Krzysztof Halasa <k...@p...waw.pl> dared to write:
> Jacek Osiecki <j...@c...pl> writes:
>
>> Dokładnie, sam też już używam KK citi wyłącznie do płatności
>> internetowych...
>
> Duzo musisz kupowac w sieci zeby mialo to jakis sens.

Przecież karta Citi może być za darmo bez wyrabiania żadnych limitów.


>> Użycie tego syfu w sklepie to skrajne ryzyko :(
>
> Duzo wiekszym ryzykiem jest uzywanie karty bez scalaka, gdyz wtedy
> w przypadku fraudu skopiowana karta (a skopiowac ja jest bardzo latwo)
> bank nie moze zrobic chargebacku "bez podawania przyczyn", i cale ryzyko
> spada w praktyce na klienta. Nie zalezy to specjalnie od PINu, i w sieci
> jest wiele skarg klientow (tak tak, takze z Europy Zachodniej i USA),
> ktorych bank obciazyl kosztami fraudow bez uzycia PINu.

To że bank nie może zrobić chargebacku w żaden sposób nie oznacza, że za transakcję
płaci klient. Po pierwsze, klienta przecież chroni fakt, że przy transakcji bez PIN-u
podpis jest sfałszowany. Poza tym, ryzyko związane z transakcjami karcianymi jest
dzielone między: bank, acquirera, sprzedawcę i na koniec klienta, przy czym przy
oczywistym fraudzie ryzyko dla klienta jest pomijalne (poza, być może, zablokowaniem
karty bądź jakiejś sumy na koncie).
W USA karty nie mają procesora, dyskusja dlaczego banki obciążają tam klientów jest
trochę inna.


> Jesli uzywamy karty z procesorem, przynajmniej teoretycznie (ale takze
> praktycznie, jesli mamy do czynienia z sensownym bankiem) posiadacz nie
> odpowiada za fraudy bez wykorzystania procesora. PIN to sprawa wtorna,
> podejrzenie (lub np. podsluchanie) PINu jest duuuzo latwiejsze niz
> skopiowanie zawartosci scalaka. PIN na karcie ze scalakiem chroni
> glownie przed fraudem utracona karta.
>
> Inna sprawa, ze potwierdzanie PINem powinno wystepowac tylko w przypadku
> weryfikacji PINu przez karte (a wiec chip) i moze jeszcze przy
> (szyfrowanej) weryfikacji online (takze jesli uzywamy procesora).

Nie zgodzę się. Nie należy klienta uczyć wprowadzania PIN-u na ekranie komputera. PIN
jest wyłącznie do POS-ów i bankomatów. Prawda, niektóre banki każą podawać PIN do
karty online - praktyka krytykowana przez specjalistów od zabezpieczeń.

> PINu nie powinno sie podawac przy transakcjach innych niz z uzyciem
> procesora. Nie jest to jednak zasadnicza roznica, bo nawet przy
> transakcji chipowej sciezka magnetyczna karty moze zostac skopiowana,
> a PIN np. podsluchany.

Niby tak, ale 99.99% transkacji z paskiem i PIN-em jest "legit" - czy z powodu 0.01%
ryzyka warto blokować pewną funkcjonalność?

k.