WOJSAL <w...@N...pl> dared to write:
> Dotyczy płatności w sklepach, w realu (tzn. niekoniecznie o tę sieć
> hipermarketów tu chodzi ;).
> 1. Jaką mam pewność, że autoryzując transakcję przy pomocy PIN, mój PIN
> oraz inne dane z mojej karty nie zostaną przechwycone przez inne osoby
> (np. nieuczciwy serwisant czytnika kart, nieuczcziwy dostawca czytników
> kart do sklepu)?

Taką samą pewność, jak na to, że jutro Cię nie okradną na ulicy.

> 2. Po czym mogę poznać, że dany czytnik kart jest bezpieczny (np. nie ma
> wmontowanego modułu kopiującego dane kart)?

Po niczym. Nie podrabia się czytników tak, żeby dało się poznać.

Znane są przypadki wmontowynia modułów kopiujących (bezprzewodowo - przez sieć GSM)
jeszcze na etapie produkcji czytnika.

> Pytałem o to jeden z większych banków polskich i otrzymałem odpowiedź
> (to było jakieś Ctrl+C + Ctrl+V z jakiejś strony - bo odpowiedź ogólna i
> nie na temat). Otóż wg tego banku, do zapewnienia bezpieczeństwa
> wystarczy, że (fragment dotyczący zakupów w sklepie):
> * Przed zatwierdzeniem transakcji podpisem lub przez wprowadzenie
> kodu PIN sprawdzamy kwotę na wydruku lub na ekranie czytnika kart.

Działa w 99% przypadków, ale da się obejść.

> * Upewniamy się, że sprzedawca zwraca nam kartę wraz z kopią dowodu
> kasowego.

I co?

> * Pilnujemy karty, pamiętając o kieszonkowcach.

Genialne, nigdy bym na to nie wpadł.

> * Nie zostawiamy karty w samochodzie.

Czy to kolejny "bank nie dla idiotów"?

> Brakuje tu jeszcze odpowiedzi w stylu, żebym nie wrzucał karty do
> sedesu, bo mogę ja stracić itp
> Jak to się ma do moich pytań - każdy widzi.
>
> Może ktoś z grupowiczów zechciałby odpowiedzieć na moje pytania odnosnie
> bezpieczeństwa autoryzacji transakcji w sklepie przez PIN.


W teorii istnieje niezerowa szansa śmierci od uderzenia meteorytu (co roku
kilka-kilkanaście przypadków).

Teoretycznie, każda transakcja to ryzyko utraty danych z karty - bezpieczniej jest
karty w ogóle nie mieć albo przynajmniej nigdy nie wyjmować z sejfu.

Statystycznie, 99.9999% autoryzacji przebiega bez fraudów.

> Jest to o tyle istotne, że banki nie honoruja reklamacji transakcji
> autoryzowanych przez PIN.

Nieprawda. Banki są zobowiązane honorować reklamacje wszystkich transakcji, których
nie autoryzował użytkownik karty (bezpośrednio lub przez nieuwagę, np. ujawniając PIN
osobom trzecim). Z tym, że dowiedzenie winy użytkownika jest obowiązkiem banku.

> A nie każda utrata PINa musi być przecież z
> winy użytkownika karty.

Słusznie, patrz teoria wyżej. Jeśli praktyka banku odbiega od teorii, tym gorzej dla
banku (oczywiście jeśli trafi na inteligentnego klienta).

k.