On Mon, 13 Feb 2012, witrak() wrote:

> Gotfryd Smolik news <s...@s...com.pl> wrote on 2012-02-13_16:19
>> On Fri, 10 Feb 2012, witrak() wrote:
>>
>>> Dlaczego uważasz, że dane karty to klucz ?
>>
>> Nie każde dane, ale "kompletne", czyli takie które pozwalają
>> przeprowadzić transakcję, już tak.
>
> Przez klucz ja rozumiem *tylko* to, co pozwala dokonywać
> transakcji wielokrotnie, zgodnie z prawem/regułami/umową (tak, jak
> klucz do drzwi otwiera zamek za każdym razem niezależnie od tego,
> czy wchodzi ze mną żona, kochanka, czy pijany sąsiad :-) ).

No to IMO się nie zgodzimy: klucz to jest coś, co MOŻE
być używane wbrew umowie. Przepis z KW wprowadzający
karalność za samo nieuprawnione posiadanie klucza
podałem (najwyraźniej nie ma znaczenia legalność
wejścia w posiadanie).

>> Jednorazowe działające na dowolną liczbę transakcji?
>> Ciekawa konstrukcja :D
>
> Nie. Zgodnie z tym co tu wyczytałem, zapamiętywanie CvC2 jest
> zabronione.

Ale zabronienie IMO nie powoduje, że to przestaje być *klucz*.
To jest klucz, bo pozwala skorzystać z zamkniętego mechanizmu,
otwiera zamek.

> Wynika mi z tego, że jakikolwiek system, który to
> zapamiętuje jest zbudowany z naruszeniem prawa/umów/czy-co-tam-innego.

Owszem.
Mi chodziło o człowieka który sobie ten CCV2 spisał.
On *ma klucz*, w ręku (albo w głowie ;))

> Na tej zasadzie zawsze protestowałem, gdy kasjerki w Castoramie
> patrzyły na revers karty i coś wklepywały w terminal kasowy -
> obawiając się, że spisują CVC2.

Na tej podstawie nie spotykam się ze zrozumieniem, tłukąć
zawzięcie że powszechna technologia przedstawiania
kasjerowi karty do "przeciągnięcia" jest IMO nielogiczna.
Ale to OT (za to widzę że miejscami zgodnie).

>
>>
>> [...]
>>> transakcja TO ani IO tylko MO. A w Europie (w szczególności
>>> w Polsce, bo wygląda, że jesteśmy w czołówce - ze względu na
>>> przyrodzoną (?) nieufność do sklepów i punktów usługowych)
>
>> Nienienie.
>> W USA "od zawsze" był mechanizm cofnięcia zapłaty (chargeback),
>> w Polsce jej *NIE BYŁO*. Gdzieś tak do 2002, ledwo 10 lat wstecz.
>> Do momentu wprowadzenia tej regulacji do prawa wręcz pisałem,
>> że w .pl zwyczajnie nie wolno (w znaczeniu rozsądku, nie
>> niemożliwości lub prawa) płacić kartą i basta.
>
> Ale co to miałoby do rzeczy, jeśli idzie o bezprawne używanie
> zapamiętanych danych, skoro już samo zapamiętanie byłoby
> naruszeniem prawa ?

Nic, to jest uwaga do Twojej offtopicznej uwagi do "braku
zaufania", nie odnoszona do CCV2, za to dużo mającej
do możliwości składania reklamacji do wydawcy karty
(często banku) zamiast "pańskie pieniądze są
u sprzedawcy, pan sobie u niego składa reklamację".
We flejmach "za czy przeciw kartom" właśnie ten mechanizm
jest opiewany jako dający wszelkie przewagi nad wadami
kart :D (wszystkimi łącznie i każdą z osobna).

>> W tej chwili w .pl nadal powszechne jest wprowadzanie danych
>> poprzez "wypuszczenie karty z rąk" (a nie samodzielne przeprowadzenie
>> przez czytnik) - i wcale mnie owa "nieufność" *NIE DZIWI*.
>
> Tak jest w wielu krajach Europy w znacznej liczbie punktów
> sprzedaży, ale mówimy o transakcjach zdalnych bez fizycznej
> obecności (karty w czytniku).

Wiem, ale to ciągle OT wynikły z Twojego OT :D

>>> idzie
>>> się w kierunku podawania danych karty nie sklepom, tylko
>>> acquirerom...
>>
>> Cóż.
>
> Ale to akurat jest chyba dobrze, czyż nie ?

Raczej tak.

> W każdym razie ja wolę, aby moje dane miało dziesięć firm na
> krzyż, niż każdy sklepik...

<cd OT>
I z tego powodu ciągle czekam, czy "powszechne w Europie"
mechanizmy wykonywania autoryzacji przez sprzedawcę (a nie
przez klienta) zaczną się w końcu zmieniać.
Dodam, że dopuszczam koncepcję używania płatności
"zbliżeniowych", o ile autoryzacja jest oparta o jakiś
trudniejszy do złamania mechanizm.
W każdym razie - tak, aby "na zewnątrz" nie dawało się
zebrać kompletu danych potrzebnych do fraudu, niezależnie
czy ktoś usiłuje mi wyrwać kartę z ręki czy wystarczy
aby podsłuchał tramsmisję.

pzdr, Gotfryd