koja je doneta u oktobru 2010. Većina dokumenata je raspoloživa za slobodno preuzimanje sa Web sajta PCI DSS.

Doneti su i programi i definisane procedure sertifikacije kompanija koje se bave trgovinom (bilo klasičnom ili preko Interneta) korišćenjem kreditnih kartica. Brendovi kreditnih kartica su definisali klasifikaciju nivoa za trgovce i davaoce usluga, koji prvenstveno zavise od godišnjeg obima transakcija (ali i od nekih drugih parametara, uključujući i istoriju i eventualne prethodne zloupotrebe), kao i zahteve i procedure za sertifikaciju.

Zavisno od nivoa, postupak sertifikacije može obuhvatiti samocenjivanje ili ocenjivanje od strane kvalifikovanog ocenjivača uz skeniranje (proveru sigurnosti) od strane kvalifikovanog davaoca ove vrste usluga.

Standard je vrlo detaljan i definiše neke stvari do najsitnijh detalja. Takođe, u procedurama za testiranje i sertifikaciju, preporuke ocenjivačima su vrlo jasno specificirane, tako da nema previše mesta za improvizaciju i gledanje kroz prste. Procesi sertifikovanja ocenjivača, održavanja statusa i slično, su takođe veoma striktni i jasni.

Postoji nekoliko zvanja u ovom procesu, od kojih su verovatno najvažniji:logo.gif

• PCI kvalifikovani ocenjivač sigurnosti - PCI Qualified Security Assessor (PCI QSA)
• PCI interni ocenjivač sigurnosti- PCI Internal Security Assessor (PCI ISA)
• PCI kvalifikovani ocenjivači za aplikacije - Payment Application Qualified Security Assessor (PA-QSA)
• PCI ovlašteni davalac usluge skeniranja - Approved Scanning Vendor (PCI ASV)

Procesi i detalji dobijanja ovih zvanja su detaljno opisani na web sajtu PCI SSC.

Ne znam kakvo je stanje usaglašenosti sa PCI DSS i drugim standardima iz ove oblasti u Srbiji i uopšteno u regionu jugoistočne Evrope. Zaista, bilo bi interesantno znati kako stvari stoje kod trgovaca i davaoca usluga, kao i onih koji razvijaju aplikacije koje rade sa podacima sa kartica. Koliko njih je prošlo PCI DSS ili PA-DSS procenu?

Aktuelni događaji govore da se o tome ne brine koliko treba. Jedna od stvari koju o kojoj treba misliti u vreme razvoja Internet i elektronske trgovine je i ova tema.

O ovome se može mnogo više reći, ali za sada toliko. 

 

Napomena - autor ovog teksta je:

PCI ISA (Payment Card Industry Internal Security Assessor) sertifikovan od strane PCI Security Standards Council
Certified ISMS Lead Auditor - ISO / IEC 27001 Information Security Management System

 



Komentari (100)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

expolicajac expolicajac 22:34 16.12.2011

Idi uplaši me

Uplaši me da propagiraš DSS stranku. Baš sam večeras glup
Dragan Pleskonjic Dragan Pleskonjic 22:36 16.12.2011

Re: Idi uplaši me

To se zove "perceptivna udešenost".
expolicajac expolicajac 22:38 16.12.2011

Re: Idi uplaši me

To se zove "perceptivna udešenost".

Znam da je trol ali mi došlo onako iz duše, ako mi panduri imamo dušu
KRALJMAJMUNA KRALJMAJMUNA 22:51 16.12.2011

In

U Srbiji, a sigurno i u Istočnoj Evropi, treba pripaziti i na insajdere. Iz banaka, firmi koje se bave CMS-om, autorizacijom, card processingom, održavanjem&monitoringom ATM&POS uređaja,... Ovakvi ljudi ili grupe se povremeno otkrivaju ali to ne izlazi u javnost zbog čuvanja rejtinga firmi gde se oni otkriju. Zato i sad nema mnogi čvrstih informacija. Niko ne voli da mu se ovakve provale dese.
Dragan Pleskonjic Dragan Pleskonjic 23:12 16.12.2011

Re: In

KRALJMAJMUNA
U Srbiji, a sigurno i u Istočnoj Evropi, treba pripaziti i na insajdere.


Slažem se, stim da ta opasnost postoji i u drugim zemljama sveta.
maksa83 maksa83 08:02 17.12.2011

Re: In

U Srbiji, a sigurno i u Istočnoj Evropi, treba pripaziti i na insajdere. Iz banaka,

Pre nekoliko godina je bio incident sa Komercijalnom, kad je jedan zaposleno odlučio da kontigent kartica koji je stigao za korisnike ne prosledi njima nego zaređa po bankomatima i radnjama, čak ih je i (korisnike) ispotpisivao da su ih primili. O ovome se mislim nigde nije pisalo (naravno kad je para-državna banka i može da "naruči tišinu" ), ne bih imao pojma da jedna moja drugarica nije bila među oštećenima.

Meni je impresivno ovo što se desilo Save Mart lancu pre nedelju dana - neko ih je haknuo tako što je stavio dodatnu ploču sa elektronikom na self checkout POS i pokupio brojeve sa kartica:

Hackers hit supermarket self-checkout lanes, steal money from shoppers

Olga Medenica Olga Medenica 12:49 19.12.2011

Re: In (sajderi)

Pre nekoliko nedelja prijatelj mi je poslao ovaj link na neciji blog, post pod naslovom "dno dna":

http://shtikla.blogspot.com/2011/10/sticajem-raznih-okolnosti-neko-vreme.html]

Izvinjavam se ali mi iz nekog razloga ne radi "link" funkcija, ako neko moze da popravi ili me bar posavetuje kako da to korigiram bicu zahvalna.
apacherosepeacock apacherosepeacock 14:18 19.12.2011

Re: In

Olga Medenica
Pre nekoliko nedelja prijatelj mi je poslao ovaj link na neciji blog, post pod naslovom "dno dna":

[url=http://shtikla.blogspot.com/2011/10/sticajem-raznih-okolnosti-neko-vreme.html][/url]


Izvinjavam se ali mi iz nekog razloga ne radi "link" funkcija, ako neko moze da popravi ili me bar posavetuje kako da to korigiram bicu zahvalna.


[url]
http://shtikla.blogspot.com/2011/10/sticajem-raznih-okolnosti-neko-vreme.html]
[/url]
Iza url obrisi samo znak jednakosti = koje ne znam iz kojih razloga ubacuje i stavi zatvorenu zagradu ] i link radi.

Dakle samo na pocetku treba da stoji [url]http uporedi svoj link sa onim koji sam ja stavila a koji radi.

Vidim mnogi se zbune misleci da im ne radi link funkcija, radi ali je prekopira ubacivanjem tako sto dodaje znak jednakosti a brise zatvorenu zagradu.

Olga Medenica Olga Medenica 16:13 19.12.2011

Re: In

Hvala!
vladaxy vladaxy 00:15 17.12.2011

Teorije zavere

Zanimljivo je kako su se u jako kratkom roku javili razni teoretičari zavere, tipa banke uzimaju pare pa ih "obrću", iznose iz zemlje da spašavaju svoje matične banke itd. Svima su jednostavna objašnjenja neverovatnija od ovih teorija zavere.

Druga stvar dosta ljudi ne doživljava blokiranje kartica kao potez kojim im banka čuva pare na računu, nego da ih banka maltretira. Kao da je bankama u interesu da im se ime razvlači po novinama i da maltretiraju svoje klijente.

I treća stvar, kartica je samo sredstvo uz pomoć koje se vrše plaćanja sa računa. Ako se blokira kartica, pare uvek mogu da se dignu na šalteru tj. ne iznose se iz zemlje niti se obrću (niti se spašava evro ).

Ovakve situacije su do sada bile daleko od nas (npr. onaj zemljak iz Amerike koji je ukrao 130.000.000 brojeva kartica) pa naše banke verovatno nisu imale (a mislim da ga neće ni imati) krizni plan i delovale su malo haotičnije nego što bi trebale.
Dragan Pleskonjic Dragan Pleskonjic 00:31 17.12.2011

Re: Teorije zavere

Da, teorije zavere dobro uspevaju u Srbiji.

Inače sada kada banke snose troškove preko 15.000 dinara, za slučaj zloupotrebe (kao što ste pomenuli u komentaru na drugom postu), one su posebno motivisane da se zaštite. Time indirektno štite i korisnike kartica.

U radu sa karticama ima mnogo učesnika i banka je samo jedan činilac.

Ako je verovati listu Danas, citiram:

Podaci iscurili preko sistema na OMV pumpama?

Beograd - Više od 28.000 viza i masterkard kartica korišćenih na pumpama OMV-a, u poslednjih nekoliko dana banke su blokirale zbog sumnje da su kompromitovane. Sumnja se da su one mogle da postanu predmet zloupotreba organizovane kriminalne grupe, koja poslednjih nekoliko nedelja pravi falsifikovane kopije kartica do čijih su podataka došli i njima kupuje robu i usluge u inostranstvu, najčešće u Americi i na Filipinima, saznaje Danas.


jesen92 jesen92 01:56 17.12.2011

Re: Teorije zavere

Sumnja se da su one mogle da postanu predmet zloupotreba organizovane kriminalne grupe, koja poslednjih nekoliko nedelja pravi falsifikovane kopije kartica do čijih su podataka došli i njima kupuje robu i usluge u inostranstvu, najčešće u Americi i na Filipinima, saznaje Danas.

...sin mojih prijateja pre jedno mesec dana bio na sluzbenom putu u Rumuniji i platio hotel karticom(ne znam kojom ) i kada se vratio konstatovao da mu na racunu nema 3000 dolara...ispostavilo se da su pare "skinute" u Kanadi...ne znam detalje ali slucaj je resen pozitivno...pare su vracene, kartica zamenjena...
dragan7557 dragan7557 10:11 17.12.2011

Re: Teorije zavere

vladaxy 00:15 17.12.2011 / *novo
Teorije zavere
Zanimljivo je kako su se u jako kratkom roku javili razni teoretičari zavere, tipa banke uzimaju pare pa ih "obrću", iznose iz zemlje da spašavaju svoje matične banke itd. Svima su jednostavna objašnjenja neverovatnija od ovih teorija zavere.

Nsarski kao teoreticar zavere?

Konacno otkriven!


cerski
dragan7557 dragan7557 10:15 17.12.2011

Re: Teorije zavere

Dragan Pleskonjic 00:31 17.12.2011
Re: Teorije zavere
Da, teorije zavere dobro uspevaju u Srbiji.

Narocito, komunisticka pa onda petooktobarska Zavera olicena u Ugovoru sa Narodom. Najuspesnija do sada.

Inace Srbija je poznata kao drzava bez zavera, a razna politicka ubistva su posledica neizmirenih kockarskih dugova?

cerski
Dragan Pleskonjic Dragan Pleskonjic 10:24 17.12.2011

Re: Teorije zavere

dragan7557
cerski


Namera ovog teksta je da opišem aspekt jednog skupa standarda i njihov mogući pozitivni uticaj na umanjenje rizika u poslovanju karticama. Smatram da je korisno da ljudi koji rade sa karticima to znaju, pogotovu trgovci, davaoci usluga, banke, ali i mi obični korisnici kartica. Ne bih išao u širenje teme izvan toga, zaista.
expolicajac expolicajac 10:26 17.12.2011

Re: Teorije zavere

Namera ovog teksta je da opišem aspekt jednog skupa standarda i njihov mogući pozitivni uticaj na umanjenje rizika u poslovanju karticama. Smatram da je korisno da ljudi koji rade sa karticima to znaju, pogotovu trgovci, davaoci usluga, banke, ali i mi obični korisnici kartica. Ne bih išao u širenje teme izvan toga, zaista.

Dragane oprosti Cerskom, danas je subota nema trening a nekako mora da se ubije vreme.
8c_competizione 8c_competizione 12:26 17.12.2011

Re: Teorije zavere

Druga stvar dosta ljudi ne doživljava blokiranje kartica kao potez kojim im banka čuva pare na računu, nego da ih banka maltretira. Kao da je bankama u interesu da im se ime razvlači po novinama i da maltretiraju svoje klijente.


matori, problem nastaje ako ti se desi da nemash kesha recimo u petak uvece, kada je taj tvoj lepi shalter vec dobrano zatvoren josh u 15:00 ili negde i u 13:00. E onda ti ostaje da se sushish do ponedeljka najranije 10:00!

tu je Kvaka 22 matori!

plus, ne bi bilo prvi put da se tudje pare uzimaju, koriste jedno par dana i onda vrate.
8c_competizione 8c_competizione 12:29 17.12.2011

Re: Teorije zavere

ah da ne zaboravim:

ukoliko je vec doshlo do propusta u banci/...., shto nemci kazhu bilo bi kulantno od banke da organizuje otvorene shaltere van normalnog radnog vremena i vikendom dok se situacija ne ispravi.
vladaxy vladaxy 12:44 17.12.2011

Re: Teorije zavere

8c_competizione
matori, problem nastaje ako ti se desi da nemash kesha recimo u petak uvece, kada je taj tvoj lepi shalter vec dobrano zatvoren josh u 15:00 ili negde i u 13:00. E onda ti ostaje da se sushish do ponedeljka najranije 10:00!

tu je Kvaka 22 matori!

plus, ne bi bilo prvi put da se tudje pare uzimaju, koriste jedno par dana i onda vrate.


Šta bi radio da te odžepare u petak uveče, i da ne možeš da dobiješ nijedan dokument u SUP-u do ponedeljka? A ne možeš da ih oglasiš nevažećim, jer ni službeni list ne rad. A za to vreme neko sa tvojim dokumentima završava neke poslove.

Šta bi radio da ti neko ukrade ključ (karticu) od kuće (račun) u kojoj držiš vredne stvari (novac)? Da li bi rekao ma nema veze imam rezervni ključ, ili bi odmah promenio bravu?

Velika je neprijatnost ostati bez dinara i sa blokiranom karticom, meni se to desilo za rođendan. Odlepio sam, morao sam da jurcam pare po komšiluku. Ali opet mi je zgodnije da u džepu nosim parče plastike, nego svežanj novca.
dragan7557 dragan7557 13:12 17.12.2011

Re: Teorije zavere

Dragan Pleskonjic
dragan7557
cerski


Namera ovog teksta je da opišem aspekt jednog skupa standarda i njihov mogući pozitivni uticaj na umanjenje rizika u poslovanju karticama. Smatram da je korisno da ljudi koji rade sa karticima to znaju, pogotovu trgovci, davaoci usluga, banke, ali i mi obični korisnici kartica. Ne bih išao u širenje teme izvan toga, zaista.

Ama razumem te i podrzavam u svemu recenom, ali ipak ovaj sumnjicav pristup teorijai zavere mi nekako postaje odvratan

Pogledaj naslov na b92, i pisanje: cela vlada znala za predstojece u bistvo Djindjica. Pa ako to nije zavera ja ne znam sta je.

A za tekst svakako preporuka.

cerski
dragan7557 dragan7557 13:15 17.12.2011

Re: Teorije zavere

expolicajac
Namera ovog teksta je da opišem aspekt jednog skupa standarda i njihov mogući pozitivni uticaj na umanjenje rizika u poslovanju karticama. Smatram da je korisno da ljudi koji rade sa karticima to znaju, pogotovu trgovci, davaoci usluga, banke, ali i mi obični korisnici kartica. Ne bih išao u širenje teme izvan toga, zaista.

Dragane oprosti Cerskom, danas je subota nema trening a nekako mora da se ubije vreme.

Pa danas ide na jahanje a juce sam zbilja preforsirao trening. Otkud znas?

cerski
Dragan Pleskonjic Dragan Pleskonjic 13:50 17.12.2011

Re: Teorije zavere

dragan7557
A za tekst svakako preporuka.

cerski


Hvala za preporuku.
lgnd33 lgnd33 23:35 17.12.2011

Re: Teorije zavere

vladaxy

Druga stvar dosta ljudi ne doživljava blokiranje kartica kao potez kojim im banka čuva pare na računu, nego da ih banka maltretira. Kao da je bankama u interesu da im se ime razvlači po novinama i da maltretiraju svoje klijente.


Vidis, ovde mislim da nisi u pravu - da sam ja izgubio karticu, da je meni ukraden novac, novcanik ili dokumenta, mogao bih da razumem da mi banka cini uslugu time sto mi blokira racun.
Posto je propust u *njihovom* sistemu, onda je mera blokade njihov nacin da *sebe* zastite a mene ipak i samo maltretiraju uz drskost i izgovor da je to u mom interesu.
lgnd33 lgnd33 23:45 17.12.2011

Re: Teorije zavere

vladaxy

Šta bi radio da te odžepare u petak uveče, i da ne možeš da dobiješ nijedan dokument u SUP-u do ponedeljka? A ne možeš da ih oglasiš nevažećim, jer ni službeni list ne rad. A za to vreme neko sa tvojim dokumentima završava neke poslove.


Odlican primer... U tvom primeru su *mene* opljackali, pa su sve posledice moj problem, a ne bancin... Isto tako, ako opljackaju banku (fizicki, virtuelno), onda je to bancin problem, pa su i posledice njen problem...

U situaciji koju imamo danas, banka ima situaciju (meni je kartica je u novcaniku, nije ukradena, nije skimovana, nije koriscena na sumnjivim mestima), pa stav koji se plasira u tome kako banka mene stiti a ne maltretira me je cisto izvrtanje teza...

uzged, cini se da ti radis za neku od banaka?
angie01 angie01 00:36 17.12.2011

da ti ka'em,

nista plastika-samo suske!
Dragan Pleskonjic Dragan Pleskonjic 00:41 17.12.2011

Re: da ti ka'em,

angie01
nista plastika-samo suske!


Ne može online da se plaća šuškama, a i nije prikladno nositi u mnogim prilikama. Plus, zapadni svet se "izvitoperio", ako neko izvadi više od 50 funti u gotovom u Londonu gledaju ga čudno.
angie01 angie01 00:51 17.12.2011

Re: da ti ka'em,

to online-ne vidis ni sta si pazario, pre nego di stigne posiljka, a onda se iznenadis, aprijatno!

zapadni svet se izvitoperio,


a kako bi te drugacije terali da kupujes vise nego sto mozes,sto nisi planirao i sto ti ne treba pa dozvoljeni misnusi, kamate, odrzavanje,...banke imaju najbolje sluzbe za marketing i razvoj,...a i velike kuce koje se bave prodajom su sve prepisale, a internet trgovina je samo deo strategije, gde te tera da trosis, a da nisi ni izasao iz kuce,...samo zamisli koliko matoraca ugodno zavaljenih kod kuce, uredno kupuje na taj nacin, pa soping kanali, gde ti za svaki artikal, koji navodno nigde ne mozes da kupis, ni po takvoj ceni, za 5 minuta odvrti neku cetvorocifrenu brojuku kupovine, pa ti ako si se i dvoumio, mislis da si najevci magarac sto propustas tu neverovatnu stvar, kad ju je onoliko pametnih vec narucilo!
Dragan Pleskonjic Dragan Pleskonjic 01:05 17.12.2011

Re: da ti ka'em,

angie01
a kako bi te drugacije terali da kupujes vise nego sto mozes,sto nisi planirao i sto ti ne treba


Potrošačko društvo. Treba se odupreti porivu za kupovinu nepotrebnih stvari.

Nego, baš me zanima da li će se javiti neko od trgovaca ili servis provajdera iz Srbije da kaže: "Evo ja sam PCI DSS komplajant".
Bojana Maljević Bojana Maljević 03:48 17.12.2011

Re: da ti ka'em,

Potrošačko društvo. Treba se odupreti porivu za kupovinu nepotrebnih stvari.

Apsolutno. Ja nikada nisam imala nijednu kreditnu karticu. Zapravo nisam imala nikakvu karticu nikada. Strah me je od te plastike. Međutim, objasne meni da je nužno da imam makar jednu, za ne daj bože. Pristanem, ali na debitnu, kreditna nije dolazila u obzir. I to baš vizu. I to mi baš ukinuše sad. Neću ponovo ni da je vadim. Jedino ću da proverim da li mi je neko skinuo pare. Užas jedan. Mrzim kartice. Hvala Dragane na svim informacijama.
expolicajac expolicajac 07:22 17.12.2011

Re: da ti ka'em,

nista plastika-samo suske!


Jest da nije ovakva situacija

Dragan Pleskonjic Dragan Pleskonjic 10:15 17.12.2011

Re: da ti ka'em,

Kartice će nastaviti da se koriste bez obzira da li će neki broj ljudi odlučiti da ostane pri gotovom novcu i/ili odustane od korištenja kartica. Koliko god problema nosile sa sobom, kartice imaju i brojne prednosti, pa su zato i nastale.

Incidentni koji se dešavaju neće dovesti do toga da kartice nestanu. Da parafraziram nečiju izjavu vezanu za sasvim drugu vrstu problema: "ploviti se mora".

Tekst koji sam napisao je u svrhu informisanja da postoje načini i metode da se rizik u radu sa karticama značajno smanji. O tome se razmišlja i na tome radi na raznim mestima i raznim nivoima. U svetu se na tome puno radi, kod nas očito je sve u začetku.

Naravno, nijednim standardom i usaglašavanjem sa njim neće u potpunosti rešiti problemi, jer su praksa i hakeri (skoro) uvek ispred standarda. Međutim, pomoći će da se rizik smanji u značajnoj meri i bezbednost poveća, ukoliko se svi učesnici u lancu ponašaju u skladu sa tim principima i preporukama.

dragan7557 dragan7557 10:19 17.12.2011

Re: da ti ka'em,

Dragan Pleskonjic
angie01
nista plastika-samo suske!


Ne može online da se plaća šuškama, a i nije prikladno nositi u mnogim prilikama. Plus, zapadni svet se izvitoperio, ako neko izvadi više od 50 funti u gotovom u Londonu gledaju ga čudno.

U EU je malo bolje blesavo i odbijajuci te gledaju sa novcanicom od € 100 dok Novcanicu od € 500 obicni smrtnici i ne vidjaju, a ako je slucajno vide "uzivo" preplase se.

cerski
dragan7557 dragan7557 10:21 17.12.2011

Re: da ti ka'em,

expolicajac
nista plastika-samo suske!


Jest da nije ovakva situacija


Ovo je bas u skladu sa tvojim najnovijim blogom.


cerski
8c_competizione 8c_competizione 12:27 17.12.2011

Re: da ti ka'em,

ma znaju odmah da je ili albanski narko diler ili ruski naftni mogul.

lepo je to objasnio onomad onaj njihov gradonacelnik Boris
legalizacijabg legalizacijabg 03:52 17.12.2011

ljudski faktor

U principu sve se na kraju svodi na ljudski faktor, i firewall i antivirus.Pada mi na pamet robotizovani odgovorni/odgovorna,netalentovani,koji slepo prate proceduru,ne zapazajuci psiholoske nijanse i trikove talentovanog hakera.Hocu da kazem,ko zna koliko je puta sistem elektronskog bankarstva bio kompromitovan, a da mi to nikad necemo saznati.

Vojislav Stojković Vojislav Stojković 08:34 17.12.2011

Pamet u glavu, novčanik u džep

Ne znam tačno koje su prednosti plaćanja karticama, ali znam više slabih strana:

a) Banke koriste novac klijenata i naplaćuju im proviziju, umesto da im plaćaju kamatu.
b) Novac klijenata nije bezbedan.
c) Klijenti se svojevoljno odriču dela svojih sloboda i predaju ih bankama.
d) Plaćanje karticom je gubitak vremena.
e) Lakše se troši teško zarađen novac.
d) Banke uzimaju proviziju i trgovcima (davaocima usluga). Npr. na milion dinara ostvarenog prometa karticama prodavnice, restorani etc. plaćaju oko 20.000,00 din na ime provizije bankama. Nije teško izračunati koliko je to na godišnjem nivou u jednoj omanjoj prodavnici, gradu ili državi.

Bilo bi jako pametno da se svi zahvale bankarskim lihvarima i vrate im njihove kartice.
myredneckself myredneckself 08:53 17.12.2011

Ehh...ljudska prava

Takođe se kaže da je evropska centrala kompanije Viza obavestila je da su podaci iz tih kartica ugroženi i da bi moglo da dođe do zloupotrebe.

Mi smo porodično prilično "staromodni" u pogledu kartica, odnosno usađeno nam je u glavu još od predaka, da se prostiremo uglavnom prema guberu.
Ovo iz citata me je samo asociralo da promislim koliko je kod nas zaštita podataka u velikim sistemima, u najmanju ruku kompromitantna.
margos margos 10:12 17.12.2011

Re: Ehh...ljudska prava

I ja sam staromodna, volim šuške, ali sam prošlog meseca bila primorana da otvaram neke račune, vadim kartice, potpisujem desetine papira (a šašava, potpisujem se punim imenom i prezimenom, pa nebrojeno puta tako, na desetine mesta). Za otvaranje svakog računa, u proseku, potrošila sam po jedan sat, a svaku tu plastiku sam čekala danima.

Ipak, ima situacija u kojima bez kartice jednostavno ne može da se izvrši plaćanje, posebno na internetu, prema inostranstvu.
blind.willie blind.willie 11:03 17.12.2011

Re: Pamet u glavu, novčanik u džep

Vojislav Stojković
Ne znam tačno koje su prednosti plaćanja karticama, ali znam više slabih strana:

a) Banke koriste novac klijenata i naplaćuju im proviziju, umesto da im plaćaju kamatu.


Banke koriste novac klijenata nevezano za to da li imas kartice ili ne. Provizija se placa ali samo ako se pare podizu na bankomatu druge banke.

b) Novac klijenata nije bezbedan.


Uvek postoji opcija da se pare podignu cim legne plata ... pa onda u slamaricu :)

c) Klijenti se svojevoljno odriču dela svojih sloboda i predaju ih bankama.


Ovo ne razumem ...

d) Plaćanje karticom je gubitak vremena.


???????? Tek ovo ne razumem

e) Lakše se troši teško zarađen novac.


Za to je dovoljno to sto ti banka daje mogucnost da udjes u dozvoljeni minus, da koristis kreditne kartice i da trosis pare koje nemas ... Ali postoji i nesto sto se zove samokontrola

d) Banke uzimaju proviziju i trgovcima (davaocima usluga). Npr. na milion dinara ostvarenog prometa karticama prodavnice, restorani etc. plaćaju oko 20.000,00 din na ime provizije bankama. Nije teško izračunati koliko je to na godišnjem nivou u jednoj omanjoj prodavnici, gradu ili državi.


Tacno, banke uzimaju proviziju trgovciuma za svaku transakciju na POS terminalu. Ali samo trgovcima, ugovorom definisanu proviziju. Klijent ne placa proviziju prilikom placanja karticom na POS terminalu.
Ako se desi da trgovac podigne cenu zato sto placate karticom nemojte da pristajete vec se obratite banci, takav trgovac ostaje bez POS termnala.

Bilo bi jako pametno da se svi zahvale bankarskim lihvarima i vrate im njihove kartice.


Zamislio ... i nije da ne zvuci dobro

Dragan Pleskonjic Dragan Pleskonjic 13:35 17.12.2011

Re: Pamet u glavu, novčanik u džep

Mogli bi da prestanemo da koristimo kartice, mogli bi da ukinemo i novac i da se vratimo na robnu razmenu. Muđutim, ne znam da li bi to rešilo probleme i učinilo nas srećnijim. Filozofsko pitanje...

No... kartice će i dalje postojati, elektronska i Internet trgovina će rasti, kao i njen udeo u ukupnoj trgovini. Zato je potrebno da se razviju i primene adekvatni mehanizmi zaštite da bi bilo što manje zloupotreba.

Kao što ljudi nisu prestali da voze automobile zbog velikog broja udesa, tako neće prestati ni da koriste kartice zbog mogućih zloupotreba. I ne bi ni trebalo.

Mislim da je važno da:
- postoje mehanizmi zaštite
- da se standardi i pravila implementiraju i sprovode
- da postoji svest i znanje o bezbednom ponašanju
- da postoji regulativa i da se sprovodi
- da postoji kontrola

Drugim rečima: zbog pretopostavljenog rasta elektronske trgovine, treba razvijiti ambijent i ekosistem koji to podržava. Ekonomske koristi su brojne i odražavaju se, između ostalog, kroz porast GDP i broja radnih mesta.
Hansel Hansel 10:29 17.12.2011

PIN-ovi

Dragane, tekst je prilično stručan i ja nisam uspeo da razumem kako se ovakve prevare uopšte mogu da realizuju (u smislu svog finala - skidanja novca s računa) - naime, da li te baze u sebi imaju memorisane PIN-ove i ako imaju - zašto? Da bi se eventualno dokazivala ispravnost transakcije ili postoji neki drugi razlog? A ako PIN-ovi nisu ostali u bazi, na koji su se način ostali podaci mogli zloupotrebiti? (Koliko shvatam, ovde nije reč o "špijuniranju" korisnika na samom bankomatu?)

Da proširimo malo priču - ima li ikakvog racionalnog objašnjenja zašto se validacioni kôd nalazi na samim karticama? Ako neko, recimo, izgubi karticu ili na bilo koji način postane dostupna nekome (dovoljno je da taj neko samo jednom prepiše podatke), može da karticu zloupotrebi makar preko interneta. Pre neku godinu, kada sam uzeo prvu karticu samo za plaćanje preko interneta, traženi su mi pri verifikaciji i podaci kojih nema na kartici. U poslednjih nekoliko plaćanja (a za ove dve godine mislim da sam imao svega 6-7 transakcija) traženi su mi samo podaci s kartice i validacioni kôd (koji se na kartici vidi)!? Kakva je to sigurnost? A vidim da kôd postoji i na Visa electron kartici koju za internet plaćanja nisam koristio.

Još nešto, što već nema veze sa elektronikom - prodavci, koliko vidim, ne traže ličnu kartu od korisnika kartica koji slip svojeručno potpisuju (tamo gde nema validacije PIN-om) - neke sam pitao kako znaju da sam ja vlasnik kartice (ni potpise ne upoređuju, ako bi to bial ikakva garancija) - odgovoriše da im je rečeno da ne traže lične karte...
Goran Vučković Goran Vučković 11:12 17.12.2011

Re: PIN-ovi

Ako dođeš do broja kartice (onaj veliki broj od 16 cifara) i datuma isteka (ok, i imena korisnika na kartici) onda možeš na priličnom broju mesta na Internetu praviti transakcije. Na nekim mestima traže i onaj 3-cifreni broj sa poleđine kartice (takozvani CVV2 (Mastercard) ili CVC (VISA)) a na nekim mestima postoji i takozvani "Verified by Visa" / "Mastercard secure code" (tehnički poznat i kao 3D Secure - redirekcija na sajt banke izdavaoca gde se unosi lozinka registrovana uz karticu) - ali to nije svuda primenjeno, pa i dalje postoje trgovci koji to nemaju podržano.

Ovi gore podaci se nalaze na magnetskim tragovima kartice i u čipu (bez CVV2/CVC, koji je samo odštampan), pa ako neko "ovlada" trgovačkim terminalom, može ih skupljati i zloupotrebiti.

E sad, trgovcu će banka uzeti pare nazad kada korisnik kartice prijavi neodobrenu transakciju, trgovac može predati policiji adrese na koje je roba isporučena (osim ako nije digitalna) itd - ali taj proces prilično košta. Takođe, vrlo lako je utvrditi, prostom analizom "puta" kartica koje su zloupotrebljene, gde je nastao problem - i obično u trgovačkim ugovorima slede gadne kazne ili sudsko razvaljivanje takvog trgovca. Ali i pored toga je šteta već napravljena, a Strongi besan ide da razvaljuje inventar po svojoj ekspozituri.

Inače razlog zašto se uz potpis ne traži uvek i lična karta je komercijalne prirode - balans između komocije kupovine i zaštite - što veća komocija, to više kupovina. Zaštita i način verifikacije PIN-ova je posebna priča i treba jedno par ovakvih blogova da se opiše - u najkraćem, kod čip kartica PIN je kao lozinka na računaru - aktivira karticu. Kod kartica sa magnetskim tragom, PIN se mehanizmom zvanim "zonska enkripcija" (postoji jedan ceo debeli ISO standard u vezi toga) šalje do banke izdavaoca u šifrovanoj formi, da bi ga banka proverila. Razlog zašto je validacioni kod (CVV2/CVN) odštampan na kartici je isti kao i razlog zašto je broj kartice odštampan na kartici - da bi ga korisnik znao. Trik je da je on odštampan na kartici a nema ga na magnetskom tragu / u čipu. Na magnetskom tragu / u čipu se nalazi "prvi" CVV (zato se CVV2 zove CVV2) - koji je služio za centralizovanu kontrolu podataka pre nego što su manje-više sve banke postale online sa sistemima poput VISA i Mastercard. Na primer, '80. i '90. godina, ako ste YU VISA karticom kupovali u Parizu na trgovačkom terminalu, prvu proveru podataka sa kartice je radilo VISA čvorište u Londonu, koje je imalo kriptografske ključeve kojima su generisani CVV-ovi na magnetskom tragu, sračunati na bazi broja kartice, datuma isteka i još par podataka, kao i dnevni limit za "stand-in" autorizaciju za sve kartice određenog tipa.

Sve u svemu, bezbednosne procedure sistema kartica su sveobuhvatne i veoma inteligentne, balansirajući uvek komociju kupovine (koja znači obim poslovanja za mreže poput VISA I Mastercard) i mere bezbednosti, kao i balansirajući tehničku zaštitu sa pravnom i onom na bazi osiguranja kod osiguravajućih društava. Ali to ne znači da su stvari poput ove koja se desila nemoguće - samo znači da će verovatno biti gadan sudski obračun VISA i OMV, ako OMV odmah ne plati štetu (ili šta već bude kada likovi poput Plekija budu utvrdili šta se desilo, kada urade forenziku napada na bezbednost mreže).
Dragan Pleskonjic Dragan Pleskonjic 11:15 17.12.2011

Re: PIN-ovi

Da odgovorim na prvi deo pitanja.
Hansel
PIN-ovi

Na slici ispod je prikazano šta kaže PCI DSS u pogledu čuvanja podataka. Podaci koji se NE smeju čuvati su:
- Full Magnetic Stripe Data
- CAV2/CVC2/CVV2/CID
- PIN/PIN Block

Ako neko čuva te podatke, onda nije usaglašen sa standardom i pada na auditu. E sad, da li se standard poštuje i kako se vrši self-assessment (za one koji su do nivoa kod kojih ne zahteva dolazak QSA), veliko je pitanje.

Hansel Hansel 14:18 17.12.2011

Re: PIN-ovi

Da, Dragane, hvala, ja sam zato i pitao šta su mogli da neovlašćeno preuzmu iz baze a da na osnovu tih podataka mogu da izvedu elektronske krađe s računa pojedinaca.
Goran Vučković
Razlog zašto je validacioni kod (CVV2/CVN) odštampan na kartici je isti kao i razlog zašto je broj kartice odštampan na kartici - da bi ga korisnik znao.

Eh, pa naravno da korisnik to mora da zna, ali on zna i PIN, pa se PIN ne štampa na kartici.

Šalim se, ali zašto je problem da se i kôd korisniku dâ odvojeno kao i PIN?

Naravno da razumem da je trgovcima lakše u svakom smislu da ne proveravaju LK, ali na taj način ipak ugrožavaju neku sigurnost novca na računu. No, valjda nema mnogo takvih zloupotreba, a kad se dese ne znam da li se rešavaju u korist oštećenog, jer on može da prekasno ustanovi da mu je kartica nestala...
Goran Vučković Goran Vučković 17:08 17.12.2011

Re: PIN-ovi

Šalim se, ali zašto je problem da se i kôd korisniku dâ odvojeno kao i PIN?

Smisao zaštite, računam - taj kod se unosi i prenosi suviše slabo zaštićen (u odnosu na PIN) da bi se korisnik kartice terao da ga pamti napamet. Ali zato nije na prednjoj strani, nego na poleđini kartice... slučajno?
Hansel Hansel 17:25 17.12.2011

Re: PIN-ovi

Smisao zaštite, računam - taj kod se unosi i prenosi suviše slabo zaštićen (u odnosu na PIN) da bi se korisnik kartice terao da ga pamti napamet.

Heh, ako je rezon taj i ako sam te dobro razumeo, to je kao kada ljudi kažu na komentare o štetnosti pušenja npr. ovo: "Pih, čime nas sve truju, šta ima veze"... Povećanje rizika se ignoriše pošto već postoje drugi rizici?!
Ali zato nije na prednjoj strani, nego na poleđini kartice... slučajno?

Ma, to je jak momenat, nema šta!

Uzgred rečeno, na internet debitnim karticama, bar na mojoj - kôd je na licu kartice.
Goran Vučković Goran Vučković 17:26 17.12.2011

Re: PIN-ovi

Ma, to je jak momenat, nema šta!

U Srbiji ima manje kamera, pa nije toliko bitno, računam.
Hansel Hansel 00:06 18.12.2011

Re: PIN-ovi

Goran Vučković
U Srbiji ima manje kamera, pa nije toliko bitno, računam.

Ja taj detalj nisam ni uzimao u obzir, priznajem, zadržao sam se na mogućem gubitku ili "vršljanju" neovlašćenih osoba po stanu... ali, kako god da okreneš, nema razloga da taj kôd bude na kartici (uporan sam ja ). Jeste da narod već ludi od PIN-ova, LIB-ova, mPIN-ova, ali...
Goran Vučković Goran Vučković 00:11 18.12.2011

Re: PIN-ovi

Ja taj detalj nisam ni uzimao u obzir, priznajem, zadržao sam se na mogućem gubitku ili "vršljanju" neovlašćenih osoba po stanu... ali, kako god da okreneš, nema razloga da taj kôd bude na kartici (uporan sam ja ). Jeste da narod već ludi od PIN-ova, LIB-ova, mPIN-ova, ali...

Pa nema smisla, Ivice - CVV2 se daje preko telefona kad se kupuje preko kol centra, piše po formularima koji se šalju poštom (MOTO - mail order/telephone order) - koja je svrha da ga pamtiš napamet? To što ti hoćeš je 3D Secure lozinka - koristiš li 3D Secure (Verified by VISA / Mastercard SecureCode)?
Dragan Pleskonjic Dragan Pleskonjic 11:19 18.12.2011

Re: PIN-ovi

Da dodam ilustracije procesa: Authorization, Clearing and Settlement

Goran Vučković Goran Vučković 11:43 18.12.2011

Re: PIN-ovi

Dragan Pleskonjic
Da dodam ilustracije procesa: Authorization, Clearing and Settlement


Za one od vas koji se pitaju zašto se sve ne završi u prvom koraku - tj. u trenutku autorizacije - odgovor je: iz istorijskih razloga.

Nekad je prvi proces bio poziv telefonom, trgovac zove svoju banku, ona preko računarske mreže sistema kartica (to je ono što se u VISA sistemu zove "BASE I" ) kontaktira banku izdavaoca (ili čvorište mreže, u slučaju da banka izdavaoca nije povezana) i traži ovlašćenje. Ovo se radilo samo za veće transakcije, a manje (ispod takozvanog podnog limita (floor limit), različitog za različite vrste trgovaca) su prihvatane bez ovoga - a banka izdavaoca je garantovala isplatu, a naplaćivala minuse na računima kao i za izdate čekove bez pokrića.

Kartice su se stavljale u spravu zvanu "imprinter" (poznatu i kao cik-cak mašina), preko njih račun u tri kopije na samokopirajućem papiru - i onda se pokretnim delom sprave prevlačilo preko računa i time izbočeni brojevi i slova na kartici ostavljali trag na papiru (ušteda i povećanje tačnosti u odnosu na prepisivanje svih podataka sa kartice). Onda se upisivao iznos i tri kopije davale korisniku kartice na potpis (autorizacija se radila otprilike u ovom trenutku, neposredno pre potpisa). Jednu kopiju je zadržavao korisnik kartice, jednu trgovac, a treća je išla banci trgovca, u paketu za ceo dan, uz sumarni listić istog formata. E ovaj poslednji paket je razlog za "clearing and settlement" fazu. Podaci uneti sa papirića u računare u banci su, u posebnom formatu datoteke, slati mreži (ovo se u VISA sistemu zove BASE II). Tamo bi svi fajlovi ulazili u process obračuna (koliko koja banka duguje kojoj) i na bazi toga bi se slali konačni obračunski fajlovi svakoj banci, sa pojedinačnim listama zaduženja za transakcije izdatih kartica i odobrenja za transakcije primljenih kartica, sa totalima po trgovcima, obračunatim provizijama za sve učesnike, itd.

Sada je sve naravno elektronski (u stvari ko zna... početkom prošle decenije sam još viđao imprintere po nekim radnjama), ali je sistem i dalje ostao dvofazni.


EDIT: Njegovo veličanstvo imprinter:


Hansel Hansel 12:43 18.12.2011

Re: PIN-ovi

Goran Vučković
Pa nema smisla, Ivice - CVV2 se daje preko telefona kad se kupuje preko kol centra, piše po formularima koji se šalju poštom (MOTO - mail order/telephone order) - koja je svrha da ga pamtiš napamet? To što ti hoćeš je 3D Secure lozinka - koristiš li 3D Secure (Verified by VISA / Mastercard SecureCode)?

Meni se sve više čini da pričamo o različitim stvarima. Ja htedoh samo da kažem da ne vidim da validacioni kôd ima smisla ako se nalazi tamo gde i broj kartice, a obe stvari su potrebne (i često samo one) za obavljanje transakcije, stvarno ne kapiram čemu, izuzev ako nije jedino ovo tvoje tumačenje s kamerom kada ti brojevi nisu sa iste strane kartice.
Goran Vučković Goran Vučković 14:53 18.12.2011

Re: PIN-ovi

Ja htedoh samo da kažem da ne vidim da validacioni kôd ima smisla ako se nalazi tamo gde i broj kartice, a obe stvari su potrebne (i često samo one) za obavljanje transakcije, stvarno ne kapiram čemu,

Stvar je u dizajnu bezbednosnih procedura. Trik nije u tome što je validacioni kod odštampan na kartici, nego što ga nema na magnetskom tragu. Nije lako zapamtiti 16+3+4 broja (bez snimanja kamerom), a ima masa slučajeva kada firme pokupe tvoje podatke sa magnetske trake (iako je po novim (10-15 godina starim) PCI-DSS pravilima zabranjeno snimati ceo sadržaj), pa onda je povremeno dolazilo do provala i krađe - i onda je dodat 3-cifreni broj koji otežava zloupotrebu takvih podataka. CVV2 je od kada je uveden zabranjen za bilo kakvo snimanje, a čak ni banka izdavalac ga ne snima - nego se može sračunati (tj. verifikovati) na bazi podataka sa kartice i kriptografskih ključeva (ja sam čak u svoje vreme implementirao algoritam za onaj drugi CVV na kartici za prvu privatnu seriju kartica Komercijalne banke) - tako da se statistički otežava zloupotreba velikog broja kartica. A terati mušterije da pamte kôd koji se telefonom izgovara operateru i zapisuje na narudžbenicama koje se šalju poštom - jednostavno nema smisla.
Hansel Hansel 15:13 18.12.2011

Re: PIN-ovi

A terati mušterije da pamte kôd koji se telefonom izgovara operateru i zapisuje na narudžbenicama koje se šalju poštom - jednostavno nema smisla.

