01.07.2015 11:13
cruzo 25 4013 Источник
На момент написания статьи 26.06.2015 года, сервис Яндекс.Деньги не проверяет, и что странно, вообще не учитывает заполненность поля «Имя и фамилия владельца».

Уверен, многие скажут, что в этом нет ничего страшного, однако считаю это прорехой в безопасности платежей со стороны Яндекса. И суть вовсе не в том, что можно и нужно использовать виртуальные карты и так далее, а в том что ФИО хоть какая то, но небольшая, как минимум, психологическая грань безопасности.

Будьте внимательны с платежами в интернете.

UPD: Технической поддержке был задан вопрос, касаемо отсутствия проверки. По состоянию на 01.07.2015, нет ни единого комментария от ЯД.

Пруф
Безопасно ли оставлять пустым поле ФИО Владельца в сервисе Яндекс.Деньги?

Проголосовало 802 человека. Воздержалось 275 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Комментарии (25)


  1. kuber
    01.07.2015 14:26
    #8484215
    +12

    Например, на неперсонализированных банковских картах не указываются имя и фамилия. Возможно, поэтому это поле и не является обязательным.


    1. thunderspb
      01.07.2015 14:55
      #8484283
      +1

      Согласен, яркий пример тому Сбербанк Momentum


      1. UnixMaster
        01.07.2015 15:04
        #8484297
        -2

        Скорее всего в данном случае просто на самой карте не выбиты данные, а для получения вы должны предоставить все свои документы, то есть у них в базе будут ваши инициалы, привязанные к этой карте и проверить владельца возможно.


        1. thunderspb
          01.07.2015 15:09
          #8484307

          В этом случае да, но вопрос по самой карте остается: если даже вприсывать по ней ФИО на сайте, то в каком виде? Имя-Фамилия? И.Фамилия? На русском? На английском?


          1. UnixMaster
            01.07.2015 15:29
            #8484329
            +1

            Есть же стандарты ) «ИМЯ ФАМИЛИЯ» Большимии буквами на латинице. На многих сайтах при оплате это указано. А вообще на самомо деле на этом не стоит так сильно заморачиваться, придумали кучу способов защиты, всякие 3Дсекурити, который по настоящему смогут защитить вашу карту, а не ваши имя и фамилия :))


            1. lair
              01.07.2015 15:33
              #8484335
              +2

              Нет никаких стандартов. У меня на трех карточках по-разному написано, и большая часть сайтов предупреждает: так, как на карточке.


            1. thunderspb
              01.07.2015 15:44
              #8484355
              +1

              Да я не парюсь особо.
              Как правильно заметили ниже, нет стандартов, у меня тоже на разных картах по разному написано. Для интернет платежей это бесполезная штука. В некоторых ИМ видел billing address, который, кстати, проверяется. По крайней мере както у меня платеж не прошел изза неправильного billing address.


            1. kuber
              01.07.2015 15:46
              #8484361
              +2

              >> Есть же стандарты )
              Какие стандарты? У меня две карточки от Сбербанка и на них по разному выдавлены мои имя и фамилия.


  1. DancingOnWater
    01.07.2015 14:27
    #8484217
    +1

    Фамилия и Имя в карточке написаны на ее лицевой стороне. Иными словами — это публичные данные. Подозреваю, что несовпадение имен также не может служить основанием для оспаривания транзакции.


    1. Novitsky
      03.07.2015 03:57
      #8485771

      Совершенно согласен.
      Например, я знаю, какие имя и фамилия написаны на карте моего друга, потому что знаю, как его зовут. Написание тоже знаю, потому что фамилия простая. Но я не знаю номера карты и уж тем более CVV.
      Плюс, помимо этого, на третьем шаге происходит проверка через SMS. Что напрочь лишает возможности смошенничать, например, найдя карту на улице.


  1. barker
    01.07.2015 14:27
    #8484221
    +7

    Ну вообще cardholder на оплату (в РФ) никак не влияет, вроде как. Это так везде, нет?


