W dniu 2016-08-17 o 21:09, Krzysztof Halasa pisze:
> Generalnie sprzedawcy powinni akceptować karty tylko magnetyczne, mogą
> już nie umieć.

Jest jeszcze trochę takich kart w użyciu, np podarunkowe sodexo: visa
electron z paskiem, bez chipa. Pewnie są tańsze od chipowych i dlatego
"darczyńcy" je wybierają :)

Pozdrawiam

do góry

W dniu wtorek, 16 sierpnia 2016 21:16:44 UTC+2 użytkownik Krzysztof Halasa napisał:

> > Hmm, płacenie pikaczem > 50zł to nieistotny wyjątek ?
> Jasne. Wystarczy zrobić transakcję "kontaktową" i może być PIN offline.
> Po co w ogóle tam NFC to nie wiem. Żeby się styki w terminalu nie
> wycierały?

Kwestia gustu, dla mnie pomysł wyposażenia karty w funkcję zbliżeniową jest
ważniejszym wynalazkiem niż umieszczenie na niej chipa, a może nawet jeszcze
ważniejszym niż pasek magnetyczny z danymi.
Właśnie po to, żeby się styki czy karta nie wycierały - a od strony czytnika nie było
brudzenia, wkładania w tę czy inną stronę itp.
Oczywiście wszystko można popsuć np. proponując naklejki na telefony, które potrafią
skutecznie odczyt karty zakłócić.
Ale wygoda, szybkość oraz możliwe różne postacie "urządzenia płatniczego" - bo można
pozbyć się formy karty - są na poziomie rewelacji, chip to samo dno, pasek jeszcze
się jakoś broni.

Zaś pin offline to w ogóle jest bardzo dziwna sprawa, pewnie mam luki w wiedzy, stąd
niezrozumienie, ale wygląda na to, że w i Europie mieli spore kłopoty i opóźnienia z
jego wprowadzeniem - już dawno była gotowa infrastruktura do sprawdzania PINu on-line
więc właściwie jedynym powodem wprowadzania PINu off-line były transakcje off-line,
które choćby w PL odchodzą niestety do lamusa z uwagi na obawę przed fraudami oraz
powszechną dostępność sprawnej łączności.
Dokończyli to chyba jedynie z uwagi na płatności w samolotach, na statkach itp., bo
akceptantom mocno mógł dopiec liability shift.
Zaś w USA opóźnienia w adopcji EMV spowodowane były głównie brakiem możliwości
sprawdzania PINu on-line dla kredytówek (bo dla debetówek mają - ale obsługują to
różne sieci) - a wybór chip&sig zamiast chip&pin był podyktowany sumą tych problemów
- nie było sieci do sprawdzania PINu on-line, a z PINem off-line były takie same
kłopoty jak w Europie (z resztą ten PIN też trzeba na kartę wgrać - albo przez sieć
on-line albo w banku - i PIN idzie wtedy pocztą).

> > Hmm, w banku też grafolodzy nie pracują, a autoryzujesz dyspozycje
> > (chociażby wypłaty kasowej) podpisem, który sprawdzają z tym z umowy.
> Aaaa, nie oglądają przypadkiem np. jakiegoś DO?
> Są jeszcze takie banki?

A, spoko, DO jest pewną przeszkodą - ale nie dla kogoś, komu uda się wykraść jego
dane, np. xero - można było, a może i wciąż można, zamówić sobie "dowód
kolekcjonerski" - z wyglądu nie do odróżnienia od prawdziwego. Bo nie musi być na nim
napisu wzór np. w tle - jedyne wymaganie to NAKLEJKA, że jest to "egzemplarz
kolekcjonerski".

> > Kasjer pewnie okiem niewprawnym będzie, bo w dobie PINów nie ma na
> > czym ćwiczyć, ale jeśli karty na podpis byłyby powszechne to jakiś tam
> > % fraudów by wyłapał - czy też może powszechna wiedza o tym, że "to
> > widać", powstrzymałaby różnych wannabe przestępców, bo profesjonalni
> > to daliby sobie z tym radę.
> Wątpię. Karty "na podpis" były jeszcze niedawno powszechne, i nic
> takiego się nie działo.

Nie słyszało się o tym - to nie znaczy, że się nie działo.
A to niedawno to już trochę dawno, w PL skończyło się tak koło wejścia do unii - niby
to tylko 12 lat, ale np. iPhone to połowa 2007 - 9 lat, a świat technologii zmienił
się niesamowicie.

> > Z resztą to mnie zawsze dziwiło, po co każą podpisywać karty (a do
> > tego jest zwykle problem ze znalezieniem długopisu, który by się nie
> > zmywał, ostatnio zadziałał mi dobrze stary, dobry pentel, którym
> > jeszcze maturę pisałem), skoro w banku wzór podpisu posiadacza mają ?
> A co ma do tego bank? Przecież bank nawet nie widzi podpisu klienta na
> sklepowym kwicie.

Chodziło mi o to, że bank mógłby na karcie nadrukować wzór podpisu, który klient po
coś w banku przecież zostawia - wtedy rzeczywiście karta byłaby podpisana w taki
sposób, jaki można zweryfikować.
To oczywiście mocno utrudniłoby wysyłkę kart pocztą - ale to też jest totalna kiszka,
zawsze się dziwiłem, czemu nie można się umówić na odbiór w oddziale.
A szczególnie w dobie kart z pikaczu - jeden popierdółka VW bank wysyła karty tak
skonfigurowane, że nie da się telefonem odczytać numeru i daty ważności. A wypisują
jakieś dyrdymały o "uszkodzonych kopertach".

> > A jak zapomnisz podpisać (albo podpis się zetrze - mi starł się po 2
> > latach) to może być problem - kiedyś po wymianie karty - i to z
> > paskowej na chipową - tak miałem, dobrze, że pani była łaskawa i karty
> > mi nie zabrała,
> Nie miała prawa zabrać bez polecenia banku :-)

Ale polecenie nie musi wyskoczyć z terminala - może być np. warunek w umowie, że
trzeba zabierać wszystkie niepodpisane.
A za uzasadnione zatrzymanie karty jest dla akceptanta nagroda ;>

> > Jeśli nie jest na miejscu przynajmniej porównany z podpisem na karcie,
> > to jest to potwierdzenie, że "ktoś" na transakcję wyraził zgodę,
> > niekoniecznie właściciel karty.
> Aktualny posiadacz karty.
> W przypadku utraconej karty za takie transakcje odpowiadają klient oraz
> bank, dla sklepu to jest wystarczające.
> Natomiast za transakcje, których nie potwierdził klient, odpowiada
> sklep.

To w końcu klient czy posiadacz ?
Choć teraz i tak jest tak, że w przypadku karty bez chipa odpowiada sklep.
Oczywiście "na podpis", dzięki jankeskim pomysłom, nie jest równe "bez chipa".

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Kwestia gustu, dla mnie pomysł wyposażenia karty w funkcję zbliżeniową
> jest ważniejszym wynalazkiem niż umieszczenie na niej chipa, a może
> nawet jeszcze ważniejszym niż pasek magnetyczny z danymi.
> Właśnie po to, żeby się styki czy karta nie wycierały

Jeśli jest potrzeba, można lepsze styki zrobić.

> - a od strony
> czytnika nie było brudzenia, wkładania w tę czy inną stronę itp.

Czy to są praktyczne problemy?
Bo teoretyczne się nie liczą.

> Ale wygoda, szybkość oraz możliwe różne postacie "urządzenia
> płatniczego" - bo można pozbyć się formy karty - są na poziomie
> rewelacji, chip to samo dno, pasek jeszcze się jakoś broni.

Fakt, karta z chipem "stykowym" musi mieć określony kształt. Czy to jest
praktyczny problem?
Wygoda i szybkość działania? Karty stykowe są przecież szybsze.
Tzn. byłyby, gdyby ktoś ich sztucznie nie spowolnił.

> Zaś pin offline to w ogóle jest bardzo dziwna sprawa, pewnie mam luki
> w wiedzy, stąd niezrozumienie, ale wygląda na to, że w i Europie mieli
> spore kłopoty i opóźnienia z jego wprowadzeniem - już dawno była
> gotowa infrastruktura do sprawdzania PINu on-line

Nie jest on jednak bardzo potrzebny.

> więc właściwie
> jedynym powodem wprowadzania PINu off-line były transakcje off-line,

Miała być szybkość. Żadna transakcja online nie będzie tak szybka, jak
transakcja stykowa offline.

> które choćby w PL odchodzą niestety do lamusa z uwagi na obawę przed
> fraudami oraz powszechną dostępność sprawnej łączności.

Z tą dostępnością to bym nie przesadzał.
Prawidłowa konfiguracja kart stykowych praktycznie zabezpiecza przed
fraudami, nawet takimi utraconą kartą.

> A, spoko, DO jest pewną przeszkodą - ale nie dla kogoś, komu uda się
> wykraść jego dane, np. xero - można było, a może i wciąż można,
> zamówić sobie "dowód kolekcjonerski" - z wyglądu nie do odróżnienia od
> prawdziwego. Bo nie musi być na nim napisu wzór np. w tle - jedyne
> wymaganie to NAKLEJKA, że jest to "egzemplarz kolekcjonerski".

Na to nie ma dobrej rady - z zabezpieczeniami dokumentów jest tak samo,
jak z zabezpieczeniami banknotów.
Zawsze można przecież zmienić wzór podpisu, albo wysłać "notarialnego"
pełnomocnika.

> Nie słyszało się o tym - to nie znaczy, że się nie działo.

Faktem jest, że kasjerzy praktycznie nie wyłapywali utraconych kart,
przez porównywanie podpisów.

> Chodziło mi o to, że bank mógłby na karcie nadrukować wzór podpisu,
> który klient po coś w banku przecież zostawia - wtedy rzeczywiście
> karta byłaby podpisana w taki sposób, jaki można zweryfikować.

A jakim problemem dla złodzieja jest wyćwiczyć podobny podpis?

> To oczywiście mocno utrudniłoby wysyłkę kart pocztą

Wątpię. BTW banki takie rzeczy robiły, bez wielkich sukcesów raczej.
Dopiero wprowadzenie PINów zmieniło sytuację.

> Ale polecenie nie musi wyskoczyć z terminala - może być np. warunek w
> umowie, że trzeba zabierać wszystkie niepodpisane.

Gdybanie, warunku nie ma.

>> Aktualny posiadacz karty.
>> W przypadku utraconej karty za takie transakcje odpowiadają klient oraz
>> bank, dla sklepu to jest wystarczające.
>> Natomiast za transakcje, których nie potwierdził klient, odpowiada
>> sklep.
>
> To w końcu klient czy posiadacz ?

Dla sklepu bez znaczenia. Kwestia ew. PINu.

> Choć teraz i tak jest tak, że w przypadku karty bez chipa odpowiada
> sklep.

Nie, w takim przypadku odpowiada wydawca karty (z dokładnością do
szczegółów).

> Oczywiście "na podpis", dzięki jankeskim pomysłom, nie jest równe "bez chipa".

Oczywiście że nie, to kwestia autentyczności karty, a nie klienta.
--
Krzysztof Hałasa

do góry