#1 Técnicamente si está bien implementado no se guardan los datos de la tarjeta de crédito, sino la autorización de la empresa que emite la tarjeta (visa, mastercard, etc) que suele ser un código o hash
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
#15 Si, eso es lo que me extraña. En principio lo normal es que los pagos se hagan siempre en algún sistema externo, desde los comercios se da la orden de pago y se recibe la confirmación, pero el proceso en si de pagar se hace en la pasarela de pago (sea bancaria, de tarjeta, paypal o stripe, etc)
Por lo que Air Europa ni debería tener estos datos. Aunque lo mismo las empresas tan grande tienen sus propias pasarelas por ahorrar comisiones, yo que se.
(He montado alguna pasarela bancaria, pero solo para pymes)
#18 #15 Las aerolíneas como Air Europa tienen flujos de autorización complejos que les obliga a almacenar las tarjetas de crédito. Y no se están pasando por el forro ninguna estandarización, porque precisamente por esto las aerolíneas tienen sus sistemas de pagos certificados por normativa PCI. Si eres certificado PCI, puedes guardar las tarjetas de crédito.
Y no creáis que a las aerolíneas les hace mucha gracia tener que ser PCI, pero la naturaleza de los flujos de autorización en la emisión de billetes les lleva a esta necesidad.
#60 Primera noticia de eso, gracias por la info
#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra
#15 Por saber: Entonces cuando Amazon te dice "Visa / 4B / Euro6000 Tarjeta de crédito que termina en •••• 9999", ¿no tiene el número completo? Doy por supuesto que Amazon lo hace bien, claro. Sí veo que guarda la fecha de caducidad.
Por otra parte entiendo que esa autorización es nominal para una empresa, ¿no? --> #25
Muchas gracias de antemano.
#70 Amazon puede sacar esa información con la api de la pasarela de pago.
Digo puede porque una mega empresa como Amazon probablemente tenga su sistema propio y si que tenga derecho a almacenar cuentas de crédito.
Algunas empresas de e-commerce más pequeñas que Amazon usan pasarelas de pago.
#35 O con tarjetas de recarga como realizo yo cuando compro o encargo algo online.
#35 o con cvv dinámico
#15 De hecho si utilizas una pasarela de pago (Stripe, Adyen, FIS...) tu sistema solo ve los últimos dígitos de la tarjeta y recibe un token para referenciarla.
Guardar datos bancarios de los clientes implica que hay que ser PCI compliant, lo cual dudo que sean. Por lo que es muy posible (y espero) que les caiga un buen paquete.
#38 #15 #14 #33 Air Europa tiene la certificación PCI DSS, con lo cual está autorizado a guardar esos datos. Y ahí viene la cuestión. Cómo es posible que una empresa que obtiene la certificación PCI DSS (que implica la existencia de protocolos que permiten la máxima protección posible de datos de usuario) tiene ese tipo de brechas de seguridad.
#54 pues ahí está la historia.
De hecho yo trabajé en una empresa que tenía la certificación PCI DSS y que voluntariamente pasó a un sistema de tokenizacion externa para evitarse estos problemas.
#65 Air Europa está en un problema gordo, pero la certificadora puede estar en otro si no ha cumplido con las inspecciones para su implementación. Se pone en duda el valor de esta certificación.
#69 de esta y del resto de certificaciones que ha emitido la misma.
#69 Viendo como se pasan muchas certificaciones, no dudes solo de ésta, duda de todas.
#54 PCI-DSS prohíbe expresamente que puedas almacenar el CVV y el PIN. Esos son dos datos que no puedes almacenar en ningún caso. Una certificación PCI-DSS no te habilita a guardar esos datos, al contrario, se supone que alguien ha verificado que no se esté haciendo.
#105 Pueden recabarlo pero no almacenarlo.
#15 Eso iba a preguntar, si el recordatorio de tarjeta, no se podria hacer como las pasarelas de pago, en las que la tienda no tiene porque saber el numero de tarjeta.
https://es.wikipedia.org/wiki/Pasarela_de_pago
#19 Es un truco muy usado en psicologia, ponerte obstaculos a cosas que no quieres hacer, como fumar, comer guarradas, etc.
Por ejemplo, no teneralas al mano, o en el garaje, etc.
Parece un poco absurdo, pero a veces es como pensar que el inconciente es un animal que no siempre quiere hacerte caso y hay que tomar medidas para que te obedezca.