  1. Antelle
    01.07.2015 14:35
    #8484235
    +2

    > ФИО хоть какая то, но небольшая, как минимум, психологическая грань безопасности
    Для кого?
    Для владельца карты? Если есть все данные и возможности для оплаты, получить ещё и имя владельца вообще не проблема.
    Для получателя? А ему не пофиг от кого платёж, не будет же он отказывать на основании фио.
    Для контор из трёх букв? У них есть валидный номер карты и зарегистрировавшая её организация, подставное имя погоды не сделает.


  1. ollisso
    01.07.2015 14:48
    #8484259
    +6

    В данный момент очень многие платёжные системы не спрашивают имя-фамилию владельца карты вообще.

    Так что вопрос больше — а зачем яндекс спрашивает? :)


  1. rPman
    01.07.2015 14:53
    #8484279
    +3

    Я не понимаю о безопасности чего идет речь?
    ФИО пользователя, ничем не подкрепленное, абсолютно бесполезное поле. В конечном счете важно не то что напишет пользователь на форме, а то, на кого зарегистрирована карта (или организация, выдавшая ее), и проблемы возникнут у них или у магазина (при веерных блокировках, как это часто было с киви)


  1. demimurych
    01.07.2015 15:12
    #8484309
    +8

    я больше скажу
    в процессинге платежей viza и mastercard вообще отсутствует опция проверки имени и фамлии. И поля эти сугубо информативные


    1. ProRunner
      01.07.2015 15:30
      #8484333

      Для некоторых карт некоторых банков ещё и CVV необязателен к указанию. То есть, номера карты и срока её действия достаточно для платежа. Впрочем, с повсеместным включением 3DSecure в банках это уже не настолько большая угроза.


    1. ntkt
      01.07.2015 15:45
      #8484359
      +1

      Это не совсем так.
      1) У платежных систем есть даже отдельный сервис AVS (Address Verification System), который умеет запрашивать банк-эмитент на предмет совпадения указанного в транзакционных данных ФИО и адреса с тем, что есть у банка. Другое дело, что этот сервис в странах бывшего СССР не работает, он предназначен для США изначально.
      2) Эмитент всегда может отклонить транзакцию, если в ней ему что-то не понравилось, например, прилетело не то имя или не та фамилия или просто сработала антифродовая система по превышению какого-либо счетчика.


  1. drayv
    01.07.2015 16:16
    #8484389
    +2

    А вы назовите сервис который учитывает ваше имя при оплате картой.
    В steam к примеру тоже есть поля адреса и имени, но если банку эмитенту без разницы на эту инфу, то он оплату пропустит спокойно и с «Иван Иванов».

    При чем здесь сервис который ПРИНИМАЕТ ваши деньги по карте, он ни как не может контролировать эту информацию, только на стороне банка такая информация может контролироваться.

    В общем, новость: *вот это поворот*!


    1. drayv
      01.07.2015 16:24
      #8484395
      +1

      Кстати, автор, откуда такая «не любовь» к продуктам Яндекса?
      А то первая ваша статья была гневной «Как мы пытались внедрить Яндекс.Кассу», теперь это.


  1. yuuyake
    01.07.2015 16:34
    #8484407
    +5

    И зачем это на хабре?


  1. formasha
    01.07.2015 18:10
    #8484545

    Уточните, пожалуйста, номер тикета в саппорте.


    1. formasha
      02.07.2015 13:17
      #8485103
      +1

      По существу вопроса: по правилам международных платёжных систем, поле не обязательно для передачи на хост эмитента в операциях электронной коммерции, это не частный случай в Яндекс.Деньгах. При этом на содержание поля могут реагировать антифрод-системы эквайера, магазина — поэтому лучше всё-таки заполнять его корректно.


    1. cruzo Автор
      28.07.2015 16:58
      #8517387

      Номер тикета: 2015062633009067


  1. Ashot
    01.07.2015 20:30
    #8484685

    На сколько мне известно, для оплатой карты достаточно только номера карты и CVV. На стороне своего сервера, конечно, можно проверять все поля на заполение, но процессинговому центру достаточно этих 2-х. Так что зря вы паникуете.


  1. Asgoret
    02.07.2015 15:50
    #8485271

    Не нашел вопроса и ответа:
    В случае если ФИО необязательны, что мешает при оплате ввести данные от балды, надеясь, что прокатит и так до победного?