Тинькофф Банк

Сегодня звонили из банка, назвали меня по имени-отчеству, предлагали кредитную карту. Звонили с номера 8 800 551 94 17. Интернет определяет этот номер как номер наркологического центра. Просьба к представителю банка ответить, относится ли указанный номер к банку или нет.

----------
Цитата

Leshiko пишет:


Давайте пройдёмся по пунктам про трепетной защите персональных данных и защите вообще.
Имеем точки с установленными банкоматами. Мягко говоря, это точки интересов в том числе, мошенников. Тинькофф ставит аппарат с большим вертикальным сенсорным экраном, не имеющий кнопок, т.е. информация вводится через этот самый экран типа "планшет".
Устанавливаются такие аппараты в торговых центрах, т.е. там, где большой поток клиентов и несложно подсмотреть или снять всю интересующую информацию.
Для сегодняшней съёмки я специально выбрал закуток в ТЦ Цветной рядом со знаменитым Цирком: г.Москва, Цветной бульвар, д.15, корп.1 (геокоординаты: 55.771006, 37.620466). Выбрал специально, т.к. не хотел, чтобы на съёмку попали люди или их персональные данные.
1. Авторизация - после неё на экран выводится Имя владельца карты.
2. PIN предлагается вводить на вертикальном сенсорном экране (серьёзно?!) - привет, секретность.
3. Кроме имени, выводится внешний вид карты (скин), платёжная система, последние 4 цифры карты.
4. В процессе операций мы никуда не можем деться трансляции Имени клиента. Почему не заменить его на НИК, который сам клиент выберет в своём ЛК?
5. Банкомат любезно сообщает нам суммы произведённых операций. Ну ок.
6. Бонус, если успеете: можно запросить выслать электронный чек, причём Клиент уже авторизован, но ему надо быстро набрать на всеобщее обозрение свой мобильный номер. Серьёзно? Зачем вводить номер, если клиент авторизован? Поделиться им с окружающими? Вы же наверняка уже давно сверили его лицо через камеры в банкомате (только не надо стесняться и говорить, что не снимаете биометрию).

А почему не прикручены фанфары и громкоговоритель, восторженно объявляющий, что ТакойтоТакоевич только что по вот такой-то карте с пин-кодом (ха-ха, поглядите какие смешные 4 цифры!) снял/пополнил и совершил операции на такие-то суммы, все желающие могут поздравить его с этим по номеру такому-то?

Решение, как мне видится, в следующем:
1. Вот как хотите, а такие банкоматы прямо нарушают правила безопасности, все банкоматы с подобным вводом данных должны быть убраны, либо введите временные разовые PIN, которые высылаются владельцу карты и номера по доступным ему каналам связи в момент совершения операции. А в настоящий момент мы имеем серьёзный косяк банка.
2. ИМЯ должно быть заменено на НИК. Это позволит владельцу идентифицировать себя.
3. Чек должен высылаться просто по нажатию "Да, нужен чек" на номер, который уже зарегистрирован в базе, никакого ввода на всеобщее обозрение.
Вид выводимой на экран карты... Ну ок, пусть остаётся, чтобы клиент не путался.

P.S.: Я могу и другие банкоматы снять, но мне придётся просить одних людей ассистировать, других - не мешать, а те, когда им начинаешь объяснять суть, внезапно ОСОЗНАЮТ всю глубину падения и убегают.
----------


Здравствуйте.

Благодарим вас за подробный отзыв, это действительно важно для нас. Мы передадим ваши пожелания в соответствующее подразделение, чтобы стать лучше. Спасибо, что не остаетесь равнодушны к нашим сервисам.

----------
Цитата

slmn пишет:
Сегодня звонили из банка, назвали меня по имени-отчеству, предлагали кредитную карту. Звонили с номера 8 800 551 94 17. Интернет определяет этот номер как номер наркологического центра. Просьба к представителю банка ответить, относится ли указанный номер к банку или нет.
----------


Здравствуйте.

Данный номер определился как Тинькофф. Помните, что мошенники могут звонить с номеров, похожих на номера Тинькофф, и даже подменять их.
Если вы сомневаетесь, что вам звонят сотрудники банка, вы можете перезвонить на 8-800-555-10-10, чтобы уточнить подробнее.

