Códigos CVV de tarjetas y el portal entradas.com
El portal de venta de tickets entradas.com estaría cediendo a empresas ubicadas en México, Perú y Chile los datos de las tarjetas de crédito de sus clientes, incluido en teoría el código CVV para transacciones, según figura en varias autorizaciones de transferencia internacional de datos de la Agencia Española de Protección de Datos.
[ACTUALIZACIÓN 11-02-2014 20:13h] Desde el portal entradas.com me informan que en ningún caso se almacena el código CVV de las tarjetas de sus clientes y que si se menciona el código CVV en las resoluciones de la Agencia Española de Protección de Datos se debe a un intento de obtener una mayor cobertura legal con el objetivo de hacer bien las cosas.
[ACTUALIZACIÓN 11-02-2014 23:01h] Importante leer el artículo hasta el final, se incluyen aclaraciones relevantes.
[ACTUALIZACIÓN 11-03-2014 11:30h] El portal entradas.com ha sido vendido a CTS Eventim AG, más información al final del artículo.
Desde el año 2009, la entidad que dirige el portal entradas.com ha solicitado en 3 ocasiones una autorización a la Agencia Española de Protección de Datos para transferir datos personales desde España a empresas ubicadas en el extranjero: en el año 2009 fue a Chile, en 2011 a Perú y en 2013 a México. En estas solicitudes de autorización se debe indicar qué datos concretos de los que tiene la empresa española se pretenden facilitar a las empresas extranjeras, y en el caso concreto de entradas.com se ha detectado algo llamativo: junto a los datos habituales de nombre, apellidos y demás datos identificativos de los clientes, se incluyen: «datos de tarjeta de crédito, fecha de caducidad y código CVV».
Antes de continuar conviene responder a dos preguntas para entender el problema que se trata de describir en este post: ¿Qué es una autorización de transferencia internacional de datos? y ¿Qué diablo es el código CVV?
Vayamos con la primera ¿Qué es una autorización de transferencia internacional de datos en el ámbito de la protección de datos de carácter personal?
Cuando una empresa española pretende ceder o facilitar el acceso a los datos personales que tiene en su base de datos a empresas que se encuentran fuera de la Unión Europea, o a Estados respecto de los cuales la Comisión de las Comunidades Europeas no haya declarado que garantiza un nivel de protección de datos adecuado, será necesario que el responsable del fichero español solicite a la Agencia Española de Protección de Datos la autorización correspondiente para esta transferencia; de esta forma, si la Agencia estima que el destinatario de la información se encuentra en un nivel de protección adecuado y se respeta el resto de normativa aplicable, podrá autorizar esa transferencia de datos y proceder con ella.
Ejemplos de estas transferencias internacionales de datos las tenéis en este artículo que publiqué en 2011, donde comentaba las autorizaciones que había recibido Jazztel para transferir los datos de sus clientes españoles a 36 empresas fuera de la Unión Europea. Estas transferencias normalmente obedecen a la externalización de la atención al cliente de grandes compañías.
Y en segundo lugar ¿qué es el código CVV?
El código CVV, CVV2, etc, que en genérico se conoce como CSC (Card Security Code) es ese código que podemos encontrar normalmente en la parte posterior de las tarjetas de crédito y que cuando vamos a hacer una compra por Internet nos solicitan los comercios.
Este código es una medida de seguridad adicional para evitar fraudes en el uso de tarjeta de crédito en compras por Internet, de forma que al añadir un elemento que en teoría solo está escrito en el propio plástico de la tarjeta, obtenemos un plus de seguridad: si no tienes la tarjeta física no tienes ese código y por tanto no puedes operar con ella aunque conozcas el resto de datos (numeración y fecha de caducidad).
De ahí que sea tan importante no apuntar el código CVV en ningún sitio ni facilitárselo a nadie que no sea en la propia operación de compra en comercios seguros; tan importante es la confidencialidad de este código que las normas que regulan el pago con tarjeta de crédito/débito indican expresamente a los comercios que bajo ningún concepto almacenen el código CVV de los clientes.
