Письмо счастья от r01.ru, что посоветуете делать?

Ну тут коллега тоже виноват, привязал карту оплачивая у любителей смошенничать. В форме оплаты сложно не заметить кнопку привязки.

Всегда в сети нужно платить с виртуалки, открывая лимит перед конкретным платежом.

А вот так светить данными реальной карты с финансами........

Сейчас половина сервисов, отчего-то вдруг, даже не спрашивают согласия на привязку карты. Из последнего - МТС (по крайней мере в их фирменном приложении), Сбермаркет. Сбермаркет вообще офигели - мало того, что не спрашивают, так еще и кнопки удаления нет, только через звонок в поддержку.

Что на самом деле делают остальные - никто не знает. Поэтому, господа, никогда никому не платите реальной картой, даже самым крупным и самым трастовым сервисам. Стырят когда-нибудь у них базу - аукнется.

Так Руцентр всегда таким был и вряд ли его кто-то нормальной компанией считает. Но именно привязка карты у них не скрыта и явно видна. 

Реквизиты карт нигде, хоть у мелких, хоть у крупных, не хранятся в открытом доступе и никто к ним доступа не имеет. Поэтому сама по себе кража баз ничем не поможет злоумышленнику, разве что если злоумышленник не сам сервис, где карта сохранена.

И как тогда базы данных с картами регулярно воруют и у мелких и у крупных интернет-магазинов и продают на хакерских форумах а иногда и в паблик сливают?

Это все фейк и тоже клиенты сами виноваты?

На VC сейчас история, когда человек купил в январе билеты через некий сервис, а в сентября хз кто, хз как, без подтверждений и смс купил с его карты билетов на 130к. Сервисы отмахиваются, а чувак пока без денег )

Виртуалка с лимитом в 0р, на мой взгляд, сегодня самый безопасный способ совершать покупки в сети и не переживать за то, что завтра кто-то хитрозадый каким-либо, даже вообще не важно каким, способом сможет увести оттуда любую сумму. Не сможет ) Зачем рисковать - хз )

Единственная виртуалка, на которой у меня обычно лимит открыт немножко "вперед" - это отдельная виртуалка для такси, которая привязана в яндексе и еще паре таксишек. Даже если кто-то попробует украсть - максимальная сумма ограничена не сильно великим числом.

Базы с картами не воруют, воруют базы с масками карт (первые 6 и последние 4 цифры), ФИО и т.п., что позволяет бандитам использовать эти данные для обмана путём обзвона и т.п. Полные данные карты не предоставляет магазинам даже обслуживающий их банк. Все реквизиты для автоматической оплаты сохраняет сам банк или платёжный агрегатор (а они все идут с сертификацией по стандарту PCI DSS, поэтому данные в открытом виде тоже не хранят).

Карта же сохранена в сервисе, а значит взломав аккаунт в сервисе кто-то в теории может что-то картой в рамках сервиса оплатить. Вот если бы оплатили картой вне сервиса, то уже были бы большие вопросы к безопасности данных.

Зависит от задачи, наверное. Я для себя другое решение нашёл: карты сохраняю, но все карты привязаны к счетам, куда деньги переводятся по мере необходимости. Это удобнее виртуалок с лимитами, которые ещё и надо не забыть подправить перед оплатой.

Ну, тот же прибор, но в другой руке :) Вы переводите деньги на счет, к которому привязана карта, я открываю лимит для вирт.карты. Ключевое действие - баланс пополняется перед оплатой.

Кстати, действия от банка зависят, например, в сбере на виртуалку нужно сделать перевод, а не открыть лимит. Это уже нюансы.

По поводу не забыть - а как забыть, если я точно знаю, что карта всегда без лимита, т.е. пуста ) ?

Ну как же не воруют? Посмотрите любой дамп БД слитый полные ноиера карт, cardholder name, mm/yyyy.

Без полного номера карты списание невозможно.

PCI DSS запрещает хранить только CVV2 (в общем случае).

Есть у них кстати эта сертификация?

Каждый раз переводить нужную сумму? Это сколько ж времени терять на это? 99% пользователей так делать не будут.

Пока похоже, то если дать им номер карты то все, могут списывать с нее сколько захотят и когда захотят. А их юристы позаботяться чтобы это было легально типа за какую то услугу.

Единственный вариант видно нормальный платить через СБП (там же еще нет подписок?), ЮМани (там это в явном виде все) или еще лучше криптой (полный контроль над своими финансами!).

Эти данные в основном не хранят магазины, их хранят эквайринговые системы (банки, агрегаторы и т.п.). Много ли мы знаем фактов кражи БД из таких систем? Вот магазины часто взламывают, но там лишь часть данных. В некоторых случаях магазин дейсвительно может иметь полный номер карты и даже реквизиты, но лишь в случае, если соответствует PCI DSS и сам передаёт данные карты экварийнгу для осуществления транзакции. Чтобы такое подключить, нужно пройти строгую проверку экваринга. Да и чтобы хранить такие чувствительные данные в открытом виде, надо иметь очень тупую команду разработчиков.

Ага. Юридически там всё составлено так, чтобы они могли подключать что угодно и списывать за это деньги, иначе бы не промышляли таким безнаказанно годами.

СБП можно привязать для авто-оплаты, там даже страшнее, ибо привязывается банковский счёт, а не карта, которую можно заблокировать в любой момент. Юмани тоже можно, если принимается через Юкассу. Но мало где такой функционал видел в действии.