----------
Цитата

Leshiko пишет:
Устанавливаются такие аппараты в торговых центрах, т.е. там, где большой поток клиентов и несложно подсмотреть или снять всю интересующую информацию.
----------
В нашем закутке другой совсем экземпляр установлен. Не помню ничего подобного из сказанного. По крайней мере пин вводить на закрытой клавиатуре надо. Показанный на фото больше рекламный щит напоминает - лучше близко не подходить. :)

----------
Цитата

Pavlos пишет:
В нашем закутке другой совсем экземпляр установлен. Не помню ничего подобного из сказанного. По крайней мере пин вводить на закрытой клавиатуре надо. Показанный на фото больше рекламный щит напоминает - лучше близко не подходить.
----------


На самом деле я снял два разных банкомата Tinkoff, чтобы получить более-менее законченную серию (ввод телефона не попал, т.к. это слишком быстро, там надо видео).
В первом, планшетного типа, я не рискнул бы авторизовываться, т.к. любой банковский безопасник грозно спросит: "Вы сообщали секретный pin-код хоть кому-то?" и что я должен был бы ему ответить? Что сам БАНК сообщает этот секретный PIN всем желающим? Да, я мог бы сменить PIN до и после операции, но как быть с другими клиентами Tinkoff и не только Tinkoff, которые даже не задумаются?
Так что вторую часть я снял в нормальном банкомате "с кнопками", к которому претензии следующие: Имя владельца карты и телефонный номер.

----------
Цитата

Leshiko пишет:
Тинькофф ставит аппарат с большим вертикальным сенсорным экраном
----------

Ради справедливости - примерно такие же банкоматы начал ставить Сбер.
А у ТБ я пока таких не видел.

Тинькофф Банк,
https://www.rbc.ru/politics/10/03/2023/640b711d9a7947b72123165b
Вы выпускаете кобренды с иностранными агентами?
Насколько это законно?

----------
Цитата

9*******@mail.ru пишет:
Тинькофф Банк,
https://www.rbc.ru/politics/10/03/2023...b72123165b
Вы выпускаете кобренды с иностранными агентами?
Насколько это законно?
----------


Здравствуйте.

Сейчас мы изучаем эту ситуацию. Позже будем готовы принять решение.

----------
Цитата

9*******@mail.ru пишет:
Тинькофф Банк,
https://www.rbc.ru/politics/10/03/2023...b72123165b
Вы выпускаете кобренды с иностранными агентами?
Насколько это законно? X
----------
Ну а возьмите новое приложение Газпромбанка. "Достояние России" там эту самую панду на главной странице разместило. Это вообще о чём говорит? Или об аффилиации "государственных мужей" из Газпрома с этими самыми иноагентами, или "достояние" вовсе не российское, а очень даже китайское? Кому ещё гнать газ-то в поднявшейся с колен?

----------
Цитата

plover пишет:
А Вы давно перевод баланса делали? Раньше я тоже всё через чат делал, а теперь придумали новшество с обязательным видеозвонком.
----------


Пару недель назад. Предварительная загрузка реквизитов в чат не связана с требованием последующего видеозвонка :music:

----------
Цитата

6. Бонус, если успеете: можно запросить выслать электронный чек, причём Клиент уже авторизован, но ему надо быстро набрать на всеобщее обозрение свой мобильный номер.
----------
ну про это я в прошлом году писал
:D
----------
Цитата

9*******@mail.ru пишет: Вы выпускаете кобренды с иностранными агентами? Насколько это законно?
----------
иноагент это не преступление (пока), это статус
:uncap:

----------
Цитата

Alex133 пишет:
Ради справедливости - примерно такие же банкоматы начал ставить Сбер.
----------
Примерно, да не такие, недавно снимал в похожем. Сбер не выводит имя и номер карты, не требует номер телефона, а для ввода пин кода есть отдельный, скрытый пинпад.

----------
Цитата

azav пишет:
Сбер не выводит имя и номер карты, не требует номер телефона, а для ввода пин кода есть отдельный, скрытый пинпад.
----------

Пока в сбере безопаснее снимать нал)

Отключения от пл вышли в массы, создан шаблон ответа для бота. 😆
«Файл недоступен»

----------
Цитата

Leshiko пишет:
Об обработке и сохранности Персональных Данных клиентов и секретной информации.
1. У Тинькофф есть банкоматы, в которых цифровая клавиатура расположена на обозримом всем экране. Таким образом легко сливается PIN (в т.ч. на камеры наблюдения и всем любопытствующим). Банк нарушает элементарные правила безопасности. Рекомендую такие банкоматы обходить стороной.
Далее - общая картина по банкоматам:
2. При авторизации карты на экран выводится ИМЯ владельца. Считаю, что должен выводиться НИК, который пользователь может сам себе менять в Личном Кабинете (хоть Зимбабвр, хоть Наполеон - главное, чтобы пользователь сам себя идентифицировал по нему), но никак не имя.
3. Чек выдаётся только в электронном виде, в ходе диалога с банкоматом, причём:
- отводится очень малое время на ввод данных;
- зачем-то надо вбивать номер телефона (с какой стати, если пользователь уже авторизован?) - так на экран выводится ещё и телефонный номер.
В самой худшей связке от банка получаем слив: внешность владельца, имя, PIN, телефон - не многовато ли?
----------

Здравствуйте.

1. Камеры установленные на локации предназначены для видео съемки безопасности, а не компрометации данных.
2. Отправили идею ответственным, спасибо за обратную связь.
3. Даем возможность ввести номер телефона для удобства. При необходимости можно отправить чек другому человеку, в том числе, если пополняет не владелец счета.

----------
Цитата

Тинькофф Банк пишет:
1. Камеры установленные на локации предназначены для видео съемки безопасности, а не компрометации данных.
----------
Банк может за это поручиться по всем камерам во всех точках установки банкоматов?

----------
Цитата

azav пишет:

Банк может за это поручиться по всем камерам во всех точках установки банкоматов?
----------

Вопросу безопасности мы уделяем максимум внимания, как и другие банки. Не совсем понимаем, за что именно должны поручиться.

----------
Цитата

Тинькофф Банк пишет:
1. Камеры установленные на локации предназначены для видео съемки безопасности, а не компрометации данных.
2. Отправили идею ответственным, спасибо за обратную связь.
3. Даем возможность ввести номер телефона для удобства. При необходимости можно отправить чек другому человеку, в том числе, если пополняет не владелец счета X
----------


1. Любой, стоящий сбоку, сзади, доставший телефон или просто установивший камеру, может увидеть и зафиксировать информацию. Про скрытую съёмку я вообще не говорю. Это очевидные вещи.
Но даже по пункту "видеокамеры безопасности": В ТЦ по умолчанию установлены камеры - вы этот момент сами признаёте. А почему Банк Тинькофф предоставляет возможность снимать МОИ персональные данные всем желающим-окружающим, в т.ч. какой-то охране какого-то ТЦ? Они банковские работники, с которыми лично у меня заключён договор? Нет. Они зачастую даже не работники этого ТЦ, а какая-то третья организация. Сегодня одни, завтра - другие. Вы реально не понимаете проблемы?
Позовите, наконец, безопасника своего, пусть вникнет и откомментирует ситуацию. Мне БАНК запрещает сообщать PIN и прочую информацию, который сам же БАНК выставляет на всеобщее обозрение. Чем Клиент может прикрыть огромный планшет, чтобы было не видно, какой PIN он вводит? При этом заведомо известно, что ведётся видеосъёмка в количестве одна или более.
2. Надеюсь, что это не стандартная отписка, т.к. это реально серьёзный косяк.
3. А вот попробуйте ввести чужой номер, перепроверить и не ошибиться, чтобы не отправить кому-то совсем чужому. Реально попробуйте, я даже хотел бы это увидеть, желательно, с секундомером. Тут свой-то, который знаешь, не успеешь ввести, т.к. квест начинается на вопросе: "Нужен чек"? Хоба! Не успел!

----------
Цитата

Leshiko пишет:
1. Любой, стоящий сбоку, сзади, доставший телефон или просто установивший камеру, может увидеть и зафиксировать информацию. Про скрытую съёмку я вообще не говорю. Это очевидные вещи.
Но даже по пункту "видеокамеры безопасности": В ТЦ по умолчанию установлены камеры - вы этот момент сами признаёте. А почему Банк Тинькофф предоставляет возможность снимать МОИ персональные данные всем желающим-окружающим, в т.ч. какой-то охране какого-то то ТЦ? Они банковские работники, с которыми лично у меня заключён договор? Нет.
Позовите, наконец, безопасника своего, пусть вникнет и откомментирует ситуацию. Мне БАНК запрещает сообщать PIN и прочую информацию, который сам же БАНК выставляет на всеобщее обозрение. Чем Клиент может прикрыть огромный планшет, чтобы было не видно, какой PIN он вводит? При этом заведомо известно, что ведётся видеосъёмка в количестве одна или более.
2. Надеюсь, что это не стандартная отписка, т.к. это реально серьёзный косяк.
3. А вот попробуйте ввести чужой номер, перепроверить и не ошибиться, чтобы не отправить кому-то совсем чужому. Реально попробуйте, я даже хотел бы это увидеть, желательно, с секундомером. Тут свой-то, который знаешь, не успеешь ввести, т.к. квест начинается на вопросе: "Нужен чек"? Хоба! Не успел!
----------

Еще раз уточним детали и вернемся с комментариями.

Вот бы Тинькофф позволял в своих банкоматах снимать наличные с помощью обезличенного QR кода!
oh, wait...