#15 normalmente, el banco prefiere que el origin de la transacción no almacene nada, uno porque no es su negocio, y dos, porque así se vuelven más necesarios… (Y el esquema más seguro)
En cualquier caso, no hablan de tarjetas almacenadas, sino tarjetas usadas… puede ser que en la arquitectura haya habido algún punto donde se loggease “inocentemente” esta información, o bien que hayan sufrido un esquema de “MiM”, o bien, que algún dato no viajase suficientemente securizado…
Nunca he comprado personalmente con ellos ningún vuelo, pero suelo volar, y tanto la web como la aplicación móvil, funcionan bastante mal… Con muchos errores y cuelgues
#67 tu servidores no pueden recibir información alguna de tarjetas si no tienes la certificación que te permite guardarlas. Ni como log, ni registro de transacción, ni para autorizar nada en los proveedores externos.
#85 Ya, pero según parece, están acreditados PCI-DSS, y por tanto según reza el capítulo 3 (o 4) de la PCI “El almacenamiento ha de ser el mínimo necesario”, por tanto, pueden almacenar.
Por otra parte, los primeros capítulos de la PCI te hablan de medidas de seguridad a establecer, pero realmente, puedes cumplir con un truño… y realmente, si tienes un desafortunado log “escupiendo datos” en un pequeño componente del programa, el Assessment no te lo va a encontrar…
#15 Venía a comentar eso, RedSys te da la opción de guardar los datos pero quien los custodia es la pasarela, RedSys u otra y no el proveedor.
Pero eso no quiere decir que, como bien dices, lo hayan hecho en plan tío capullo y lo guarden ellos, a mi un cliente me lo pidió en una ocasión y me negué a hacerlo, de todas formas lo de los pagos por web no es mi especialidad.
Ya que parece que tienes más experiencia que yo, si te tangan ese hash, ¿podrían hacer cargos no autorizados?
#106 independientemente de quien gestione el cobro, Air Europa dispone de certificación para poder registrar esos datos. En cualquier caso, parece ser que el problema no ha sido por robo de datos guardados en sus sistemas, sino de un ataque MitM con software capturando los datos en el momento de las transacciones.
#6 No es así exactamente, la empresa que hace el cobro simplemente comunica a la tarjeta de crédito que el pedido XXXXXXXXX ha sido cancelado y se realiza el reembolso. No hay necesidad de guardar esos datos.
#13 estoy afectado, he preguntado al delegado de protección de datos de la empresa si han almacenado ellos el número de mi tarjeta, fecha de caducidad y cvv. Ya veremos qué dicen.
#36 También estoy afectado, informa en cuanto sepas por favor.
Por cierto, es legal lo de guardar Nº + caducidad + CVV si no has clickado en recordar tarjeta?
Imprudente mis huevos morenos, q cambie ya la ley para los drogatas y borrachos
#1 hay una explicación jurídica a porqué un accidente de coche con muertos acaba casi siempre en homicidio imprudente, pero es demasiado larga para ponerme a explicarla aquí.
El resumen es que cuando tú coges un coche, tu intención es la de ir de A a B, no la de matar a los pasajeros, por lo que falta el dolo (voluntad) en la componente delictiva y se convierte en un delito imprudente.
Te puede gustar más o menos, pero es así.
Dios está en todas partes, incluso en la IA. No se de que se quejan
#1 me autocorrijo, si es opensource. Licencia MIT
No me he leído la noticia para seguir la tradición de meneame, pero dudo que sea opensource. Facebook lo libera para uso personal y comercial, pero dudo que sea Opensource, al igual que LLaMa y el resto
#1 me autocorrijo, si es opensource. Licencia MIT
#1 oye siendo como soy de Xativa, me interesa...
Mañana no salgo a la calle ni por error
Si solo se pusieran un poco las pilas, las licitaciones en este pais son cárteles por doquier, da igual la licitación que veas 2 o 3 empresas gordas que ponen los mismos precios a todo, con diferencias infimas
Ahora se embolsaran esos 500.000€ se los gastaran en whisky en honor a rita barbera y lo dejaran hecho una mierda de hormigon... puta vida
#2 Ginebra, Rita era más de gintonics. Sé muy bien de lo que hablo.
#33 ingeniero de exito para Fintech, y solo cobra 60k? Muy bueno no será
#40 Será un tema actitudinal.
