e-prawnik.pl Grupy dyskusyjnenieautoryzowana tr4ansakcja kartą_-_jeszcze _raz

nieautoryzowana tr4ansakcja kartą_-_jeszcze _raz

2012-02-03, 22:36 | [fr...@in...pl>]
nieautoryzowana tr4ansakcja kartą_-_jeszcze _raz
Widzę, że rozgorzała niezła pyskówka, jakieś chamisko nawet od serca mi naubliżało, ale na szczęście
jestem odporny na działalność mend internetowych.

A teraz do rzeczy: jest ciekawy ciąg dalszy tej sprawy:

Jak się okazało, pieniądze da się odzyskać ale i tak nie będziemy tego robić, bo rzeczona osoba, za
którą płaciłem nie chce tego anulować a chce mi zapłacić. Jest jednak pewien szkopuł.

Mianowicie: doklikałem się na ich stronie internetowej do ustawień konta.
Tam znalazłem dane mojej karty a także opcję automatycznego odnawiania.
Wyłączyłem ją.
Ale dane mojej karty nadal tam są i nie znalazłem żadnego sposobu, aby je usunąć.
Teraz zatem osoba, która dysponuje kontem może sobie bez mojej wiedzy i zgody włączyć ponownie
automatyczne odnawianie i znowu obciążać moją kartę! Może też do woli kupować na moje konto
inne produkty:

"Czy chcesz skorzystać z opcji automatycznego odnowienia subskrypcji lub możliwości dokonania zakupu
jednym kliknięciem myszy? Te opcje wymagają, aby w profilu znajdowały się prawidłowe informacje o
karcie kredytowej. W przypadku wprowadzenia poniżej nowych informacji o karcie kredytowej karta ta
będzie używana w przyszłości przy każdym automatycznym odnowieniu subskrypcji oraz przy zakupach
jednym kliknięciem myszy."

To jest dopiero kwiatek!
Wysłałem maila, w którym stanowczo domagam się usunięcia z ich systemu danych mojej karty
kredytowej. Ciekawe czy odpiszą i co. Tej sprawy im nie odpuszczę.

Aby odpowiadać na forum musisz się zalogować!

Odpowiedzi do: nieautoryzowana tr4ansakcja kartą_-_jeszcze _raz

2012-02-03, 22:55 | ["L...@le...pl>]
Odp:_nieautoryzowana_tr4ansakcja_kartą_-_jeszcze_raz

Użytkownik "froff" napisał w wiadomości
news:jghk07$i5j$1@usenet.news.interia.pl...
> Te opcje wymagają, aby w profilu znajdowały się prawidłowe informacje o
> karcie kredytowej. W przypadku wprowadzenia poniżej nowych informacji o
> karcie kredytowej ...
>

No to do profilu wpisz fałszywe dane karty i twoja karta nie bedzie
obciążana.
2012-02-03, 23:00 | [wi...@ga...pl]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
On 2/3/2012 3:36 PM, froff wrote:
> Ale dane mojej karty nadal tam są i nie znalazłem żadnego sposobu, aby
> je usunąć.

ee, zamiast ich opierdzielac i stanowczo sie domagac, wystarczylo
grzecznie zapytac jak usunąć.

pewnie sie da tylko opcji nie doszukałeś.
2012-02-03, 23:44 | [Mi...@as...net]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
On 02/03/2012 11:00 PM, witek wrote:
> On 2/3/2012 3:36 PM, froff wrote:
>> Ale dane mojej karty nadal tam są i nie znalazłem żadnego sposobu, aby
>> je usunąć.
>
> ee, zamiast ich opierdzielac i stanowczo sie domagac, wystarczylo
> grzecznie zapytac jak usunąć.
>
> pewnie sie da tylko opcji nie doszukałeś.
>
>

Przy okazji zapytaj ich o certyfikację PCI-DSS w kontekście
przechowywania CVV.

M.
2012-02-03, 23:54 | [An...@le...SPAM_PRECZ]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
W dniu 03.02.2012 22:36, froff pisze:

> Teraz zatem osoba, która dysponuje kontem może sobie bez mojej wiedzy i
> zgody włączyć ponownie automatyczne odnawianie i znowu obciążać moją
> kartę! Może też do woli kupować na moje konto
> inne produkty:

Bo zasada jest prosta - "wiecznych kluczy" do swojego sejfu nie daje się
innym!

[ciach]

> To jest dopiero kwiatek!
> Wysłałem maila, w którym stanowczo domagam się usunięcia z ich systemu
> danych mojej karty kredytowej. Ciekawe czy odpiszą i co. Tej sprawy im
> nie odpuszczę.

Bank też może ci nie odpuścić - klient-pieniacz może być nieopłacalny, a
w każdym regulaminie jaki widziałem wyraźnie dopuszczana jest możliwość
natychmiastowej blokady karty używanej niezgodnie z regulaminem. I tak
samo normą zdaje się być klauzula pozwalająca na używanie karty
wyłącznie przez osobę, której tę kartę wydano - udostępniając komuś
swoją kartę łamiesz regulamin czyli twoją umowę z bankiem.

Tupanie nóżką czy nadymanie się nic nie zmieni w fakcie, że źródłem
problemu jesteś ty jako niekompetentny użytkownik i to nie tylko karty.

Generalnie robisz awanturę o to, że najpierw sam złamałeś umowę (dając
komuś swoją kartę do wykorzystania), a potem źle zrozumiałeś inną
(zupełnie jasną i prostą) umowę!

Chociaż z drugiej strony co ja się przejmuję... Dla mnie ludzie
postępujący wbrew instrukcjom obsługi to tylko potencjalni klienci na
jakąś mała chałturkę, bo prędzej czy później na pewno coś zepsują ;->

I potem będzie lament, żeby naprawić komputer, odzyskać dane... Czyli z
czysto egoistycznego punktu widzenia - postępuj dalej jak postępujesz
;-> Jak nie ja to ktoś inny z Tajnego Klubu Czytających parę groszy
sobie zarobi na twoim lenistwie ;->
2012-02-03, 23:54 | [An...@le...SPAM_PRECZ]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
W dniu 03.02.2012 23:00, witek pisze:
> On 2/3/2012 3:36 PM, froff wrote:
>> Ale dane mojej karty nadal tam są i nie znalazłem żadnego sposobu, aby
>> je usunąć.
>
> ee, zamiast ich opierdzielac i stanowczo sie domagac, wystarczylo
> grzecznie zapytac jak usunąć.
>
> pewnie sie da tylko opcji nie doszukałeś.
>
>
No bo czytanie instrukcji to taaaaaaaaaaki straszny ból ;)
2012-02-04, 00:14 | [fr...@in...pl>]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
On 03.02.2012 23:44, Michał wrote:
> On 02/03/2012 11:00 PM, witek wrote:
>> On 2/3/2012 3:36 PM, froff wrote:
>>> Ale dane mojej karty nadal tam są i nie znalazłem żadnego sposobu, aby
>>> je usunąć.
>>
>> ee, zamiast ich opierdzielac i stanowczo sie domagac, wystarczylo
>> grzecznie zapytac jak usunąć.
>>
>> pewnie sie da tylko opcji nie doszukałeś.
>>
>>
>
>
> Przy okazji zapytaj ich o certyfikację PCI-DSS w kontekście
> przechowywania CVV.
>
> M.

A myślisz, że mogą jej nie posiadać?
Tutaj raczej nie sądzę. To jest grubsza ryba.
2012-02-04, 01:15 | [wi...@ga...pl]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
On 2/3/2012 4:54 PM, Andrzej Lawa wrote:
>>
>>
> No bo czytanie instrukcji to taaaaaaaaaaki straszny ból ;)
>

ogólnie myślenie strasznie boli.
Czasami aż widzę grymas na twarzy, jak ktoś musi pomyśleć.
2012-02-04, 14:29 | [Ka...@ma...org>]
Re: nieautoryzowana tr4ansakcja kartą_-_jes zcze_raz
W dniu 04-02-2012 00:14, froff pisze:
>> Przy okazji zapytaj ich o certyfikację PCI-DSS w kontekście
>> przechowywania CVV.
>>
>> M.
>
> A myślisz, że mogą jej nie posiadać?
> Tutaj raczej nie sądzę. To jest grubsza ryba.
>
Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.

--
pozdrowienia
Kajetan
http://www.psyniczyje.pl/ - przygarnij, choćby wirtualnie, psa
2012-02-04, 22:07 | [Kr...@pm...waw]
Re: nieautoryzowana tr4ansakcja kartC485 - jeszcze raz
Kajetan Malkontowicz writes:

> Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.

A po co mieliby to robić? Przecież wystarczy pojedyncze sprawdzenie
CVV2, na początku. Jeśli w ogóle jest potrzebne (abonament można pewnie
anulować?).
--
Krzysztof Halasa
2012-02-05, 14:40 | [Ka...@ma...org>]
Re: nieautoryzowana tr4ansakcja kartą - jeszcze raz
W dniu 04-02-2012 22:07, Krzysztof Halasa pisze:
> Kajetan Malkontowicz writes:
>
>> Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.
>
> A po co mieliby to robić? Przecież wystarczy pojedyncze sprawdzenie
> CVV2, na początku. Jeśli w ogóle jest potrzebne (abonament można pewnie
> anulować?).
Mówimy o dwóch różnych rzeczach: zgodzie na obciążanie karty oraz o
przechowywaniu danych wrażliwych jak CVV/CVV2.

To pierwsze jest dość powszechnie stosowane, ale najczęściej w formie
zlecenia stałego. Konieczne jest wystawienie upoważnienia firmie
obciążającej kartę które trafia do Banku (Issuera) i na tej podstawie
karta jest obciążana. Można to w każdej chwili odwołać w banku.
Jednocześnie przy takiej formie nigdy nie podaje się kodu
autoryzacyjnego. W standardowym formularzu jest tylko rodzaj, numer i
data ważności karty oraz podpis właściciela-zleceniodawcy i konkrety
tytuł opłaty, np. opłata abonamentowa itd. Stąd w ogóle nie do
pomyślenia jest że ktoś w ten sposób umożliwia dowolne zakupy.

To drugie ma się nijak do pierwszego i polega na każdorazowym
autoryzowaniu obciążenia poprzez kod autoryzacyjny (CVV/CVV2)
przechowywany w bazie danych podmiotu na rzecz którego płatność ma
nastąpić (Merchanta) i w takiej formie jest niedopuszczalne z punktu
widzenia PCI-DSS i wyraźnie zabronione. Konkretnie podpada to pod PCI
PA-DSS (Payment Application).

--
pozdrowienia
Kajetan
http://www.psyniczyje.pl/ - przygarnij, choćby wirtualnie, psa
2012-02-05, 23:17 | [Kr...@pm...waw]
Re: nieautoryzowana tr4ansakcja kartC485 - jeszcze raz
Kajetan Malkontowicz writes:

>>> Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.
>>
>> A po co mieliby to robić? Przecież wystarczy pojedyncze sprawdzenie
>> CVV2, na początku. Jeśli w ogóle jest potrzebne (abonament można pewnie
>> anulować?).
> Mówimy o dwóch różnych rzeczach: zgodzie na obciążanie karty oraz o
> przechowywaniu danych wrażliwych jak CVV/CVV2.
>
> To pierwsze jest dość powszechnie stosowane, ale najczęściej w formie
> zlecenia stałego.

W każdym razie, w formie jakiegos zlecenia, nie musi mieć np. stałej
kwoty, terminów itp. To zresztą sprawa między sprzedawcą i kupującym.

> Konieczne jest wystawienie upoważnienia firmie
> obciążającej kartę które trafia do Banku (Issuera) i na tej podstawie
> karta jest obciążana.

Nic takiego nie trafia do wydawcy karty. Wystarczy np. telefoniczne
upoważnienie sprzedawcy do obciążania karty. Do banku trafiają
autoryzacje i poźniejsze obciążenia, przynajmniej jeśli nie ma kwestii
spornych. Właściwie mogłyby to być same obciążenia.

Tzn. technicznie rzecz biorąc sprzedawca może obciążać kartę w ogóle
bez żadnego upoważnienia ze strony klienta (wystarczy znajomość numeru
karty i daty ważności), ale to raczej nie jest rozsądne.

> Można to w każdej chwili odwołać w banku.

(Prawie) dokładnie tak samo jak każdą inną transakcję np. "internetową",
czyli w ogólnym przypadku wcale nie musi być tak łatwo, i na pewno nie
nazwałbym tej czynności "odwoływaniem".

Myślisz może o "poleceniu zapłaty"? Ono nie wykorzystuje karty, ale
faktycznie potrzebne jest tam pisemne upoważnienie przesłane do banku
(w Polsce, bo "na świecie" niekoniecznie), oraz jest możliwość
odwoływania (za granicą także może to różnie wyglądać).

Przy kartach można jedynie składać reklamacje.

> Jednocześnie przy takiej formie nigdy nie podaje się kodu
> autoryzacyjnego.

Często można podać CVV2 przy pierwszej transakcji, bo to jest zwykła
transakcja "internetowa" (telefoniczna itp). Sprzedawca nie może jedynie
przechowywać CVV2, ale po co miałby to robić? Zwłaszcza w takim
przypadku.

Owszem, istnieją pewne drobne różnice w przypadku reklamacji transakcji,
w zależności od tego, czy zweryfikowano CVV2 (/CVC2) (np. w USA
w połączeniu z AVS), ale to dotyczy fraudów "lewymi" numerami kart, i.e.
to zupełnie inna bajka.

> W standardowym formularzu jest tylko rodzaj, numer i
> data ważności karty oraz podpis właściciela-zleceniodawcy i konkrety
> tytuł opłaty, np. opłata abonamentowa itd. Stąd w ogóle nie do
> pomyślenia jest że ktoś w ten sposób umożliwia dowolne zakupy.

Nie znam czegoś takiego jak "standardowy formularz". To kwestia sklepu.
Rzeczywiście, trudno sobie wyobrazić "dowolne zakupy" w taki sposób, ale
np. periodyczne regulowanie salda różnych należności jest do zrobienia.
Kiedyś to było bardziej powszechne (gdy nie było jeszcze direct debit -
np. płaciło się tym rachunki za telefon itp).

> To drugie ma się nijak do pierwszego i polega na każdorazowym
> autoryzowaniu obciążenia poprzez kod autoryzacyjny (CVV/CVV2)

CVV to kod umieszczony na pasku magnetycznym i jako taki nie jest
wykorzystywany w transakcjach bez fizycznej obecności karty (i klienta).

> przechowywany w bazie danych podmiotu na rzecz którego płatność ma
> nastąpić (Merchanta) i w takiej formie jest niedopuszczalne z punktu
> widzenia PCI-DSS i wyraźnie zabronione. Konkretnie podpada to pod PCI
> PA-DSS (Payment Application).

To oczywiście prawda, tyle że nie ma to znaczenia, bo przechowywanie
CVV2 (jak napisałem) nie jest w takich zastosowaniach przydatne.
--
Krzysztof Halasa