クレジット/デビットカードを簡単に安全にすることはできませんか？

すべての非常に良い質問。ここには多くのニュアンスと歴史があり、興味があれば、研究に値する短い回答を除外する必要があります。

商人がオンライン取引の詳細を保持していなかった場合、そのような漏洩は避けられなかったのでしょうか？言い換えると、VisaやMastercardのような支払い処理業者が仲介者として機能できないのはなぜですか？

販売者は、トランザクション後に支払いの詳細を保存することは想定されていません。サブスクリプション-ただし、カード支払いを行うために従わなければならない要件に違反して、サブスクリプションを管理する組織（通称、ペイメントブランド、VisaおよびMastercardがスポンサー）の後にPCIと呼んでいます。もちろん、これらの不適切な保管場所は危険にさらされており、関係する商人にかなりの罰金と費用がかかります。

ただし、ストレージは、適切か不適切かにかかわらず、唯一の攻撃ポイントからはほど遠いです。販売時にカード所有者からカードの詳細を取得し、関係するさまざまな銀行と通信するための機械が必要です-少なくとも取得銀行、商人がカード所有者の支払いを収集できる関係にある銀行-およびカード所有者銀行。クレジットの使用を承認したり、デビット用の資金が利用可能であることを確認したりする銀行。この通信は、多くの場合、業界などに応じて、さまざまな層、専門分野、関係の形で機能する支払い処理業者の仲介者によってロジスティクス的に仲介されます。

通信フローのすべてのプレイヤーは、「cardholder-data-in-transit」に関するPCI要件を順守する必要がありますが、想像できるように、すべてのプレイヤーがこれで良いか悪いかを実行し、すべてが妥協の対象にもなっています。

とにかく、答えは攻撃者が弱点があるところに行くということです。支払い機構全体には多くの弱点があります。そのため、連邦準備制度は昨年、すべての支払いシステムのセキュリティと遅延の両方を体系的に改善するための国家プログラムを開始しました（ https://fedpaymentsimprovement.org/ を参照）。 =）。

特定の弱点が悪用され、世間での恥の最近の歴史があることは、システムに潜んでいる他の弱点がないことを示すものではありません。

なぜそのように機能しないのですか？

仲介者がいるだけではセキュリティは向上しませんが、攻撃の可能性を減らしたり、攻撃者の問題を単純化したりできます。

ただし、実際に参照しているのはより良いプロトコルであり、より優れたセキュリティを提供できます。これは、チップベースの支払い（米国ではEMVと呼ばれます）とそのオンラインのいとこトークン化の両方の増加に伴って見られます。どちらも暗号化を使用して、販売時点で使い捨ての支払い認証情報を作成することで機能します。常に再利用可能な支払い認証情報を配布するのではありません。興味があればそこにググるたくさん。

オンラインで購入する場合、CSC（カードセキュリティコード、カードに印刷された3桁または4桁のコード）は常に必要ですか？そうでない場合、それが必要かどうかは何に依存しますか？要求するかどうかは販売者次第ですか？

オンラインで購入する場合は必ずしも必要ではありません。決定は通常、商人の判断であり、実験的に重要視できます。

• トランザクションを完了するために消費者がより多くのデータを入力する必要があるため、売上の減少
• 大まかに言うと詐欺師が利用できない追加の要因による詐欺の減少
• cSCを使用する取引とそうでない取引で銀行を買収することによる手数料の削減。

それらが常に必要であるならば、何百万ものクレジットカードの詳細がハックのために漏洩するとき、なぜそれがそんなに大事なのですか？

さまざまな理由で、この種の問題に今より多くの消費者が注目しているため、ニュースの観点からは大きな問題です。絶対的な意味ではるかに被害が大きかった数年前からの大規模なリークは、メディアの注目をはるかに下回りました。

また、前述のようにPCIと呼ばれるルールが厳しくなり、ルールに違反した場合の罰金や罰則が大きくなっているため、ビジネスの観点から関係する小売業者にとっても大きな問題になる可能性があります。そのため、小売業者がルールを違反した場合（たとえば、カードを不必要に保管する場合）は、ビジネスに重大な影響を与える可能性があります。

すべての関係者が修復に慣れているため、運用上または詐欺の観点からはそれほど重要ではありません。消費者に新しいカードを送信し、古いカードを無効にし、すすぎ、繰り返します。新しく発行されたカードでは有効期限が短くなっているため、大量のカードを失うことは、ある程度、カードプロバイダーの通常のワークフローの延長にすぎません。

CSC番号が3桁または4桁しかないのはなぜですか？詐欺師はすべての可能性を試してみませんか？または、カードがブロックされるまでの最大試行回数はありますか？

トランザクション処理システムのシステムを実行するコードは、特定の時間枠内での同じ支払い手段に対する複数の試みを含む、実際のまたは試みられた詐欺のさまざまなインジケーターをチェックします。

地理的な合理化も数多くあります。同じ日に異なる地理的領域にある2つの物理的なPOSシステムで同じカード番号を使用すると、調査が厳しくなります。

しかし、ここには他にも多くのシグナルがあります。支払い詐欺は、機械学習にとって非常に興味深くアクティブなアプリケーション領域です。

CSC番号がカードに印刷されているのはなぜですか？両方のタイプのトランザクションを認証するために使用されるカードに書き込まれていないパスワードが1つだけあった方がよいのではないでしょうか。

利便性、すべての周り。

CSC番号が2番目の要素になるレベルにまで上昇しないと言っても間違いありませんが、2番目の要素は、ユーザビリティと利便性に関しては、現実の世界ではまだ実行不可能であると言っても間違いありません。セキュリティの人々でさえも、普通の消費者よりもはるかに少ない第2の要素に苦労しています。

より一般的な「第2要素」は、いわば、カード所有者の郵便番号を使用する必要があることです。これは、CSCを使用する場合よりもはるかに一般的です。

私の考えでは、CSCは、比較的控えめなインフラストラクチャの費用で詐欺が比較的控えめに軽減されたと考えられていますが、成功とは見なされていません。チップの支払いとトークン化は、はるかに大きな影響を与えます。

「1000万のクレジットカード番号が漏洩した」などの見出しを読んだ場合、実際には番号のみを意味しているのでしょうか。有効期限、カード所有者の名前などのデータがなければ、数字だけでは役に立たないのではないでしょうか。私の知る限り、トランザクションの認証にも使用されます。

報告された侵害は、侵害された当事者が支払いを取得するのに十分なデータであると見なしたもののすべてです。カード番号と有効期限は、支払い処理業者や他のダウンストリームシステムで常に必要とされる唯一のデータポイントです。名前、住所、郵便番号、電話番号、CSC、電子メールなどの他のデータポイントは、販売者、ビジネス、プロバイダーの関係などの特定の詳細に応じて、そうでない場合があります。

支払い時に収集される追加データに関するユースケースのほとんどは、厳密に支払いの検証ではなくマーケティング用です。