#17 #32 #40 #56 #48
Goto
enric-juliana-poniendo-sitio-marta-flich-caza-brujas-medios-como/c013#c-13
#64 No creo que la opinión de quien paga sea la misma que la del que cobra. Yo aprovecho mis tiempos "muertos" en formación, por ejemplo. (En realidad no tengo muchos tiempos muertos)
#2 Ahora se van a gastar el triple, porque lo que antes hacias con 2 llamadas a la API ahora tendras que hacer "scrapping" y bajarte toda la web para parsearla.
A la gente se le olvida que muchas API free, salieron para evitar los gastos de bots haciendo scrapping de la web entera
#4 a mi personalmente me importa poco que sea un croma verde, pero es que el tema novedades es 0, son todo refritos, remakes y vuelta a empezar...
Ostia, seguro que no lo sabia nadie (que no haya jugado, porque lo explican bien claro en TODAS las entregas)
Espero que le cunda el dinero y la fama en los 20 años que se pasará entre rejas, seguro que todos sus followers van a visitarlo
#2: Y que la licencia de piloto, se la han retirado, salvo que todos tengan las uñas cortas.
En este comentario pone por qué le han "yanqueado" la licencia de volar:
Al menos ha servido para algo la iglesia... :facepalm:
articulo del 2019, tocate las webs 
#8 Me ha hecho sospechar cuando en el artículo pone que en mayo estrenan John Wick 3....
#8 Por eso está en 
cultura no en 
actualidad
Parece que la gente no sabe que steam tiene una opcion para generar una copia física de un juego en soportes externos, con su instalador y todo, y se puede usar offline
#14 Te refieres a la copia de seguridad que se puede hacer. Que es como si no hicieses nada, ya que esa copia aunque la instales no se puede jugar salvo que se verifique la licencia. Por tanto si ya no existe forma de verificarla o bien usar un crack, para poder jugar o no puedes jugar a ese juego.
Saludos.
Por eso no hay nada mejor que micrófonos con botones físicos
#1 Que yo sepa solo hay un equipo que los traiga: el Purism. Y es demasiado caro para lo que ofrece. Y no creo que el resto de equipos los incorporen, la verdad.
#6 Ah, mira, eso no lo sabía. El problema es que tampoco es que haya muchos cascos que tengan eso. De hecho, cualquier casco con Bluetooth no creo que lo tenga.
#10 Micros con botón mute sí hay y baratos, yo tengo uno usb de hace muchos años.
#11 La verdad es que no sé si fiarme. Si son por jack de 3,5 sí, porque eso corta la corriente, pero si son USB… la verdad es que no me fío.
#12 Los HS50,60,70, etc. de Corsair aparte del botón, tienen micrófono por conector 3.5 extraíble. Además de ser de los pocos cascos con micro que te puedes comprar sin lucecitas RGB y demás diseños gamer
Hay cantinflas, hay meneo
#2 RIP
Ayer el popular servicio de juegos Steam sufrió el robo masivo de cuentas debido a un fallo en su sistema de recuperación de cuentas que permitía cambiar la contraseña de un perfil solo con conocer el nombre de usuario y usando un código de validación vacio. Valve ya ha subsanado el error pero se recomienda encarecidamente el cambio de la contraseña. Hilo de reddit: https://www.reddit.com/r/Steam/comments/3elt4w/several_twitch_streamers_just_got_hijacked_and/
Tira "semanal" de Sinergia sin Control... El "windows" nuevo...
Un nuevo capítulo en vuelo espacial comenzó la semana de julio de 1950 con el lanzamiento del primer cohete desde Cabo Cañaveral, Florida: el Bumper V-2. El Bumper V-2 era un ambicioso programa de cohetes de dos etapas que constaba de la base del cohete V-2 con un cohete WAC Corporal. La parte superior podía alcanzar altitudes de casi 400 kilómetros (Un record en aquel entonces), más alto que la mayoria de cohetes de la epoca.
Ser un ingeniero experimentado significa asistir a estas reuniones y no dejar que la expresión de pánico aflore en tu cara cuando el comercial habla...
Carta del padre del portero del Girona tristemente fallecido el sábado a Alfonso rus, Alcalde de Xativa, President de la diputació de Valencia y Presidente del CF Olimpic de Xátiva, que se nego a guardar un minuto de silencio por la muerte de Nil Marin en el último partido que jugó el equipo. (Traducción en #1) Relacionada: El Xàtiva niega minuto de silencio por la muerte de un jugador de la cantera del Girona. "Hacedlo en vuestra casa"
#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra