A mio parere, per quel che riguarda il programma di Cashback, la App IO chiede troppi dati sensibili, facilitando quindi possibili azioni fraudolente (la storia ci insegna che nessun DB, seppur criptato, sia al 100% sicuro e non si possa violare)
Mi riferisco in particolare alla richiesta di registrazione del codice di sicurezza (CVV) .
La verifica di questo codice serve solo in fase transattiva. Dato che per la certificazione delle transazioni al fine del riconoscimento del Cashback questa fase si e’ gia’ verificata, non ne capisco la richiesta. E’ un inutile esposizione di dati sensibili.
Volendo, anche la scadenza e’ altrettanto inutile ai fini dell’individuazione di una specifica carta di credito. A questo scopo è infatti sufficiente il numero, quello di 16 cifre, che è unico per ogni carta di credito e non varia nemmeno in caso di rinnovo.
Se ho fatto una spesa con la mia carta, bastera’ controllare la transazione con il mio numero di 16 cifre. Non serve altro.
Spero quindi che i programmatori se ne rendano conto e che modifichino la App per quel che concerne la funzionalita’ del Cashback. Nel frattempo ne faro’ a meno. La sicurezza delle mie carte di credito vale di piu’ di qualche decina di euro.
I dati che fornisci servono a convalidare la carta, tramite la preautorizzazione di pochi centesimi, che poi verranno stornati.
E’ vietato in qualsiasi forma conservare i CVV delle carte, nemmeno il loro hash. Tra l’altro lo scopo del CVV (è stato inventato per questo) è avere maggiore certezza del fatto che la carta sia tra le mani di chi la sta utilizzando in un determinato momento.
Questo a tutela sia del cliente che “dell’esercente”.
Se un gestore conservasse i CVV anche solo per sbaglio… verrebbe escluso seduta stante da tutti i circuiti.
A dirla tutta, una transazione online può essere in teoria avviata anche senza CVV… basta pensare ad amazon, non chiede il CVV. Vero è che amazon ha un “potere contrattuale” enorme e mette in campo garanzie mastodontiche nei confronti dei circuiti…
Grazie per la risposta. Forse mi ripeto, ma non c’e’ nessun bisogno di verificare che la carta sia attiva o sia in mano mia perche’ la transazione e’ gia’ avvenuta presso un esercizio commerciale, quindi la funzionalita’ e’ gia’ garantita. L’unica verifica che il servizio Cashback deve effettuare e’ la corrispondenza tra la transazione e la carta che e’ stata registrata.(quindi basta il check dei 16 numeri della carta) Va da se che il beneficiario del cashback sara’ sempre e solo l’intestatario della carta, anche se per assurdo, la carta e’ usata da un terzo (anche fraudolentemente, in maniera paradossale) Quindi la richiesta del CVV non ha nessuna logica plausibile, tanto piu’ se non viene conservato. Ipoteticamente, il giorno dopo la verifica, la carta potrebbe essere rubata, ma tutte le operazioni successive sarebbero, ai fini del cashback, sempre a beneficio del legittimo proprietario, comunque.