Así, en la última versión del Estándar de Seguridad que rige para la industria de las tarjetas de pago, el Payment Card Industry – Data Security Standard (PCI-DSS), se indica que el código CVV/CVV2, etc, NO se almacenen por parte del comercio cuando es solicitado para una compra y que se utilice únicamente para validar la transacción. Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito. En concreto, el requisito 3.2.2 de esta norma establece expresamente «No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes«.
La siguiente tabla muestra lo que se puede y lo que no se puede almacenar en estas transacciones:
Volvamos ahora con el asunto de entradas.com
El 11 de mayo de 2009, la entidad TRANSACCIONES INTERNET DE COMERCIO ELECTRÓNICO S.A (propietaria en aquel entonces del portal entradas.com) recibe la autorización de la Agencia Española de Protección de Datos para una transferencia internacional de datos a la entidad TRANSCOM WORLDWIDE CHILE L.T.D.A con domicilio en Chile.
Como se puede observar, del listado de información que se pretende transferir relativo a los clientes del portal, tienen declarado, entre otra información, lo siguiente:
- Nombre y apellidos
- NIF
- Número de tarjeta de crédito, fecha de caducidad, código CVV
La finalidad de esta transferencia de datos es la de: «Atender ó contactar a los clientes del exportador de los datos para prestarles, por parte del importador de datos, servicios de atención al cliente para la información y venta de billetes y/o entradas de cine, museos, teatro, eventos deportivos y musicales entre otros.»
El 16 de enero de 2012 se autoriza una nueva transferencia internacional, por parte de la actual empresa que gestiona el portal, ENTRADAS SEE TICKETS, S.A., a la sociedad TRANSCOM WORLWIDE PERU, con domicilio en Perú. Los datos a transferir y la finalidad es la misma.
Y finalmente, el día 28 de octubre de 2013 se autoriza una nueva transferencia internacional a la entidad CINÉPOLIS DE MÉXICO, S.A., con domicilio en México, con la misma finalidad y los mismos datos.
Bajo mi punto de vista es ya un peligro que un portal tan conocido y utilizado como entradas.com almacene los códigos CVV de las tarjetas de sus clientes, pero más peligroso aun es que se estén concediendo transferencias internacionales de datos de este sensible código, sin que además el portal informe de esta situación, lo que provoca que al final, los datos de las tarjetas de crédito, incluyendo el CVV, estén circulando por múltiples empresas de varios países. Precisamente el código CVV es una barrera que depende de su confidencialidad, de suerte que si se pierde el control de quién conoce el CVV se pierde la efectividad de esta medida de seguridad.
De hecho lo habitual es encontrarnos con una situación conforme a las normas expuestas donde expresamente se declara que el CVV es muy importante y no se almacena.
Nos podemos fijar por ejemplo en la advertencia que Google hace en su Google Play respecto a este dato:
«Google Wallet solo envía la información del código CVC a tu banco para la autorización inicial de la tarjeta. Para garantizar la seguridad de la información de tu tarjeta de crédito, Google no almacena el código CVC ni lo envía para obtener futuras autorizaciones.»
O el portal de renfe.es, que sin ser un ejemplo de seguridad y usabilidad dice:
«Ya que el número CVV2 se encuentra en su tarjeta de crédito pero no se almacena en ningún lado, la única forma de saber cuál es el número CVV2 correcto es cuando se tiene posesión física de la tarjeta en sí.»
En el caso de entradas.com, la única referencia es esta:
«Introduce, en el campo correspondiente al pago con tarjeta, el número de tu tarjeta, la fecha de caducidad y el CVV2 o código de validación (que son los tres últimos dígitos del número situado en el reverso de la tarjeta). Pulsa FINALIZAR COMPRA.»
No dice nada de que se vaya a almacenar ni mucho menos que otras empresas vayan a tener acceso a ese dato.
El código CVV es tan importante como el código PIN, no lo facilitéis nunca por escrito en un formulario (aquí un ejemplo de formulario en papel donde solicitan el CVV), y mantenedlo siempre custodiado.
[ACTUALIZACIÓN 11-02-2014, 23:01H] Tras una conversación con entradas.com es necesario aclarar algunos puntos que podrían generar confusión.
Desde entradas.com se han puesto en contacto conmigo para aclararme el asunto de los códigos CVV y las transferencias internacionales de datos.
En primer lugar me aseguran sin margen de error que ellos NO almacenan los códigos CVV de las tarjetas de crédito de los usuarios; el motivo por el que aparece en las Resoluciones de transferencia internacional de datos de la Agencia Española de Protección de Datos se debe a un intento de obtener una mayor cobertura legal respecto al tratamiento de datos de los clientes de forma, que sin saber muy bien cómo, se añadió el dato de «CVV» junto al de «tarjeta de crédito/caducidad» a la hora de solicitar la autorización para la transferencia internacional cuando en realidad, según me indican, no almacenan el dichoso CVV. Por tanto hay que dejar claro que aunque en las autorizaciones de la Agencia se mencione el código CVV, entradas.com insiste y asegura que ellos no lo guardan.
En segundo lugar aclarar lo que significa «transferencia internacional de datos» que por los comentarios de algunas personas no parece que haya quedado claro. Cuando se habla de «transferencia internacional de datos» se hace siempre desde la perspectiva de la normativa sobre protección de datos; he intentado explicar al inicio lo que esto significa sin demasiado éxito. En el caso concreto de entradas.com la solicitud de «transferencia internacional de datos» no significa que estén vendiendo o comerciando con los datos con empresas en el extranjero, sino que, según me indica, se descentraliza el tema de la venta telefónica, de forma que los trabajadores de la empresa en México necesitan acceder a los datos que los usuarios aportan en el portal entradas.com para ofrecerles el correspondiente servicio de venta. Esto, como indiqué, es una práctica habitual en las grandes empresas. Por tanto, para que entradas.com pudiera descentralizar su servicio de venta telefónica era necesario que solicitara la autorización de la Agencia Española de Protección de Datos para que, los trabajadores de la empresa mejicana, pudieran acceder a la base de datos, a los efectos de prestar ese servicio (no se están vendiendo datos). La Agencia autorizó a entradas.com a realizar esta «transferencia internacional de datos», pero esto, insisto, no significa que se esté comerciando con ningún dato.
[ACTUALIZACIÓN 11-03-2014, 11:30h] Me informan desde el departamento de comunicación de entradas.com que el portal ha sido vendido a CTS Eventim AG. Durante el año 2013 entradas.com facturó 110 millones de euros y con casi 14 millones de usuarios únicos gestiona más de 40 millones de entradas al año, a través de sus diferentes canales, genera el 3,5% de las transacciones del e-commerce en España.
En relación a este acuerdo, María Fanjul, CEO de entradas.com ha indicado que: «Estamos muy contentos de este acuerdo, ya que CTS Eventim es una compañía líder en ticketing que cuenta con una de las tecnologías más avanzadas del mundo y nos va a permitir reforzar nuestra posición de liderazgo en España, así como continuar desarrollando nuestra expansión internacional en Latinoamérica«.
Según fuentes de la compañía, este acuerdo permite a CTS Eventim la expansión en Europa de la mano del líder del mercado español.
Comments
carlota
Buenos días Samuel.
Interesante y preocupante a la vez.
!Las empresas manejan los datos a su antojo!
Pero lo que no alcanzo a entender es cómo la AEPD autoriza dichas transferencias con esa definición de la finalidad! porque creo que la comunicación se debe hacer la AEPD antes de realizar la transferencia.
En fin, espero que cada vez más el ciudadano de a pie vaya conociendo el tema de la protección de datos y la importancia que tiene.
Awezoom
Pero entonces…la agencia de protección de datos ¿para qué está? Es que tienen a un mono autorizando las operaciones????? Entiendo que cuando les ha llegado esta solicitud NO habrán autorizado esa parte del envío de datos, no? Si no, qué impide a esa otra empresa, a la que nadie le ha cedido sus datos personales de compra, hacer cualquier tipo de estafa o vender esos datos en el mercado negro? ¿Para qué quiere ninguna empresa esos datos?
pako
La AEPD solo mira si se vulnera la ley de proteccion de datos personales. Si se hace segun normas y el usuario lo autoriza… Ellos no miran qeu segun otras normativas no se pueda almacenar ese dato. Y mas cuando las normativas como PCI-DSS son optativas.
El usuario debe saber velar por sus datosy no contratar con piratas.
Samuel Parra
Así es Pako; si la solicitud reunía los requisitos exigidos se autoriza.