Ali, čemu onda on uopšte služi?! Diktiraš broj kartice, diktiraš kôd - pa, to je kao da aakrtica u stvari ima 19 cifara!?. (A i zašto bi morao da ga pamtiš - možeš da ga čuvaš, samo na drugom mestu, možeš u svom računaru da ga čuvaš u nekom zaključanom folderu... - govorim o internet plaćanjima, nisam ni znao da se bilo kome to diktira u nekim varijantama.)

Ovo da PIN i кôd nisu na magnetnom zapisu ili čipu razumeo sam još ranije.
Goran Vučković Goran Vučković 15:18 18.12.2011

Re: PIN-ovi


Ali, čemu onda on uopšte služi?! Diktiraš broj kartice, diktiraš kôd - pa, to je kao da aakrtica u stvari ima 19 cifara!?. (A i zašto bi morao da ga pamtiš - možeš da ga čuvaš, samo na drugom mestu, možeš u svom računaru da ga čuvaš u nekom zaključanom folderu... - govorim o internet plaćanjima, nisam ni znao da se bilo kome to diktira u nekim varijantama.)

Pa napisao sam gore - da bi se lako kupovalo preko telefona podacima od kojih nisu svi zapisani na magnetskom tragu kartice.
milos3858 milos3858 16:31 18.12.2011

Re: PIN-ovi

Goran Vučković
Pa napisao sam gore - da bi se lako kupovalo preko telefona podacima od kojih nisu svi zapisani na magnetskom tragu kartice.

Drugim recima, ako neko dodje do magnetnog zapisa kartice (postoje razradjeni metodi) a ne i do same kartice, taj nece biti u mogucnosti da tu informaciju koristi tamo gde je CVV2 neophodan za autorizaciju (internet, telefon).
Hansel Hansel 17:37 18.12.2011

Re: PIN-ovi

Ama, ljudi, TO razumem - ali, ja govorim o internet plaćanjima: kod tih plaćanja ne igra ulogu magnetni zapis, već najčešće samo podaci koji su odštampani na kartici. A ako hoćete da transakcije učinite sigurnijim (za slučaj gubitka kartice ili uvida neovlašćene osobe), poput te varijante da ono što je na kartici odštampano ne postoji u magnetnom zapisu, kao što nema PIN-a ni u magnetnom zapisu ni na kartici, valjda je logično da fizički razdvojite grupe podataka koji služe za autorizaciju plaćanja?! Koga mrzi da pamti validacioni kôd ili da ga drži na drugom mestu, neka mu banka dozvoli da ga upiše flomasterom na karticu!...
milos3858 milos3858 18:39 18.12.2011

Re: PIN-ovi

Hansel
Ama, ljudi, TO razumem - ali, ja govorim o internet plaćanjima: kod tih plaćanja ne igra ulogu magnetni zapis, već najčešće samo podaci koji su odštampani na kartici. A ako hoćete da transakcije učinite sigurnijim (za slučaj gubitka kartice ili uvida neovlašćene osobe), poput te varijante da ono što je na kartici odštampano ne postoji u magnetnom zapisu, kao što nema PIN-a ni u magnetnom zapisu ni na kartici, valjda je logično da fizički razdvojite grupe podataka koji služe za autorizaciju plaćanja?! Koga mrzi da pamti validacioni kôd ili da ga drži na drugom mestu, neka mu banka dozvoli da ga upiše flomasterom na karticu!...


Uloga CVV2 je da osigura da kada kupac i kartica nisu u prisustvu prodavca, izdavac kartice zna da je kod kupovine kartica bila prisutna, ili da je kupac imao pristup toj kartici. Kao sto Vucko rece, postoje drugi metodi na internetu koji se dodatno koriste za validaciju da vlasnik kartice zaista i koristi tu karticu i oni ukljucuju PIN validaciju. Problem danas je da PIN validacija preko interneta jos uvek nema veliku rasprotranjenost i da neko ko ima informacije za tudje kartice lako to moze da zloupotrebi.
milos3858 milos3858 18:49 18.12.2011

Re: PIN-ovi

Koga mrzi da pamti validacioni kôd ili da ga drži na drugom mestu, neka mu banka dozvoli da ga upiše flomasterom na karticu!.


Isto tako ako si zabrinut da nego moze da zloupotrebi CVV2, mozes slobodno da ga na neki nacin napravis necitljivim na kartici. Kod vecine kartica, posle duze upotrebe, ta informacija se jednostavno izlize i postaje necitljiva.
Goran Vučković Goran Vučković 19:04 18.12.2011

Re: PIN-ovi


Uloga CVV2 je da osigura da kada kupac i kartica nisu u prisustvu prodavca, izdavac kartice zna da je kod kupovine kartica bila prisutna, ili da je kupac imao pristup toj kartici. Kao sto Vucko rece, postoje drugi metodi na internetu koji se dodatno koriste za validaciju da vlasnik kartice zaista i koristi tu karticu i oni ukljucuju PIN validaciju. Problem danas je da PIN validacija preko interneta jos uvek nema veliku rasprotranjenost i da neko ko ima informacije za tudje kartice lako to moze da zloupotrebi.

Nema potrebe za validacijom PIN preko Interneta. Za internet je izmišljen zaseban sistem (3D Secure), gde na sajtu banke postaviš lozinku i onda te sajt banke pita tri slova na zadatim pozicijama iz lozinke itd - da ne opisujem sada celu šemu. Znači PIN je za bankomate i (uz karticu sa čipom) trgovačke terminale, CVV2 dodatak za telefonsku i poštansku (MOTO) kupovinu, a 3D Secure za Internet kupovinu.

EDIT: pogrešno sam se izrazio, izvinjavam se - PIN "otključava" čip na kartici. Da bi se koristio na Internetu potrebno bi bilo da se kartica stavi u čitač i da joj se na bezbedan način dostavi PIN. Ovo za sada nema previše smisla jer (u najmanju ruku) podrazumeva da uz računar korisnik kartice ima i takav čitač, što trenutno nema smisla ekonomski - zato je izmišljan taj dodatni sistem, 3D Secure.
Hansel Hansel 22:45 18.12.2011

Re: PIN-ovi

Pa, nije to ni tako nemoguće, kad pomislim na svoje jednogodišnje iskustvo s plaćanjima korišćenjem e-bankinga za koja sam bio ovlašćen - imao sam čitač kartica, karticu na kojoj sam sâm kreirao PIN i to je radilo baš fino...

Sad nešto razmišljam i kapiram da si verovatno dobro zaključio:
Goran Vučković
To što ti hoćeš je 3D Secure lozinka - koristiš li 3D Secure (Verified by VISA / Mastercard SecureCode)?

Jeste, izgleda da to tražim! Šta ću kad vam se ne razumem toliko u terminologiju...
Al' kapiram bar principe, je l' da?

Hvala na strpljenju!
Goran Vučković Goran Vučković 23:11 18.12.2011

Re: PIN-ovi

Pa, nije to ni tako nemoguće, kad pomislim na svoje jednogodišnje iskustvo s plaćanjima korišćenjem e-bankinga za koja sam bio ovlašćen - imao sam čitač kartica, karticu na kojoj sam sâm kreirao PIN i to je radilo baš fino...

Malo drugačije to izgleda iz ugla sistema kao što je VISA i Mastercard. Poslovni sistemi su izuzetno inertni, nije jeftino menjati tehnologiju i npr. ovaj CVV2 je bio relativno nova stvar sredinom 90-tih kada sam ja ušao u tu kartičarsku priču u Srbiji, a evo tek poslednjih godinu-dve neke od tih stvari postaju obavezne, i to na jedvite jade. Npr. u Britaniji tek od prošle ili pretprošle godine Mastercard ne prima više transakcije Maestro karticama bez CVV2. 3D Secure je već desetak godina u igri i uvođenje se ubrzalo tek kada su zbog ovih PCI-DSS standarda dobar deo obrade kartičnih transakcija preuzele specijalizovane procesorske firme (umesto da se na trgovačkim sajtovima unose podaci o karticama), pa su ove novije uradile odmah i 3D Secure. Inercija je ogromna a velike mreže ne mogu sebi da dopuste da pogase sve te trgovce koji nemaju sve te bezbednosne standarde - jer sebi sasecaju promet. Sve se radi nekim ekonomskim mamcima - niže provizije ako koristiš 3D Secure, zaštićen si od gubitka u slučaju prevare ako ga ugradiš, čak i ako se banka izdavalac kartice nije uključila (tj. na nju pada teret jer si se ti kao trgovac uključio a ona nije) - i tako, vazdan nekih ekonomskih klackalica za povećanje nivoa bezbednosti.
mikimedic mikimedic 09:18 19.12.2011

Re: PIN-ovi


Uloga CVV2 je da osigura da kada kupac i kartica nisu u prisustvu prodavca, izdavac kartice zna da je kod kupovine kartica bila prisutna, ili da je kupac imao pristup toj kartici. Kao sto Vucko rece, postoje drugi metodi na internetu koji se dodatno koriste za validaciju da vlasnik kartice zaista i koristi tu karticu i oni ukljucuju PIN validaciju. Problem danas je da PIN validacija preko interneta jos uvek nema veliku rasprotranjenost i da neko ko ima informacije za tudje kartice lako to moze da zloupotrebi.


Nema potrebe za validacijom PIN preko Interneta. Za internet je izmišljen zaseban sistem (3D Secure), gde na sajtu banke postaviš lozinku i onda te sajt banke pita tri slova na zadatim pozicijama iz lozinke itd - da ne opisujem sada celu šemu. Znači PIN je za bankomate i (uz karticu sa čipom) trgovačke terminale, CVV2 dodatak za telefonsku i poštansku (MOTO) kupovinu, a 3D Secure za Internet kupovinu.


nece biti vucko - mozda bi tako trebalo da bude (bar sto se tice online kupovine i koriscenja 3d), ali u praksi nije tako. dare to say da 80% sajtova ne trazi 3d secure, vec je sasvim dovoljan CVV2 (koji je doduse na vecini sajtova skriven ili bar tako izgleda).

ako je rationale za cvv2 jedino da se utvrdi da korisnik poseduje karticu u trenutku kupovine, mislim da je to totalni idiotizam.

hanselovo pitanje je potpuno logicno, a cini mi se da je ostalo bez odgovora.

sta sprecava bilo kog prodavca koji je dosao u fizicki dodir sa karticom da zapamti CVV2 - 3 cifre koje ce svakako videti kada proverava potpis kod kartica koje nemaju chip (i pls nemoj mi reci da ce se to srediti kad sve kartice budu imale chip:) i to kasnije iskoristi na internetu (ajde mora da zna i billing address ali ne verujem da je i to preveliki problem saznati, a nisam siguran da se i proverava).

jos mi je ludje tvoje objasnjenje da se CVV2 koristi za telefonske narudzbine, i MOTO. to prvi put cujem. sta tek onda sprecava prodavca da iskoristi tvoju karticu na nekom drugom sajtu?

moje iskustvo sa bankama, ako ne gresim, je da savetuju da se cvv2 kao ni pin nikad nikome ne daju. utoliko je logicnije hanselovo pitanje - sta ce cvv2 na kartici.

jos nismo utvrdili koja konsekvenca proizilazi ako cvv2 nije na kartici vec kao i pin poslat separately?

ludilo mi je toliko insistirati na tajnosti pina, a cvv2 drzati wide open kad se na 80% sajtova mogu izvrsiti kupovine samo na osnovu broja kartice i cvv2.

a sto se tice 3d secure, najefektnije resenje koje sam video ima citibank u rusiji (mozda i u drugim zeljama) - po unosenju 3d passworda na merchant sajtu, nova privremena sifra se salje u sms poruci vlasniku kartice, i tek po unosu te privremene sifre transakcija se odobrava.
Hansel Hansel 09:47 19.12.2011

Re: PIN-ovi

Miki, zahvaljujem, najozbiljnije! Već sam pomislio bio da mora da su počeli da otkazuju moji čipovi i magnetni zapisi!
mikimedic mikimedic 09:58 19.12.2011

Re: PIN-ovi

Miki, zahvaljujem, najozbiljnije! Već sam pomislio bio da mora da su počeli da otkazuju moji čipovi i magnetni zapisi!


Goran Vučković Goran Vučković 10:27 19.12.2011

Re: PIN-ovi

Ćao Miki, lepo je što si nam se vratio
nece biti vucko - mozda bi tako trebalo da bude (bar sto se tice online kupovine i koriscenja 3d), ali u praksi nije tako. dare to say da 80% sajtova ne trazi 3d secure, vec je sasvim dovoljan CVV2 (koji je doduse na vecini sajtova skriven ili bar tako izgleda).

Nisam siguran čak ni da li je CVV2 svuda obavezan - na nekim US sajtovima sam kupovao samo sa brojem kartice i datumom isteka ne tako davno. "Trebalo bi da bude" je prava reč - to je plan i strategija, ali traje jako puno dok se ostvari - to sam pominjao u jednom od skorijih komentara.
hanselovo pitanje je potpuno logicno, a cini mi se da je ostalo bez odgovora.

Misliš "dovoljan broj puta"
sta sprecava bilo kog prodavca koji je dosao u fizicki dodir sa karticom da zapamti CVV2 - 3 cifre koje ce svakako videti kada proverava potpis kod kartica koje nemaju chip (i pls nemoj mi reci da ce se to srediti kad sve kartice budu imale chip:) i to kasnije iskoristi na internetu (ajde mora da zna i billing address ali ne verujem da je i to preveliki problem saznati, a nisam siguran da se i proverava).

Ništa, osim trgovačkog ugovora i kazni za prekršaj istog. I ne kažem ti da će se srediti kada kartice imaju čip, čip ne rešava MOTO i E-commerce transakcije. Billing adresa se proverava (to je takozvani AVS - address verification system) ali na način koji verovatno ne očekuješ (nisam siguran šta je od ovoga javna informacija pa bih preskočio opis).

jos mi je ludje tvoje objasnjenje da se CVV2 koristi za telefonske narudzbine, i MOTO. to prvi put cujem. sta tek onda sprecava prodavca da iskoristi tvoju karticu na nekom drugom sajtu?

MOTO znači Mail Order / Telephone Order - tj. poštanske i telefonske narudžbine. Prodavca sprečava činjenica da je bio jedno od skorih mesta prodaje (pa je sumnjiv) i trgovački ugovor (plus naravno opšte zakonodavstvo, božje zapovesti (ne kradi!) i slično).


moje iskustvo sa bankama, ako ne gresim, je da savetuju da se cvv2 kao ni pin nikad nikome ne daju. utoliko je logicnije hanselovo pitanje - sta ce cvv2 na kartici.

To samo znači da nisi kupovao preko telefona, ili bar ne skorije. Jedna od stvari koje daješ trgovcu preko telefona je CVV2/CVC.

jos nismo utvrdili koja konsekvenca proizilazi ako cvv2 nije na kartici vec kao i pin poslat separately?

Poskupljuje se proces, komplikuje život korisniku kartice - uzaludno.

ludilo mi je toliko insistirati na tajnosti pina, a cvv2 drzati wide open kad se na 80% sajtova mogu izvrsiti kupovine samo na osnovu broja kartice i cvv2.

Nije ludilo nego prosto nisi u toku sa tehnologijom platnih kartica. PIN ti omogućava podizanje keša iz bankomata i transakcije bez potpisa (čiju važnost, kao pravnik, sigurno znaš) i zahteva maksimalnu bezbednost. CVV2 je samo alatka za statističko smanjivanje mogućnosti masovne zloupotrebe, pošto kada kradeš robu umesto para, stvar bude malo drugačija igra.

a sto se tice 3d secure, najefektnije resenje koje sam video ima citibank u rusiji (mozda i u drugim zeljama) - po unosenju 3d passworda na merchant sajtu, nova privremena sifra se salje u sms poruci vlasniku kartice, i tek po unosu te privremene sifre transakcija se odobrava.

Sistemi poput VISA i Mastercard kroje svoju bezbednost na bazi stepena rizika na konkretnom tržištu i onoga što Goca Čomić u jednom drugom kontekstu zove "nasleđena prava" - zato u US na primer jako jako teško ide uvođenje kartica sa čipom i zato su oni likovi iz square nabili kapitalizaciju na preko milijardu dolara sa onom zvrčkom od čitača magnetskog traga koji se ušteka umesto džeka za slušalice u iPhone. Prosto - ekonomija upravlja dizajnom bezbednosti. Znaš, ja sam imao kao mladi napaljeni informatičar potpuno drugačiju ideju o dizajnu bezbednosti dok nisam igrom srećnog slučaja počeo da radim na sistemima za kartice (VISA konkretno) i doživeo pravo prosvetljenje, krajnje korisno iskustvo
mikimedic mikimedic 10:50 19.12.2011

Re: PIN-ovi

Ćao Miki, lepo je što si nam se vratio




Nisam siguran čak ni da li je CVV2 svuda obavezan - na nekim US sajtovima sam kupovao samo sa brojem kartice i datumom isteka ne tako davno. "Trebalo bi da bude" je prava reč - to je plan i strategija, ali traje jako puno dok se ostvari - to sam pominjao u jednom od skorijih komentara.


ok, fair enough. moje iskustvo je da jeste obavezan ali i dovoljan. rekao bih again - 80% sajtova ti trazi cvv2. ostalih 20% ti trazi i 3d secure. ako neko ima samo broj kartice, uglavnom si bezbedan. medjutim, ako ima i cvv2 i hoce da te opeljesi, moze to da uradi samo tako...

hanselovo pitanje, koliko ja kapiram je - zasto mu olaksavati posao da te opeljesi?

Misliš "dovoljan broj puta"


hm, aj videcemo dalje

Ništa, osim trgovačkog ugovora i kazni za prekršaj istog.


zasto mu onda olaksavati posao sa highly visible cvv2 brojem?

i kog tacno prodavca ces pokusati da kaznis - ako sam koristio danas karticu na deset mesta, i kod svake transakcije davao prodavcu karticu u ruke, kako bi proverio moj potpis?

MOTO znači Mail Order / Telephone Order - tj. poštanske i telefonske narudžbine. Prodavca sprečava činjenica da je bio jedno od skorih mesta prodaje (pa je sumnjiv) i trgovački ugovor (plus naravno opšte zakonodavstvo, božje zapovesti (ne kradi!) i slično).


ma daj - pa sta ako genije prodavac iz rusije iskoristi tvoju karticu posle sest meseci da kupi nesto ortaku u kaliforniji? bas ces ustanoviti po 'skorijoj' transakciji ko je to tacno bio.

a sto se tice opsteg zakonodavstva i bozjih zapovesti, one valjda vaze i za atm transakcije - sto onda ne pisemo i pin broj pored cvv2 na samoj kartici?



tako bi ljudi najlakse sve popamtili, zar ne?

Nije ludilo nego prosto nisi u toku sa tehnologijom platnih kartica. PIN ti omogućava podizanje keša iz bankomata i transakcije bez potpisa (čiju važnost, kao pravnik, sigurno znaš) i zahteva maksimalnu bezbednost. CVV2 je samo alatka za statističko smanjivanje mogućnosti masovne zloupotrebe, pošto kada kradeš robu umesto para, stvar bude malo drugačija igra.


hm dobro - nisam u toku sa tehnologijom koja ce da obrazlozi zasto je potrebno cash transakcije stititi pinom, a robne transakcije cvv2 brojem na izvolte.

aj jos jednom - pitanje je od samo jedne reci: ZASTO?

zasto se kradja para stiti pinom, a kradja robe samo statisticki?



koja je tacno razlika u kradji robe od kradje para?

ovo poslednje te ozbiljno pitam.

krajnje korisno iskustvo


to ti verujem


Dragan Pleskonjic Dragan Pleskonjic 11:55 19.12.2011

Re: PIN-ovi

Goran Vučković
a na nekim mestima postoji i takozvani "Verified by Visa" / "Mastercard secure code" (tehnički poznat i kao 3D Secure - redirekcija na sajt banke izdavaoca gde se unosi lozinka registrovana uz karticu) - ali to nije svuda primenjeno, pa i dalje postoje trgovci koji to nemaju podržano.


Da ilustrujem Verified by Visa:



Uočite ličnu poruku koju Vi definišete i koja je dodatni mehanizam zaštite.

P.S. Ova ilustracija je sa Visa sajta i linka koji je iznad. Tamo je i opis.
Hansel Hansel 12:58 19.12.2011

Re: PIN-ovi

Vučko
hanselovo pitanje je potpuno logicno, a cini mi se da je ostalo bez odgovora.

Misliš "dovoljan broj puta"

'O'š da kažeš da mi pitanje nije logično?!
Dragan Pleskonjic Dragan Pleskonjic 13:10 19.12.2011

Re: PIN-ovi

Moj savet za Internet kupovine je:
• Uzmite posebnu karticu za tu namenu (recimo Visa Virtuon u Srbiji)
• Držite na njoj minimum novca, ako nameravate da kupite nešto više, dopunite je neposredno pre kupovine.

Ovo zato što mnogi online trgovci nemaju "Verified by Visa" / "Mastercard secure code" (tehnički poznat i kao 3D Secure), kao i zbog drugih (brojnih) rizika.

Drugi rizici jesu:
• Nepostojanje pravilnog rukovanja podacima o kreditnim karticama kod mnogih online prodavnica, a možda i kod procesora, acquirera i slično. Lanac ima više učesnika (prikazano na jednoj slici u ranijem komentaru).
• Nepoštovanje standarda i/ili neusaglašenost sa njima (i sve vezano za to).
• Mogućnost insajderskih zloupotreba kod online (i elektronske) trgovine.
• Situacije da su hakeri često ispred standarda i metoda zaštite u svojoj inventivnosti i idejama. Sve što čovek osmisli, čovek može i da provali.
• Lenjost, inercija, socijalni inženjering itd.
• Itd.

