קריאת נתיני כרטיס אשראי מקורא כרטיסים

אבי 203

חבר שהתעסק בזה בעבר הגיב לי כך:

כן, זה מקלדת
מקבלים קוד זבל מספר כרטיס ותוקף ועוד קשקושים

לא הבנתי את כוונת החוקיות, לא ידוע לי על בעיה
אין הגבלת סכום,
אבל כל העסקאות נקראות לא בטוחות או יכול להיות מ 300 שקל

משתמש תמים

@mekev כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

חוקית מותר, כל סכום
זה מוגדר כעסקה טלפונית (על כל המשתמע, בעיקר בנושא הכחשות וביטולים)

זה מדויק לגבי קריאה בפס מגנטי לא לגבי contactless
במקרה של הכחשה החל מינואר 2020, חברת האשראי תפעל לפי חוקי העברת האחריות (Liability Shifting) החדשים :
במידה והעסקה בוצעה באמצעות כרטיס עם שבב (chip) בתקן EMV,
או באמצעות חיוב בקירוב (Contactless) , תחשב העסקה כעסקת EMV, ותוגדר כ: עסקה בטוחה. בכל מקרה של הכחשה, כשבוצעה עסקה בטוחה, בעל העסק יהיה מוגן מפני החזר חיוב. כלומר, חברת האשראי תגן על בעל העסק באופן אוטומטי במידה ובוצעה עסקה כזו.
מקור

שלומ

@yossiz כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

אני מעוניין לקבל סקירה על הנושא של קריאת כרטיסי אשראי

באיזה צורת קריאה אתה מתכוון ?
פס מגנטי או בשבב ?
זה מאוד שונה

mekev

@אבי-203 כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

כן, זה מקלדת
מקבלים קוד זבל מספר כרטיס ותוקף ועוד קשקושים

נכון
גם במקלדת זה תופעה זהה
מה שמקלידים זה מה שמופיע על המסך...

זה קורא את הקידוד במדויק
רק שצריך לפענח את מספרי הקידוד
וזה לא כ"כ מובן עבור האדם הפשוט שלא יודע את המפתח

avi rz

@yossiz כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

טכנית: איך מקבלים את הנתונים, זה מתפקד כמקלדת? האם מקבלים את כל השדות של הכרטיס?

זה מחרוזת אחת של מספרים.

@yossiz כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

חוקית: האם מותר לעסק להשתמש בזה לקבל נתוני כרטיס? עד איזה סכום?

שבקשתי מנדרים פלוס, שיתנו לי אפשרות ב API לשלוח להם את כל הטקסט שאני מקבל מהפס מגטני במקום להקליד כל דבר בנפרד,
התשובה הייתה: אנחנו לא יכולים, זה לא חוקי, צריך תקן PCI למכשיר (משהו כזה) והגיוני שבאמת היום בכל החנויות אין כמעט חנויות שמעבירים בקופה אלא דרך מסופון שמתוקשר עם התוכנה של הקופה. (משער: שזה לא רק בגלל הצ'יפ קירבה)

mekev

@avi-rz כתב בקריאת נתיני כרטיס אשראי מקורא כרטיסים:

זה לא חוקי

חוקית,
זה חוקי לחלוטין
במקום להביא ציטוטים מאתר בנק ישראל / חברות הסליקה
ניתן לעשות לבצע חיפוש עצמאי בגוגל ל'תקן EMV'

חברות האשראי אכן דוחקות ודי מנסות שכולם יעברו לבצע סליקה דרך EMV
כי
א. זה חוסך להם המון משאבים וכוח אדם (בטיפול בהכחשות, וכו')
ב. הם עושים קופה די יפה ממכירת המכשירי פינפד (שמשום מה, לא ניתן להעביר אותם מחברה לחברה, או לרכוש עצמאית, ואתה כבול אליהם בלבד)
ג. בנק ישראל והמדינה מעודדים את זה

מצד העסק
אכן מאוד שווה לבצע את הסליקה בצורה החדשה והמאובטחת
זה מצמצם דרסטית את הנזקים בעקבות הכחשות

אבל זה בהחלט אפשרי לסלוק בדרך הישנה
באמצעות הקורא שפתיים הישן והותיק

משתמש תמים

@mekev אפשרי בנתיים יש כבר תאריך סיום תמיכה שנה הבאה.
(זה תמיד יהיה אפשרי כעסקה טלפונית אבל זה כבר חתיכת סיכון לעסק במקרה הכחשה)

חוקר

כמו שהקודמים כבר כתבו, יש תוכן של הפס המגנטי וממנו ניתן לפענח את המידע של מספר הכרטיס והתוקף, לא את ה CVV.
יש חברות שכן מאפשרות לשלוח את התוכן של הפס המגנטי כמות שהוא, ולכאורה זה מקבל קצת יותר משמעות מבחינת אמינות העסקה כלפי הכחשה. (חוקית אסור לשמור את תוכן הפס המגנטי)
למשל חברת זד כרדיט, ניתן להעביר את תוכן הכרטיס בפרמטר Track2 ואז לא צריך להעביר את מספר הכרטיס בפרמטר CardNumber וכן את התוקף.

sh774

מבחינה טכנית הצלחתי עם cardpeek לקרוא את המספר אשראי מהשבב

כוספים למשיח

@sh774
איך בדיוק הצלחת?
מה עשית בדיוק?

sh774

@כוספים-למשיח
https://github.com/L1L1/cardpeek/blob/master/doc/emv.md