Kenneth Peiruza
Sin insultar, eh, que soy Pirata y no tengo nada que ver con la chusma de entradas.com !
FukencioMX
Bueno, en el caso de Cinepolis es fácil entonces cascarlos:
Primeramente a su ASV y QSA porque si estan recibiendo datos de tarjetahabientes con los codigos CVV han firmado esta empresa auditora algo que realmente NO es.
Gaston
Buenos días Samuel,
Teniendo esta evidencia de que estan almacenando los datos no se puede denunciar ante la entidad que gestiona estos acuerdos de pagos de las tarjetas de credito y que les quiten el poder de hacer transacciones por el hecho de estar haciendo esto? o al menos los sancionen?
Esto es tanto un problema para los usuarios como para las tarjetas de credito y las empresas de tarjetas de credito son los primeros interesados en que la confianza en el sistema se mantenga.
Samuel Parra
Sí se podría denunciar, pero no creo que eso solucione nada. Este tipo de problemas no suelen importarle a nadie hasta que comprometen la base de datos y se encuentran que tenían todos los datos necesarios de tarjetas de crédito de miles de personas y es entonces cuando le damos importancia.
Ya le pasó a Playstation: http://www.meristation.com/playstation-3/noticias/la-venta-de-las-bases-de-datos-de-psn-una-posibilidad/61/1667188
Anonimo
Desde Entradas.com me dicen
«Ni guardamos ni vendemos datos personales de nuestros clientes. El cvv2 de la tarjeta es necesario para completar la compra, pero ese dato no se guarda en ninguna Base de Datos. Las autorizaciones se solicitan para poder operar en otros paises. Cuando la Agencia de Protección de Datos expide la correspondiente autorización, es porque cumplimos rigurosamente con la Ley de protección de datos de nuestros clientes. Saludos»»
Samuel Parra
Hola Anónimo.
No soy yo quien afirma que entradas.com almacena el CVV, es la propia empresa responsable del portal, quien desde al menos el año 2009 viene afirmando que almacena ese dato; y esto se extrae de forma indubitada de las autorizaciones para realizar las transferencias internacionales de datos donde expresamente entradas.com dice almacenar ese dato.
No puedo explicarme que entradas.com le diga a la AEPD que sí está almacenando ese dato y lo va a transferir y que ahora diga que no lo hace.
anonimo2
y entonces para que solicita el exportar Número de tarjeta de crédito, fecha de caducidad, código CVV si éste último dato no lo tienen almacenado?
Alonso
Yo ya les he puesto un comentario en su portal de Facebook, espero que mas personas les haga ver lo equivocado de su acción.
jose
Vaya la que has liado… y acabando en portada de meneame!! 🙂
No es nada raro en protección de datos encontrarse cláusulas o ficheros o solicitudes de TI echas «por lo alto», para evitar pillarse los dedos, por si algún día se llegase a incluir ese dato. No hay nada que lo prohiba, y al final acaba siendo una práctica recomendable, porque en protección de datos todo es defenderse de riesgos presentes y futuros.
Seguramente el consultor o asesor que lo hizo sabía mucho de LOPD, pero nada de PCI… En todo caso, nunca entenderé la prohibición de guardar el cvv, cuando se trata de un código calculado con el pan y la fecha de caducidad de la tarjeta. Ni tampoco tengo muy claro a través de qué medio se hace exigible PCIDSS a una tienda online que recoja datos de tarjeta de crédito (¿quizá a través del contrato con el banco?).
Ricardo Martin
Buenos días, Samuel,
Muchas gracias por todos estos sucedidos que nos ponen los pelos de punta y que te acreditan como un auténtico Buscador de la protección de datos (título que deberíamos instaurar).
Yo sólo quería añadir que, en relación al tema del CVV de las tarjetas, hasta hace unos pocos meses, una de las webs más conocidas, booking, remitía por fax a los alojamientos este código, junto con todos los datos del titular y la tarjeta. Por fax, a la vista del primero que pasase por donde quiera que estuviese el fax y con el factor de que un número de fax cambiase, o fuese erróneo y saliese en el salón de mi casa. Así se piratean tarjetas de los turistas, claro. Lo han corregido y ya no sale ese código, al menos. El resto… si.
saludos y suerte