O ovim stvarima možda u nekom narednom blogu.

Rizik će se time umanjiti, ali postulat je:

• Rizik uvek postoji i nijedan sistem nije 100% siguran.

Verovatno nikad neće ni biti. Ali "ploviti se mora..." :)
mikimedic mikimedic 13:39 19.12.2011

Re: PIN-ovi

Moj savet za Internet kupovine je:
• Uzmite posebnu karticu za tu namenu (recimo Visa Virtuon u Srbiji)
• Držite na njoj minimum novca, ako nameravate da kupite nešto više, dopunite je neposredno pre kupovine.


dragane,

ovde nije u pitanju internet kupovina koju vrsi vlasnik kartice.

hansel i ja pricamo o obicnoj kupovini u maksiju, kada kartica dolazi u ruke kasirke koja moze zapamtiti jednostavan cvv2 broj, i iskoristiti karticu da kupi nesto preko interneta (jer kako rekosmo 80% sajtova ne trazi 3d secure).

ili kada karticu damo konobaru u ruke pa je on za sankom provuce kroz aparat i (mozda) prepise i ceo broj kartice, i cvv2.

ili kada odemo u rentakar agenciju gde mi iskopiraju uredno i prednju i zadnju stranu kartice.

pitanje: zasto izdavalac kartice stavlja cvv2 na karticu, i time potencijalno omogucava svakoj susi koja dodje u dodir sa njom da je zloupotrebi?

i pls, nije odgovor - 'ne koristite rentakar agencije ili idite u drugi restoran'.


Goran Vučković Goran Vučković 13:58 19.12.2011

Re: PIN-ovi


pitanje: zasto izdavalac kartice stavlja cvv2 na karticu, i time potencijalno omogucava svakoj susi koja dodje u dodir sa njom da je zloupotrebi?

Samo da se izvinim - u haosu sam sa poslom, tako da ne stižem da se javim. U suštini odgovor je da previše važnosti daješ CVV2 kodu - napisao sam gore čemu on služi i šta mu je domet.

I kratak odgovor na ono drugo pitanje: kada naručiš robu od trgovca, ona mora da ide negde itd, onda moraš posle da je prodaš, itd - mnogo drugačije nego pare. A i trgovci su svesni rizika, a rizik je opet statistički i postoje i mehanizmi osiguranja kod osiguravajućih društava (do duše mreže uglavnom osiguravaju korisnika kartice a manje trgovca) i slično - znači nije samo tehnički nego i pravni i aktuarski pogled na celu priču.
Dragan Pleskonjic Dragan Pleskonjic 14:11 19.12.2011

Re: PIN-ovi

mikimedic
ovde nije u pitanju internet kupovina koju vrsi vlasnik kartice.

hansel i ja pricamo o obicnoj kupovini u maksiju, kada kartica dolazi u ruke kasirke koja moze zapamtiti jednostavan cvv2 broj, i iskoristiti karticu da kupi nesto preko interneta (jer kako rekosmo 80% sajtova ne trazi 3d secure).

ili kada karticu damo konobaru u ruke pa je on za sankom provuce kroz aparat i (mozda) prepise i ceo broj kartice, i cvv2.

ili kada odemo u rentakar agenciju gde mi iskopiraju uredno i prednju i zadnju stranu kartice.

pitanje: zasto izdavalac kartice stavlja cvv2 na karticu, i time potencijalno omogucava svakoj susi koja dodje u dodir sa njom da je zloupotrebi?

i pls, nije odgovor - 'ne koristite rentakar agencije ili idite u drugi restoran'.




Da se malo našalim: pitajte izdavaoca kartice zašto stavlja CVV2 na karticu. Možda oni imaju zadovoljavajuće objašnjenje. Ja nemam nažalost.

Dalje:
Kada kupujete preko Interneta, da li Vam traže još neke podatke, osim onih koji se nalaze na kartici (adresa i slično, hint: AVS - address verification system)?

Postoje posebne "credit card fraud detection" tehnike, koje se razvijaju između ostalog i zbog ovoga, recimo "Credit Card Fraud Detection using Hidden Markov Model". Znam da postoje jer su srodne sa "intrusion detection and prevention" tehnikama za koje se pomalo zanimam, uz primenu veštačke inteligencije i nerualnih mreža. Google ima dosta o tome, ako ukucate te ključne reči, a možete dodati i moje ime.

Ako kartica ima čip, onda je malo teže da se iskopira. Ipak, moram da kažem: ne dajite karticu nikome ko je nosi van vašeg vidnog polja. Ako to radi, ne ustručavajte da ga upozorite, a možda i prijavite.

Što se tiče rentakara, ne znam šta da Vam kažem - odgovor ste ograničili.
Ako imaju sve Vaše podatke (kućnu adresu, kopirane obe strane kartice itd, a odu na sajt koji nema 3D Secure i slične zaštite, onda zavisite o njihovom poštenju i merama bezbednosti). Tu na scenu stupaju standardi, pravne metode i slično.

P.S. Mislim da od banke možete da tražite da određena kartica ne može da se koristi na Internetu ili generalno da se ne koristi kod "card not present" transakcija. Dakle, onda imate kartice za korišćenje u fizičkim prodavnicama i na bankomatima, a drugu ili druge kartice za online i ostale "card not present" kupovine. Može da bude malo neudobno, ali smanjuje rizik.
mikimedic mikimedic 14:34 19.12.2011

Re: PIN-ovi

Samo da se izvinim - u haosu sam sa poslom, tako da ne stižem da se javim. U suštini odgovor je da previše važnosti daješ CVV2 kodu - napisao sam gore čemu on služi i šta mu je domet.


ok, moguce. ali i dalje nema odgovora na pitanje ZASTO se on stavlja na karticu, koliko god da je nevazan...

evo ti jos jedan primer - pre mesec dana sam ja kupio nesto u radnji u americi - iako smo se i ja i kartica nalazili sa druge strane okeana. kupio sam tako sto je osoba koju poznajem licno otisla u radnju i zamolila prodavca da kupi neku stvar i naplati na moju karticu sa cvv2 brojem.

u pitanju je bila osoba koju poznajem i od koje sam ja to trazio.

prodaja je obavljena bez trunke problema.

ko mi garantuje da neka deseta osoba koja je dosla u posed broja moje kartice i cvv2 broja nece uraditi istu stvar?

i to ti je odogovr i za drugi deo tvog komentara. zasto uopste ostavljati mogucnost makar i malog rizika, ako je uklanjanjem cvv2 broja sa kartice moguce i taj mali rizik svesti na minimalni?

ili da preformulisemo pitanje: sta se DOBIJA time sto se stavi CVV2 na karticu? (sem lakseg pamcenja broja...).

iako si iz te branse ja mislim da ti, naprotiv, iz nekog razloga premalo dajes znacaja ovoj mogucnosti zloupotrebe.
mikimedic mikimedic 14:42 19.12.2011

Re: PIN-ovi


Da se malo našalim: pitajte izdavaoca kartice zašto stavlja CVV2 na karticu. Možda oni imaju zadovoljavajuće objašnjenje. Ja nemam nažalost.


ok, onda se razumemo. ja trazim to objasnjenje od vucka, posto mu je to struka, ali suvisli odgovor za sad nisam dobio.

Dalje:
Kada kupujete preko Interneta, da li Vam traže još neke podatke, osim onih koji se nalaze na kartici (adresa i slično, hint: AVS - address verification system)?


da, rekoh da se trazi i billing address ali da to nije nepremostiva prepreka. na nekoliko sajtova sam uneo pogresan billing address (nenamerno) i prodaja je obavljena bez problema.

kao i primer koji sam gore naveo - bilo koja osoba moze da ode u neku radnju gde ce naci kooperativnog trgovca koji ce prodati robu na osnovu broja kartice i cvv2 broja.

Ako kartica ima čip, onda je malo teže da se iskopira. Ipak, moram da kažem: ne dajite karticu nikome ko je nosi van vašeg vidnog polja. Ako to radi, ne ustručavajte da ga upozorite, a možda i prijavite.


easier said than done. bas kao sto i sam kazes za rentakar (mozemo na Ti dragane, nadam se

P.S. Mislim da od banke možete da tražite da određena kartica ne može da se koristi na Internetu ili generalno da se ne koristi kod "card not present" transakcija. Dakle, onda imate kartice za korišćenje u fizičkim prodavnicama i na bankomatima, a drugu ili druge kartice za online i ostale "card not present" kupovine. Može da bude malo neudobno, ali smanjuje rizik.


da, to je tacno slazem se.

hvala na konstruktivnoj diskusiji.
Hansel Hansel 14:47 19.12.2011

Re: PIN-ovi

Dragan Pleskonjic
Da se malo našalim: pitajte izdavaoca kartice zašto stavlja CVV2 na karticu. Možda oni imaju zadovoljavajuće objašnjenje. Ja nemam nažalost.

I pitaćemo!

Ali, ja sam govorio i o isključivo internet karticama (čije su nam prednosti jasne). Nije problem što ne znaš-te nego što nas ovaj Vučko dezavuiše!
Dragan Pleskonjic Dragan Pleskonjic 14:48 19.12.2011

Re: PIN-ovi

mikimedic
mozemo na Ti dragane, nadam se

Naravno.
Goran Vučković Goran Vučković 15:26 19.12.2011

Re: PIN-ovi

Uh evo još jednom iako ne znam šta ću pre:

ko mi garantuje da neka deseta osoba koja je dosla u posed broja moje kartice i cvv2 broja nece uraditi istu stvar?

Niko ti ne garantuje da neka deseta osoba koja je došla u posed broja tvoje kartice i CVV2 neće uraditi istu stvar. Niko ni ne pokušava. Ono što treba da znaš o takvim slučajevima je da možeš da reklamiraš takvu transakciju (izvode računa koji imaju kartice treba redovno gledati, jer je period u kome se garantuje povraćaj para nešto više od mesec dana - kod VISA sistema 42 dana, posle se ide na dobru volju) i da trgovac ima male šanse da zadrži pare, upravo zbog osobina i nebezbednosti procesa plaćanja.

Znači problem nije tvoj kao korisnika kartice, nego pre svega na strani trgovca, a trgovci se snalaze kako znaju onda - da ne elaboriram sada razne dopunske sisteme bezbednosti koje trgovci koriste - ali evo ti par linkova: RiskGuardian, iovation, 192.com. Ovo sve postaje donekle redundantno sa 3D Secure, ali ne znači da ovi likovi nisu napravili svoje karijere i zaradili brdo para na ovim stvarima, upravo zato što neko to hoće da plati.

I da ponovim još jednom: u pogrešnoj si rupi, rešavaš pogrešan problem. CVV2 je stavljen na karticu zato što bi inače morao da se pamti, što je potpuno nepotrebno s obzirom na namenu - pa zato stoji na kartici, tamo gde se uvek može naći kada hoćeš telefonom nešto da platiš.

A sad moram da se posvetim plaćenoj varijanti sličnog razgovora, izvini
mikimedic mikimedic 15:31 19.12.2011

Re: PIN-ovi

I da ponovim još jednom: u pogrešnoj si rupi, rešavaš pogrešan problem. CVV2 je stavljen na karticu zato što bi inače morao da se pamti, što je potpuno nepotrebno s obzirom na namenu - pa zato stoji na kartici, tamo gde se uvek može naći kada hoćeš telefonom nešto da platiš.


a i da olaksa konobaru iz restorana ili devojcetu u rentakaru da lakse kupi neku krpicu u americi



A sad moram da se posvetim plaćenoj varijanti sličnog razgovora, izvini


uros_vozdovac uros_vozdovac 11:43 17.12.2011

Dragane,

skoro je Republički zavod za statistiku objavio dokument pod imenom "Upotreba IKT u Srbiji tokom 2011. godine" i u njemu ovaj podatak:
Током 2011. године 18,3% предузећа користило је Linux оперативни систем. Linux
оперативни систем је најзаступљенији код великих предузећа (48,1%), затим у средњим
предузећима (20,8%), док заступљеност Linux оперативног система код малих предузећа
износи 15,8%.
Анализа предузећа према области пословања показује нам да банке и осигуравајућа
друштва највише користе Linux систем (57,9%).


Gledano sa aspekta bezbednosti, kako ti izgledaju ovi procenti?
Dragan Pleskonjic Dragan Pleskonjic 11:51 17.12.2011

Re: Dragane,

uros_vozdovac
Gledano sa aspekta bezbednosti, kako ti izgledaju ovi procenti?


Deluje ohrabrujuće, ako se poštuju sve preporuke vezane za OS hardening i slično. Ipak, sama upotreba ovog ili onog OS neće rešiti problem (iako može smanjiti ili povećati), ukoliko ne postoje i ostale stvari koje su relevantne za bezbednost. To su tehnološki aspekt sa svojim brojnim elementima koje ću izbeći da ovde nabrajam, ali ne manje važni organizacioni, društveni (socijalni), pravni i drugi aspekti.

Uzgred: da li postoje raniji podaci, da bismo videli trend?


uros_vozdovac uros_vozdovac 12:19 17.12.2011

Re: Dragane,

Na sajtu nema, ja sam ga negde skinuo, ali menjao HDD u međuvremenu. Taj stari HDD nasledila deca, kad dođem kući probunariću mislim da ima u njemu.

Po sećanju, rast je oko 10%

Meni je druga stvar zanimljiva, recimo kod velikih preduzeća procenat je odličan, kod malih i srednjih je vidljiv ogroman pad. To mi govori da velika preduzeća imaju IT sektor koji je u stanju da usvoji FLOSS rešenja, adaptira ih specifičnim potrebama i odradi obuku zaposlenih. (ovo oko obuke, počinje da me polako ta obuka nervira, čini mi se bespotrebnom, UI je manje više samoobjašnjavajuć, pogotovo ako zaposleni koristi custom aplikaciju).

Mala i srednja preduzeća nemaju IT sektor u okviru firme, i tu čuči izgleda problem. Pokušavam da sa strukovnim organizacijama postignem neki dogovor na temu organizacije pomoći preduzećima, za sada sa promenjljivim uspehom. Problem je što se našim strukovnim IT organizacijama čini da je lakše da se ide utabanim MS stazama.
Recimo, pre neki dan je udruženje E-razvoj odbilo naš zahtev za članstvom sa opravdanjem da nismo pravno lice, što je istina, i uputilo nas da se prijavimo kao pojedinci. To mi nije rešenje, jer osim članarine koja nije baš zanemarljiva, malo mi je principijelno glupo da pozovem volontere da se učlane i plate članarinu da bi mogli da volonterski pomažu korisnicima.
Dragan Pleskonjic Dragan Pleskonjic 12:27 17.12.2011

Re: Dragane,

Mala i srednja preduzeća nemaju IT sektor u okviru firme, i tu čuči izgleda problem. Pokušavam da sa strukovnim organizacijama postignem neki dogovor na temu organizacije pomoći preduzećima, za sada sa promenjljivim uspehom.


Predlažem da napravite firmu koja to radi (instalacije, podršku, obuke i slično).
uros_vozdovac uros_vozdovac 12:56 17.12.2011

Re: Dragane,

Da znaš da razmišljam o tome.
Dragan Pleskonjic Dragan Pleskonjic 13:14 18.12.2011

Re: Dragane,

uros_vozdovac
Da znaš da razmišljam o tome.


Samo napred, javi kad bude da znamo na koga da preusmeravamo zahteve.
dragoljub92 dragoljub92 11:58 17.12.2011

e yebiga

ako koristiš karticu opljačka te haker ako držiš šuške u đep izbunari te đeparoš kako god okreneš ti si yebena strana,zato ja nemam ič pare i niko me ne mož opljačka sem države koja oće da mi pleni nameštaj i kuću,a će se ovajdfi skuplje će je košta plenidba.
kod nas je problem što se koriste loši programi da ne rečem osovi i što određena firma ,koja usput neće da poradi na sigurnosti sotvera i a naši kretenoidi insisriraju da samo preko njihovog brouzera može da se pristupi računu i naravno,brouzer bušan ko seksualna radnica svako mož da uniđe kad oće i di oće.
ipak to sa blokadom je dobar potez.a što budale misle da ih neko zayebava,pa šta će budala da pomisli,možda nešto pametno,jok to ne ide zajedno.
margos margos 13:13 17.12.2011

Malo šale!

Dragan Pleskonjic Dragan Pleskonjic 13:55 17.12.2011

Re: Malo šale!

margos
Njuz.net - hakeri pomrli od smeha :)


Njuz promptan i duhovit kao i uvek.
KRALJMAJMUNA KRALJMAJMUNA 22:24 18.12.2011

Smisao

Retko dobar i informativan blog i retko dobri i informativni komentari.
Ponekad mi se učini da Blog ima smisla.
Goran Vučković Goran Vučković 22:32 18.12.2011

Re: Smisao

Ponekad mi se učini da Blog ima smisla.

Ali to srećom ne traje dugo
Dragan Pleskonjic Dragan Pleskonjic 22:33 18.12.2011

Re: Smisao

KRALJMAJMUNA
Retko dobar i informativan blog i retko dobri i informativni komentari.
Ponekad mi se učini da Blog ima smisla.


Hvala na komplimentu.
mirelarado mirelarado 23:15 18.12.2011

Re: Smisao

Goran Vučković
Ponekad mi se učini da Blog ima smisla.

Ali to srećom ne traje dugo


Ех, сад... Хвала, пре свега, аутору текста, затим теби, Вучко, као и осталима који се у ово плаћање картицама разумеју, на изузетно корисним информацијама и отклањању страха.
Goran Vučković Goran Vučković 23:23 18.12.2011

Re: Smisao

Ех, сад... Хвала пре свега, аутору текста, затим теби, Вучко, као и осталима који се у ово плаћање картицама разумеју, на изузетно корисним информацијама и отклањању страха.

Pravo čudo da ima preživelih, posle ovoliko tehničkih detalja koje smo prosuli u dugim rafalima
Hansel Hansel 01:12 19.12.2011

Re: Smisao

Ih, ne znate šta mi sve možemo da izdržimo!

Pitanje je da li vi možete da izdržite nas!
KRALJMAJMUNA KRALJMAJMUNA 17:19 19.12.2011

Re: Smisao

Goran Vučković
Ponekad mi se učini da Blog ima smisla. Ali to srećom ne traje dugo

Ko bi rekao da su ICT tipovi tako duhoviti.
Goran Vučković Goran Vučković 17:30 19.12.2011

Re: Smisao

Ko bi rekao da su ICT tipovi tako duhoviti.

I ćorava koka ponekad ubode zrno - čista statistika
Dragan Pleskonjic Dragan Pleskonjic 17:57 19.12.2011

Re: Smisao

KRALJMAJMUNA
Ko bi rekao da su ICT tipovi tako duhoviti.


E pa evo vic na tu temu:

Razgovaraju dva programera:
• Juče sam u noćnom klubu upoznao prekrasnu plavušu.
• Uh!
• Predložio sam joj da odemo do mene na kafu i ona je pristala.
• Uuh!
• Čim smo ušli u stan zavapila je: “Skini me!”
• Uuuuh!
• Skin’o sam sve s nje, na kraju i gaćice i stavio je onako potpuno golu na radni sto do PC!
• A, imaš PC kod kuće? A koji procesor imaš?
————————————
Razgovaraju dve plavuše:
• Juče sam u noćnom klubu upoznala pravog programera.
• Uh!
• Predložio mi je da odemo do njega na kafu i ja sam pristala.
• Uuh!
• Čim smo ušli u stan krenuo je da me skida!
• Uuuuh!
• Skin’o je sve s mene, a na kraju i gaćice i stavio me onako potpuno golu na radni sto do PC!
• Ti nosiš gaćice?!
KRALJMAJMUNA KRALJMAJMUNA 08:22 20.12.2011

Re: Smisao

ICT stavio me onako potpuno golu na radni sto do PC!


Mora da se ima vodonepropusna tastatura, srećom ne traje to dugo.
49 41 49 41 16:21 23.12.2011

Banka

JP CHASE Morgan; (bivsa Bank One i Bank of America - koje je kupila CHASE), i gde trenutno imam otvoren racun,licno placam kreditnu karticu...
uvela je pre godinu dana i vise.

-da debit karticu moras koristi, najmanje 5-6 puta mesecno!

-za nekoriscenje, debit kartice "naplacuju" $ 5.99

Masala, milioni korisnika X 5.99 = ...

Protestovao sam licno i odmah po dobijanju bancinog izvestaja.

Upozorio sam menadzerku, moje obliznje banke; da to sto rade, sto na svakom pultu stoji novo odstampano u tvrdoj foliji je:

-Nelegalno, da je to dodatno "usisavanje novca"- korisnika, ...

U drugom protestu, po istom osnovu i u istoj banci; sluzbenica mi je "ljubazno" odgovorila
-a ko ce da, plati ovde nasu struju i vodu u ovoj zgradi?

Pre nekoliko nedelja, mlada zena je pokrenula akciju i protest po istom osnovu (Fb, twitter or ...).

U prvih nedelju dana joj se "nakacilo"-380.000 protestora.
Mozda je kasnije bilo i preko milion.

Direktor cenjene banke je morao na TV.

Neko je vratio pokasiranih par stotina miliona u prethodnoj godini?

Give me a brake, please.


Dragan Pleskonjic Dragan Pleskonjic 18:09 23.12.2011

Re: Banka

49 41


Neko je vratio pokasiranih par stotina miliona u prethodnoj godini?

Give me a brake, please.




Arhiva

   

Kategorije aktivne u poslednjih 7 dana