Маскированный номер карты что это

Автор: Martin McKeay
Оригинал статьи: http://www.mckeay.net/2009/11/12/masking-vs-truncating/ 
Вольный перевод: Евгений Бартов, руководитель ГК «Альянс ПРО»

Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:

Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование».   Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN  в незашифрованном виде.  

Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же.  Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:

Маскирование (Masking)

Метод сокрытия сегмента данных при отображении или печати.  Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.

Усечение (truncation)

Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.

Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги.   При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры.  Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает.   Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.

В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать.   Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами.   В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные.  Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.

Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки.   Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны  на экране.  Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты.   Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.

Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба.   По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты.  Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты.   Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу.  Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.

Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы».  Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование.   Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными.   В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК.   Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.

Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта.  Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS.  Например,  я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.

Источник

Usually when I enter and save my credit card number in online shop or mobile app, only last four numbers are shown as a reminder. Example (not actual digits):

Your card: **** **** **** 1234

Recently I used an app, where card number was shown as below (not actual digits):

Your card: 1234 56** **** 1234

Are there any good practices or something enforced by Visa/MC or law regulating how to mask card number properly?

asked Aug 23, 2018 at 13:18

tomash's user avatar

3

The terms you want to look into, provided this is in the US, are PCI Compliance and PA DSS. PCI compliance is for the vendor that you are shopping with and PA DSS applies to the company that produces the software that takes the credit cards (what the vendor uses to sell you things).

According to the PCI Compliance Guide, the maximum digits that can be displayed are the first 6 and last 4 of a card number. Your example shows that maximum allowance. This requirement is different than the requirement for storing the card number in a database.

answered Aug 23, 2018 at 14:05

BobbyScon's user avatar

BobbySconBobbyScon

13.8k3 gold badges44 silver badges62 bronze badges

7

BobbyScon’s answer points you to the industry standard PCI rules but, the anatomy of a credit card number is as follows.

  • First Digit is major ID number (3 = AMEX/Diners Club, 4 = Visa, 5 = Mastercard, 6 = Discover, etc)

  • The first 6 digits (including the first digit) are the Bank ID Number (different banks have different systems for assigning these, my Chase cards all have the same first six digits)

  • The next 9 digits are your account number

  • The last digit is a checksum (there’s a somewhat simple algorithm used to quickly validate a credit card number, you can’t simply change a digit of your card number to use it as a fake)

So it looks like your second example felt it sufficient to only block most of your account number but leave the bank number visible. I can’t think of a reason to expose more than the last 4 digits of a credit card number. Surely most people have no idea that the first 6 digits are a bank ID that will be common across many many many cards and there’s no benefit to the vendor to know the bank IDs.

answered Aug 23, 2018 at 17:33

quid's user avatar

quidquid

48.7k11 gold badges97 silver badges161 bronze badges

7

Источник

Usually when I enter and save my credit card number in online shop or mobile app, only last four numbers are shown as a reminder. Example (not actual digits):

Your card: **** **** **** 1234

Recently I used an app, where card number was shown as below (not actual digits):

Your card: 1234 56** **** 1234

Are there any good practices or something enforced by Visa/MC or law regulating how to mask card number properly?

asked Aug 23, 2018 at 13:18

tomash's user avatar

3

The terms you want to look into, provided this is in the US, are PCI Compliance and PA DSS. PCI compliance is for the vendor that you are shopping with and PA DSS applies to the company that produces the software that takes the credit cards (what the vendor uses to sell you things).

According to the PCI Compliance Guide, the maximum digits that can be displayed are the first 6 and last 4 of a card number. Your example shows that maximum allowance. This requirement is different than the requirement for storing the card number in a database.

answered Aug 23, 2018 at 14:05

BobbyScon's user avatar

BobbySconBobbyScon

13.8k3 gold badges44 silver badges62 bronze badges

7

BobbyScon’s answer points you to the industry standard PCI rules but, the anatomy of a credit card number is as follows.

  • First Digit is major ID number (3 = AMEX/Diners Club, 4 = Visa, 5 = Mastercard, 6 = Discover, etc)

  • The first 6 digits (including the first digit) are the Bank ID Number (different banks have different systems for assigning these, my Chase cards all have the same first six digits)

  • The next 9 digits are your account number

  • The last digit is a checksum (there’s a somewhat simple algorithm used to quickly validate a credit card number, you can’t simply change a digit of your card number to use it as a fake)

So it looks like your second example felt it sufficient to only block most of your account number but leave the bank number visible. I can’t think of a reason to expose more than the last 4 digits of a credit card number. Surely most people have no idea that the first 6 digits are a bank ID that will be common across many many many cards and there’s no benefit to the vendor to know the bank IDs.

answered Aug 23, 2018 at 17:33

quid's user avatar

quidquid

48.7k11 gold badges97 silver badges161 bronze badges

7

Источник

Что такое маска банковской карты?

Маски карт

Иногда используются карты, у которых одна часть трека известна, а другая нет. Чтобы система могла работать с такими картами, создайте для них маски. Маска карт имеет следующий формат: N — цифра или буква, попадает в результирующий трек.

Маска номеров карт. Регулярное выражение, используемое для проверки данных карты, добавляемой в чек. Правило преобразования номеров карт. П равило, согласно которому выполняется выделение номера карты из введенных данных.

  1. Можно ли сообщать маску карты?
  2. Что такое Маскированный номер карты?
  3. Можно ли говорить 3 цифры на обратной стороне карты?
  4. Что нельзя говорить о своей карте?
  5. Какие данные карты нужны мошенникам?
  6. Как защитить свои деньги на карте?
  7. Как сделать маску карты?
  8. Можно ли сообщать номер своей банковской карты?
  9. Почему я не могу оплатить картой в автобусе?
  10. Можно ли снять деньги с карты зная номер и CVV?
  11. Можно ли вычислить мошенника по номеру карты?
  12. Что будет если узнают номер карты и CVV код?
  13. Почему нельзя держать много денег на карте?
  14. Что будет если отдать карту другому человеку?
  15. Можно ли снять деньги только по номеру карты?
  16. Как узнать кто снимал деньги с банковской карты?
  17. Как узнать сколько денег на карте у другого человека?
  18. Что может быть за использование чужой карты?
  19. Как понять чей номер карты?
  20. Что означают последние 4 цифры карты?
  21. Можно ли добавить виртуальную карту в Мир пей?
  22. Почему нельзя класть карту под чехол?
  23. Можно ли положить карточку под чехол?
  24. Можно ли носить карту вместе с телефоном?
  25. Что будет с телефоном если носить карту под чехлом?

Можно ли сообщать маску карты?

Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги. По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту.

Что такое Маскированный номер карты?

Маскированный номер карты — номер платежной карты, в котором часть цифр заменена символами (например, «*» или «Х»). Максимально возможное количество знаков для отображения — первые шесть и последние четыре знака.

Можно ли говорить 3 цифры на обратной стороне карты?

Три цифры с оборота карты.

Эти три цифры должны быть известны только вам. Обычно их надо вводить при оплате покупок в интернете. Назовете эти цифры кому-либо вместе с реквизитами карты — по сути, дадите зеленый свет мошенникам, которые с радостью пошопятся за ваш счет.

Что нельзя говорить о своей карте?

В интернете нельзя вводить информацию о своей банковской карте либо о банковском счете (сообщать ПИН-код, пароли доступа к ресурсам банка, срок действия карты, величину кредитного лимита, данные об истории операций и т. д.).

Какие данные карты нужны мошенникам?

Современным мошенникам бывает достаточно только номера карты и срока её действия, чтобы получить доступ к средствам. Старайтесь никому не говорить несколько реквизитов сразу. Чем больше известно злоумышленникам, тем выше риск остаться без денег. Номер, фамилия и имя держателя или номер и срок действия.

Как защитить свои деньги на карте?

Как защититься от кражи денег с карты:

  • Правило № 1. Никому не сообщайте свои пароли и коды
  • Правило № 2. Подключите СМС-оповещения по карте
  • Правило № 3. Пользуйтесь антивирусами
  • Правило № 5. Не оплачивайте покупки с чужих гаджетов
  • Правило № 6. Не переходите по сомнительным ссылкам из сообщений

Как сделать маску карты?

Выберите пункт меню Маски карт. Нажмите кнопку Создать. Введите Маску и нажмите кнопку Добавить.Маска карт имеет следующий формат:

  • N — цифра или буква, попадает в результирующий трек.
    • — произвольный символ, который не проверяется.
  • Любой символ, кроме N и * — проверяется, но не попадает в результирующий трек.

Можно ли сообщать номер своей банковской карты?

Сообщать можно только номер карты и только проверенным людям. Имя, фамилию, срок действия и код безопасности сообщать нельзя. Смс-код нельзя сообщать никому и никогда. Оставили карту без присмотра — перевыпускайте.

Почему я не могу оплатить картой в автобусе?

Банковская карта может быть не принята для оплаты проезда на терминале по следующим причинам: (1) имеется задолженность по оплате проезда картой (ранее была совершена поездка, при оплате которой не произошло списание денежных средств); (2) ошибка чтения карты / карта повреждена (терминал не может считать или обработать

Можно ли снять деньги с карты зная номер и CVV?

Снять деньги только по номеру карты нельзя. Однако во многих интернет-магазинах (в т. ч. Amazon) есть возможность произвести оплату за товар даже без кодов CVC/CVV, срока действия карточки и ФИО.

Можно ли вычислить мошенника по номеру карты?

Чтобы определить адрес по номеру карты, потребуется доступ к базам МВД. Если же обманутый человек просто придет в банк и потребует от сотрудника выдать ему информацию о предполагаемом мошеннике, то он попросту уйдет ни с чем. Данные о клиентах являются конфиденциальными.

Что будет если узнают номер карты и CVV код?

Если мошенник будет знать реквизиты карты, ее cvv (cvc) код и ваше секретное слово, он легко получит доступ к вашим деньгам. Сотрудники банка не запрашивают персональные данные по телефону. Если в разговоре вас просят продиктовать код с оборотной стороны карты, вы говорите с мошенником.

Почему нельзя держать много денег на карте?

Нельзя хранить деньги на карте

Вероятность хищения средств с пластика преувеличивают. Если соблюдать правила безопасного обращения с картой (не передавать третьим лицам, не сообщать никому пароли и коды), шансы потери денег минимальны.

Что будет если отдать карту другому человеку?

А если карту используют в преступных целях, вопросы могут возникнуть у правоохранительных органов — она же на ваше имя. В общем, если резюмировать: передавать банковскую карту кому бы то ни было нельзя. Но последствия для вас возникнут, только если ваше доверенное лицо вас обманет.

Можно ли снять деньги только по номеру карты?

Но бояться не надо: то, что вы сообщили номер своей карты, ничего им не позволит — списать деньги по номеру нельзя. Однако при наличии номера карты возможно совершение перевода на ваше имя с дальнейшим истребованием возврата.

Как узнать кто снимал деньги с банковской карты?

Как узнать, за что сняли деньги приставы: посетить сайт fssprus.ru; выбрать пункт «База данных исполнительных производств» на вкладке «Сервисы»; ввести свои данные и выбрать территориальный орган.

Как узнать сколько денег на карте у другого человека?

Зная номер карты (или его часть, дальше детальнее) и дату рождения владельца, достаточно позвонить с любого телефона на горячую линию банка и в меню IVR выбрать пункт вида «проверка баланса карты в автоматическом режиме». Одно дело, когда баланс озвучивается владельцу карты, звонящему в банк со своего телефона.

Что может быть за использование чужой карты?

158 УК РФ. Минимальное наказание — штраф 100 000 руб., а максимальное — до 6 лет лишения свободы.

Как понять чей номер карты?

Можно ли узнать владельца карты по ее номеру? Как правило, этим вопросом озадачиваются те, кто по ошибке перевел деньги не туда. Самостоятельно узнать данные владельца карты по ее номеру не получится. Информация о личности держателя платежного инструмента конфиденциальна.

Что означают последние 4 цифры карты?

Все вместе первые шесть цифр в номере карты — это так называемый банковский идентификатор, или БИН. Седьмая и восьмая цифры в номере — это обозначение программы банка, по которой он выдал карточку. Все остальные цифры, кроме последней, дают индивидуальный номер карточки.

Можно ли добавить виртуальную карту в Мир пей?

Выберите виртуальную или пластиковую карту, которую хотите привязать к Mir Pay. На странице карты нажмите Добавить в MIR Pay. Нажмите Добавить и дождитесь окончания загрузки.

Почему нельзя класть карту под чехол?

Она имеет свой магнитный фон, который реагирует на посторонние электромагнитные излучения. Поэтому в теории смартфон может размагнитить вашу карту. На практике такие случаи тоже бывали, поэтому лучше перестраховаться даже с точки зрения дополнительный безопасности.

Можно ли положить карточку под чехол?

Размагнитить карту при обычном использовании невозможно. Поэтому вы можете хранить ее под бампером телефона или в кармане чехла.

Можно ли носить карту вместе с телефоном?

Современные варианты платежных пластиковых карт имеют внутри NFC-чип, который не выйдет из строя при нахождении в чехле работающего устройства. Плотное соприкосновение смартфона с такой картой никак не повлияет на ее работоспособность.

Что будет с телефоном если носить карту под чехлом?

Поэтому сегодня многие прибегают к хитрости: хранят банковскую карту под чехлом телефона. Однако такой способ хранения карты не является безопасным. Ведь если похитят гаджет, то вместе с ним уйдет и карта. Таким образом злоумышленнику будет очень просто получить доступ ко всем вашим финансам.

Ответить

Источник

  • Массаж простаты новороссийск телефон
  • Маски шоу рингтоны на телефон
  • Массаж общий номер 10 для ребенка
  • Маски на телефон программа
  • Массаж общий номер 10 для грудничка