donderdag, november 29, 2007

Wanneer schiet BCC in actie?

Bankcard Company (BCC) verstuurt kredietkaartnummers onbeveiligd over het Internet. Dat hebben we eergisteren ontdekt. Nu is de grote vraag: hoe kunnen we dat melden zodat er iets aan gedaan wordt?

Op de website van de "Spaar en Pluk" actie bestaat de contactpagina uit één 0900 betaalnummer. Niks emailadres. Niks online formulier. Dat is om zeker te zijn dat je hen zeker niet zou lastigvallen. Op de contactpagina van de website van BCC staat een gewoon telefoonnummer maar alweer geen emailadres of online formulier. Ik weiger om opmerkingen over een website via telefoon door te geven. BCC wijst je blijkbaar veel liever door naar de uitgever van je kredietkaart.

Ik heb eergisteren dan maar een email gestuurd naar webmaster@bcc.be maar tot op heden is daar geen enkele reactie op gekomen. Vermoedelijk is dat verticaal geklasseerd (tussen een hoop spam).

Daarnet heb ik dan maar op de Dexia website (want dat is de uitgever van mijn Visakaart) een online formulier ingevuld waar ik mijn bevindingen beschrijf met de vraag om dit op te nemen met BCC. Ik ben benieuwd of dat iets gaat opleveren.

Om je nog een idee te geven van de ironie van de hele zaak, een stukje tekst van de BCC website over het veilig kopen via Internet:
Een veilige site herkent u aan het gesloten slotje in Microsoft Explorer of een volledig sleuteltje in Netscape Communicator, links onderaan uw computerscherm. Aan het internetadres wordt ook de letter 's' toegevoegd: 'https://www....' in plaats van 'http://www....'
Handige tips inderdaad. Jammer dat hun eigen site daar dus niet aan voldoet. Volgens hun eigen definitie een onveilige site dus.

Visa lacht trouwens niet met de beveiliging van kredietkaartgegevens. Zij hebben een hele hoop strenge procedures in hun Visa Cardholder Information Security Program. Hierin vind je onder andere:
Encrypt transmission of cardholder data and sensitive information across public networks
en
All eligible merchants and service providers, regardless of size (or in the case of service providers, whether they support issuing or merchant activity) must comply with the PCI Data Security Standard
en
Acquirers may be subject to fines of up to $500,000 per incident if a security breach is caused by a merchant or service provider who is not CISP compliant.
en (tromgeroffel)
Steps and Requirements for Compromised Entities: ... Alert all necessary parties immediately. Be sure to contact: ... Your local office of the Secret Service.
Zou er op de website van onze staatveiligheid wel een emailadres of contactformulier staan?

1 opmerking: