CIBERSEGURIDAD

Exclusivo: el lugar de Londres escaneó tarjetas de pago como identificación

El local de música de Londres 93 Feet East ha confirmado que ha detenido un proceso de almacenamiento de escaneos de tarjetas de pago, después de que los asistentes se quejaron de los aspectos de privacidad.

IMG_20140920_214158Alguien que había visitado el lugar le dijo a IT Security Guru que, al entrar, el personal de seguridad les tomó los detalles de su tarjeta de crédito y fotografías en la puerta y cuando se les preguntó qué hicieron con la información, les dijeron que “la guardaran por alrededor de tres semanas ”.

La fuente le dijo a IT Security Guru que estaba “completamente perdido en cuanto a por qué esto se considera aceptable”. Dijo: “Entiendo que me registren y verifiquen drogas, armas, etc. En mi opinión, esto es una violación total de la Ley de Protección de Datos y no veo por qué se requieren los datos de la tarjeta de crédito para asegurar la entrada y por qué, de hecho, se toma tu fotografía?

“He asistido a reuniones en varios edificios gubernamentales en Westminster, incluido el Palacio de Westminster, donde entiendo completamente por qué se tomaría mi foto, pero no tomaron los datos de mi tarjeta de crédito”.

La fuente cuestionó la legalidad de requerir esa información. Dijo que cuando preguntó qué pasaba con los datos de la tarjeta de crédito, le dijeron que la conservarían durante unas tres semanas.

“A mis amigos les dijeron que tenían que dar los datos de su tarjeta de crédito si no tenían una identificación con foto para poder entrar”, dijo. “Estaban asistiendo a un evento concertado, pero supongo que podrían haber decidido no participar”.

Cuando se le preguntó cuál era el proceso desde el punto de vista del visitante, dijo que se escaneó la identificación, pero no estaba claro qué tan segura se almacenó, o si hubo consentimiento para compartir la información con un tercero. “¿Tiene la policía acceso automático a esta información y, de ser así, bajo qué ley?”

Otra persona que había visitado, dijo que se le informó que no sería admitido sin que se fotografiara una tarjeta de crédito, y que se escanearon en un sistema especialmente diseñado. “Lo escanearon y lo subieron a la pantalla y creo que luego lo subieron a otro lugar (estaba tratando de mirar, pero la parte principal del sistema estaba oculta)”, dijo. “Había una pequeña cama de escaneo especialmente diseñada con un solo clic para el escaneo, no había oportunidad de negarse y dijo que los datos se guardaron durante dos o tres semanas, pero no estaba seguro, era muy preocupante”.

“También nos dijeron que no se podían ocultar detalles de los datos bancarios, y esto era visible en la pantalla para la siguiente persona en la cola”.

En un correo electrónico a IT Security Guru, un representante de 93 Feet East dijo que tiene una política de buscar una identificación con fotografía (que se escanea en su escáner de identificación) como condición para ingresar en ciertos momentos. “Esta política ha surgido directamente de los requisitos y recomendaciones de la policía”, dijo el representante.

“En el pasado, cuando un cliente potencial no tenía una identificación con fotografía, entonces dicho cliente tenía (a discreción de la gerencia) la opción de proporcionar una tarjeta bancaria como un medio alternativo para confirmar y registrar su identidad”.

Sin embargo, dijeron que esta política ha sido revisada recientemente por 93 Feet East, y las tarjetas bancarias ya no existen.
r escaneado como una alternativa a la identificación fotográfica y ahora el sistema de escaneo no conserva los datos de la tarjeta bancaria.

El lugar se negó a responder un segundo correo electrónico preguntando cuánto tiempo había durado el proceso de escaneo y cuántos miembros de la administración del lugar y su padre podían acceder a los datos almacenados.

El portavoz dijo: “El escaneo de los datos personales de los posibles clientes solo se realiza con el consentimiento de esa persona. Los datos personales del escáner de identificación se guardan de forma segura y solo el personal autorizado tiene derecho a acceder a ellos.

“Si bien el personal de seguridad (todos los cuales están acreditados por la SIA y no son empleados, pero provistos por un tercer contratista) tienen la capacidad de escanear en el escáner de identificación, solo el personal de administración (no el personal de seguridad) puede acceder a los datos”.

Un portavoz de la Oficina del Comisionado de Información le dijo a IT Security Guru que no podía comentar directamente sobre una situación hipotética que no había investigado directamente, pero que cualquier organización que procese datos personales debe asegurarse de cumplir con los principios de la Ley de Protección de Datos.

“Esto incluye procesar los datos personales de manera justa y legal, asegurarse de que los datos personales estén seguros y no conservarlos más de lo necesario”, dijo.

“Se recomendaría encarecidamente al lugar que llevara a cabo una evaluación del impacto de la privacidad para identificar y reducir los riesgos de privacidad. También se recomienda tener un aviso de privacidad que detalle por qué está recopilando esta información y cómo se procesará. Solo investigaríamos en una situación como esta si alguien nos presentara una inquietud “.

Uno de los visitantes confirmó que se había puesto en contacto con 93 Feet East con respecto a la privacidad de los datos, pero no había recibido respuesta.

El portavoz de la ICO dijo: “Los avisos de privacidad no siempre tienen que comunicarse de forma activa, pero si tienen uno, deberían estar disponibles a pedido”.

Un portavoz del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) dijo que no estaba familiarizado con esto, pero cada vez que una organización maneja la información de la tarjeta de pago, está sujeta a los requisitos de PCI DSS.

“En este caso, parece que ha detenido la práctica y ya no guarda los detalles de la tarjeta de pago, por lo que PCI no se aplicaría”, dijo el portavoz.

Nuestro próximo webcast tendrá lugar el jueves a las 11 a. M. GMT, donde los CISO Amar Singh y Craig Goodwin hablarán sobre el impacto y la solución de las principales amenazas como Heartbleed, Shellshock y Poodle. https://www.brighttalk.com/webcast/11399/131731

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar