Groupon SG正在存储客户的信用卡信息

Question

今天我从新加坡团购网站上买了一份礼物。然后我意识到我要做的只是登录并点击“提交订单”按钮，因为他们存储了我之前购买的信用卡信息。

这里所说的信用卡信息是指:信用卡号码、信用卡有效期和信用卡背后的安全号码(CVV2)。这足以让小偷清空你的银行账户(如果是借记卡的话就更容易了)。

我确信他们已经存储了我的信用卡信息，因为我开始使用Firefox的私人浏览“干净的浏览器”。正如你在屏幕截图中看到的，在我点击“购买”的任何交易后，我不需要输入任何东西，他们拥有一切。甚至他们也在屏幕上显示了生效日期：

我某种程度上知道，存储客户的信用卡信息是非法的，特别是对于准备用于下一次购买(这样他们就不必重新输入信息)。但我在万事达卡或签证协议上找不到。

这方面有没有官方的法律，我们在哪里可以报告这样的事情呢？

如果这真的是违法的话，我希望他们至少因为他们的所作所为而被罚款。

编辑

下面是他们在FAQ页面上的内容：http://www.groupon.sg/faq

Groupon安全吗？非常好。您的信用卡号码由SSL直接传输到安全的电子金库。您的信用卡信息从未存储在我们的服务器上。尽管如此，此安全性仅适用于您在使用后退出Groupon帐户！保持Groupon帐户的安全是您的责任。

事实是，他们储存信用卡信息，你甚至可以在Facebook账户注册。一个简单的点击“连接到FB"，你甚至不需要输入任何密码来为信用卡充电。

即使这是合法的，他们在处理付款过程中也表现出了一些粗心的品质。他们没有提供一个适当的接口来保护我们的安全。

最新答案的最新消息根据以下帖子中的一些答案，证明存储信用卡信息是合法的，只是网站应该遵循PCI的安全标准。但似乎没有人负责确保每个网站都遵循这个标准吗？

不确定这种情况是否只发生在Groupon新加坡或全球所有的Groupons上。

https://stackoverflow.com/questions/8425707/groupon-sg-is-storing-customers-credit-card-information

Answer 1

我已经给VISA团队发了电子邮件，下面是他们的回复：

感谢您与Visa团队的联系。由于提供了这些信息，我们无法确认Groupon是否存储敏感卡信息。星号可能不代表实际的CVV2，您的卡帐号也被蒙住了。如果您对您的信用卡帐户有任何疑问，请与您的开证行联系，以提交正式符合要求。谢谢。

诚挚的问候,

认可机构队

============================

我想我们真的什么也做不了。然而，我将设法关闭我在Groupon上的帐户。

谢谢格雷格分享你的经验。

Answer 2

我不相信除了那些旨在防止欺诈的法律之外，没有任何实际的法律来防止存储信用卡的细节。然而，PCI-DSS无疑对信用卡细节的存储、传输和处理采取了更强硬的立场。惩罚是针对商人的，可能是相当严厉的，因此有基于行业的制裁，以阻止不遵守。

如果您阅读PCI-DSS遵从性文本，您将看到一个商人--拥有适当的基础设施和安全系统--可以在卡片上存储完整的CC#、过期日期和姓名。在任何情况下，它们都不能存储CAV2 2/CVC2/CVV2 2/CID(甚至不能以加密的方式存储)。参见第3.2.2节 (这是PCI评估问卷中最普遍的形式)。

你确定他们把数字存储在卡的背面吗？这是明目张胆的违规行为。VISA和MC都有方法来报告那些不遵守PCI的商家，并且作为全球品牌，他们在新加坡被强制执行。

Answer 3

我不知道Groupon PCI-DSS的立场，但他们可能没有处理事务本身。有许多公司处理实际事务，只是提供一个集成到商店应用程序的IFRAME (或者重定向到他们的站点--但这可能不是您的情况)。这通常用于没有大量交易的商店。

否则，正如格雷格所指出的，该公司可能已经采取了PCI评估(SAQ )，这是相当全面的。

或者，您可能需要检查您的银行是否发行虚拟CC号码(您得到一个唯一的一次性使用编号，它允许一个预定义金额的交易)。