Sparkassen-Card (Debit)

[Hannoveraner]

ANZEIGE

Wieder was gelernt, danke! Hast du da tatsächlich V PAY benutzt? Welche Nummer tippt man denn da ein? Auf deutschen V PAY-Karten sieht man ja z.B. die PAN gar nicht.


Denkbar wäre es, und Google Pay hat meines Wissens nach mit PayPal etwas sehr ähnliches gemacht (direkte Nutzung des PayPal-Accounts bei Händlern, die es unterstützen; die virtuelle Mastercard sonst).

Schwierig stelle ich mir dabei aber vor, dass Apple Pay sehr kartenorientiert ist; dass man da plötzlich ein Konto bzw. einen Zugang hinzufügen könnte, und das auch noch außerhalb eines iOS-Updates, fände ich erstaunlich.

Nein, so eine Karte habe ich nicht, aber habe irgendwo gelesen, dass das mit italienischen V PAY Karten geht und erster Treffer bei der UniCredit:

Carta V PAY

La carta di debito internazionale V Pay ti offre massima sicurezza, prelievi gratis negli ATM convenzionati e pagamenti su circuito BANCOMAT®, PagoBancomat® e V Pay.

www.unicredit.it

16-stellige Kartennummer, explizite Erwähnung von Apple Pay ist da zu sehen. Diese Karte ist aber nicht fernabsatzfähig. Dagegen die hier schon:

Bank Card: ING Direct (ING DIRECT, ItalyCol:IT-VP-0005

Bank Card: ING Direct (ING DIRECT, ItalyCol:IT-VP-0005 💳. Buy, sell, trade and exchange collectibles easily with Colnect collectors community. Only Colnect automatically matches collectibles you want with collectables collectors offer for sale or swap. Colnect collectors club revolutionizes your...

colnect.com

 

[Hannoveraner]

Ich hätte vergessen: Die Kartennummer kann man auslesen (Cardpeek usw.) oder manchmal bekommt man einen Händlerbeleg, wo die ganze Kartenummer in Klartext steht. Sie besteht aus 672 (ja, merkwürdigerweise auch bei V PAY!) + kurz BLZ + 10 stellige Kontonummer + Prüfziffer. Siehe hier:

Primary Account Number – Wikipedia

de.wikipedia.org

Ich habe das mit einer comdirect versucht und es wirklich passt.
Das lässt sich sogar ohne Kartenleser herausfinden, weil auf jedem Kassenbon die letzte vier Ziffer der Karte ausgedruckt werden.

Das größte Problem ist es, die CVV zu bekommen, denn das wird vermutlich nicht auf dem Chip vorhanden sein, weil unnötig.

 

[PixelHopper]

Selbst mit CVV wird es nichts, weil die Karten für Fernabsatz nicht freigeschaltet sind.

 

[Hannoveraner]

Das ist richtig, sonst hätte jemand nach allen diesen Jahren die CVV herausgefunden und es hätte sich im Internet (oder Teilen davon) herumgesprochen, dass das geht.

 

[penamba]

Ich hätte vergessen: Die Kartennummer kann man auslesen (Cardpeek usw.) oder manchmal bekommt man einen Händlerbeleg, wo die ganze Kartenummer in Klartext steht. Sie besteht aus 672 (ja, merkwürdigerweise auch bei V PAY!) + kurz BLZ + 10 stellige Kontonummer + Prüfziffer. Siehe hier:

Primary Account Number – Wikipedia

de.wikipedia.org

672 sollte nur für Maestro + Girocard gelten. Die PAN meiner DKB-V PAY beginnt z.B. mit 482.

Nur-Girocards haben 680 (z.B. auch derzeitige Girocards in Apple Pay; die sind ja bekanntlich nicht tokenisiert und enthalten die vollständige Kontonummer), und soweit ich weiß haben deutsche nur-Maestros (z.B. N26) 670.

Im Fernabsatz ist vermutlich derzeit keine dieser Nummern nutzbar. Das würde größere Sicherheitsprobleme ergeben, da ja bei bekannter Kontonummer die PAN einfach errechnet werden kann, und diese auch bei Verlust oder Diebstahl bei der nächsten Karte wieder identisch wäre (oder sich die Kontonummer ändern müsste).

In Österreich wurde damals für das kurze Fernabsatz-Projekt eine kontonummernunabhängige, 16-stellige PAN für Maestro-Karten eingeführt, sowie der CVC auf die Rückseite gedruckt.

 

[Hannoveraner]

Hat man diese dreistellige Nummer absichtlich so gewählt, dass in jeder Kombination die Prüfsumme passt?
Ich habe mein comdirect Beispiel genommen und sowohl mit 672 als auch 482 sowie 680 passt die gleiche Prüfsumme.
Wenn du es ausprobieren möchtest, dann diese Seite ist hier gut geeignet:

Validate, Verify & Check Credit Card or Debit Card Number

Free online tools to check, verify & validate Credit Card or Debit Card Number

www.bincodes.com

Bei 482 wird in der Tat V PAY von Bank Verlag angezeigt:

Bei 672 dagegen:

680 klappt auch, wird dort aber keinem Kartentyp zugeordnet, weil unbekannt, was völlig in Ordnung für eine der seltensten Kartenummern der Welt ist.

(...)

Im Fernabsatz ist vermutlich derzeit keine dieser Nummern nutzbar. Das würde größere Sicherheitsprobleme ergeben, da ja bei bekannter Kontonummer die PAN einfach errechnet werden kann, und diese auch bei Verlust oder Diebstahl bei der nächsten Karte wieder identisch wäre (oder sich die Kontonummer ändern müsste).

In Österreich wurde damals für das kurze Fernabsatz-Projekt eine kontonummernunabhängige, 16-stellige PAN für Maestro-Karten eingeführt, sowie der CVC auf die Rückseite gedruckt.

Naja, auch mit errechneter PAN aber ohne CVV geht fast keine Zahlung im Internet. Die bekannteste Ausnahme ist Amazon. Im Allgemeinen finde ich, dass die Kartennummer stets unabhängig von Kontonummer sein sollte. Das hätte auch bei verlorenen bzw. gestohlenen Karten geholfen, die gesperrt wurden. Denn jetzt kann der Dieb trotz einer Kuno-Meldung bei einem Teil der Händler einkaufen gehen und in Hessen steht nicht mal diese Möglichkeit zur Verfügung. Und eine kontounabhängige Nummer könnte man z. B. für einen Jahr komplett sperren und erst danach wieder verwenden.

 

[BR 612]

Meine SPK-Girocard hat als Endung immer 6712, sowohl bei der physischen mit Maestro drauf als auch bei der digitalen in Android. Bei der Raiba Hochtaunus war die Endziffer unterschiedlich, einmal 9 und einmal 7 (bin mir nicht mehr sicher, wie es genau war)
Wenn man die PAN Kontonummernunabhängig macht, wäre man auch auf einen Schlag das olle ELV Verfahren los. Würde ich allein deswegen schon befürworten. Die Kuni Sperrmeldung nutzt bei SEPA-ELV Offline Händlern (gibt es leider, z. B. mein ELV-Offline only Zahnarzt) gar nichts, die Datenbank wird ja nicht abgefragt.
ELV gehört sich einfach auf den Müll geworfen, ist halt echt rückständig. Heutzutage gibt es die Möglichkeit, günstig über die Girocard + PIN den Kartenhalter zu legitimieren und eine Deckungsabfrage durchzuführen. ELV hingegen basiert auf der unsicheren Unterschrift (die nicht immer kontrolliert wird) und ohne Deckungsprüfung. Jeder Kartendieb könnte mit der Karte beim Globus/Rossmann/andere Händler mit ELV einkaufen gehen, mit geringem Risiko, entdeckt zu werden. Selbst bei ELV Online greift die normale Kartensperrung ja nicht (nur die GC/Maestro bzw. VPay Zahlungen werden abgewiesen), man braucht eine zusätzliche Kuni Sperrmeldung.

 

[scrollymouse]

Es ist schon wirklich beachtlich, was die Sparkasse für Verrenkungen veranstaltet, um die Girocard für die Onlinezahlung zur ertüchtigen.
Wann kommt den endlich die Debit Mastercard oder VISA Debit bei Deutschlands Banken an.

 

[BR 612]

Es ist schon wirklich beachtlich, was die Sparkasse für Verrenkungen veranstaltet, um die Girocard für die Onlinezahlung zur ertüchtigen.
Wann kommt den endlich die Debit Mastercard oder VISA Debit bei Deutschlands Banken an.

Gibts doch schon bei der SPK. Und zwar die GC/MC Debit Kombi. Die Kombi mit VISA Debit ist sicher auch möglich. Damit kann man eigtl. die ganzen APay Zahlungen durchführen. Man könnte auch sowohl die GC als auch die MC Debit fit für GPay/APay machen. Damit könnte man auch im Ausland und an SumUp Terminals (und an den anderen, die keine GC können, z. B. iZettle, Nayax (für Verkaufsautomaten) per Mobile Payment zahlen und online auch ohne Verrenkungen wie Giropay (ex. Paydirekt)

 

[penamba]

Hat man diese dreistellige Nummer absichtlich so gewählt, dass in jeder Kombination die Prüfsumme passt?
Ich habe mein comdirect Beispiel genommen und sowohl mit 672 als auch 482 sowie 680 passt die gleiche Prüfsumme.

Das ist höchstwahrscheinlich Zufall, bzw. wüsste ich nicht, ob das bei irgendeinem Prozess helfen würde. Kann aber gut sein, dass die DK es sich nicht unnötig schwer machen und eine einfachere Konversion von Girocard + Maestro zu Girocard only (z.B. für Apple Pay) ermöglichen wollte

680 klappt auch, wird dort aber keinem Kartentyp zugeordnet, weil unbekannt, was völlig in Ordnung für eine der seltensten Kartenummern der Welt ist.

Vermutlich kennt diese BIN-Liste einfach Girocard nicht. Ich vermute aber schon, dass alle BINs beginnend mit 680 für die DK reserviert wurden, oder das Vorgehen zumindest mit Mastercard (oder wer auch immer sonst diesen Nummernbereich kontrolliert) abgestimmt ist.

Naja, auch mit errechneter PAN aber ohne CVV geht fast keine Zahlung im Internet. Die bekannteste Ausnahme ist Amazon. Im Allgemeinen finde ich, dass die Kartennummer stets unabhängig von Kontonummer sein sollte. Das hätte auch bei verlorenen bzw. gestohlenen Karten geholfen, die gesperrt wurden. Denn jetzt kann der Dieb trotz einer Kuno-Meldung bei einem Teil der Händler einkaufen gehen und in Hessen steht nicht mal diese Möglichkeit zur Verfügung. Und eine kontounabhängige Nummer könnte man z. B. für einen Jahr komplett sperren und erst danach wieder verwenden.

Ja, und ich vermute wie gesagt, dass das der Knackpunkt von Girocard online wäre: Die per Design nicht rotierbaren Kontonummern. Es müssten also entweder kontonummernunabhängige PANs kommen, wie damals in Österreich, oder das Scheme wird exklusiv auf Zahlungen mit Sicherheitsdaten (EMV, 3DS etc.) beschränkt.

Weiß denn jemand hier, wie das bei der Girocard + Mastercard gelöst ist? Gibt es da eine PAN beginnend mit 5 (oder 2), in der auch die Kontonummer enthalten ist? Oder hat die Karte einfach zwei Applikationen mit unterschiedlichen PANs (dann vermutlich einmal 5/2 und einmal 680)?

 

[PixelHopper]

Es gibt zwei unterschiedliche PANs. Zu sehen auch daran, dass die Mastercard-Kartennummer ebenfalls mit aufgedruckt ist. Somit gibt es eine PAN für die girocard Applikation und eine für die Mastercard.
Die girocard App auf dem iDevice ist soweit ich weiß tokenized. Da gab's doch damals auch einige Artikel dazu, dass das Tokenizing für Apple Pay zwingend notwendig ist. Zudem funktioniert ELV nicht mit der girocard in Apple Pay.

 

[penamba]

Es gibt zwei unterschiedliche PANs. Zu sehen auch daran, dass die Mastercard-Kartennummer ebenfalls mit aufgedruckt ist. Somit gibt es eine PAN für die girocard Applikation und eine für die Mastercard.

Super, danke!

Weißt du zufällig auch, ob die Girocard-PAN mit 680 beginnt?

Die girocard App auf dem iDevice ist soweit ich weiß tokenized. Da gab's doch damals auch einige Artikel dazu, dass das Tokenizing für Apple Pay zwingend notwendig ist. Zudem funktioniert ELV nicht mit der girocard in Apple Pay.

Ist sie leider nicht: https://twitter.com/kkrdvc/status/1298148832308539392

ELV sollte daher auch funktionieren, aber ich kann mir gut vorstellen dass es z.B. an fehlenden oder unbekannten Schlüsseln zur Kartenauthentisierung hapert. (ELV-Terminals können, bei Chip-ELV, zumindest theoretisch eine Echtheitsprüfung der Karte durchführen, falls diese "offline data authentication" unterstützt.)

 

[PixelHopper]

Ist sie leider nicht: https://twitter.com/kkrdvc/status/1298148832308539392

ELV sollte daher auch funktionieren, aber ich kann mir gut vorstellen dass es z.B. an fehlenden oder unbekannten Schlüsseln zur Kartenauthentisierung hapert. (ELV-Terminals können, bei Chip-ELV, zumindest theoretisch eine Echtheitsprüfung der Karte durchführen, falls diese "offline data authentication" unterstützt.)

Sabbalot, das ist ja nicht schön. Ich habe nie die NFC-Daten der digitalen girocard ausgelesen. Das ist ja wirklich nicht so schön.

 

[penamba]

Offenbar geht es los:

Girocard-Zahlungen über Apple Pay jetzt auch im E-Commerce möglich

Die Sparkassen-Finanzgruppe baut das Leistungsspektrum von Apple Pay bei der Sparkasse weiter aus. Ab sofort können Sparkassenkunden über Apple Pay mit ihrer digitalen girocard in Apps und im Internet einfach, sicher und vertraulich bezahlen.

www.dsgv.de

"Kreative" Interpretation von Tokenization übrigens:

Bei der Verwendung einer Sparkassen-Card mit Apple Pay werden die tatsächlichen Kartennummern weder im Gerät, noch auf den Apple-Servern gespeichert.

Wenn man es ganz genau nimmt, stimmt das – die Karte in Apple Pay beginnt mit 680; die auf der physischen Karte mit 672... Der Rest ist aber identisch.

 

[BR 612]

Was ist aber mit Chargeback, falls Ware nicht kommt oder so. Bei VISA/MC ist das ja nicht wirklich ein Problem. Formular ausfüllen, Kommunikation mit dem Händler anheften, ab die Post. Was daraus wird, ist natürlich nicht immer im Sinne des Kunden.
Aber bei Girocard gibt es ja gar keine Möglichkeit, das Geld erstattet zu bekommen, seh ich das richtig? Wäre ein klarer Nachteil für die GC. Weil bei den Onlinehändlern, die APay anbieten, geht ja auch immer VISA und MC.
Ich weiß nicht, ob ich das nutzen würde, wenn es für GPay kommt (irgendwo habe ich gelesen, dass das kommen soll). Höchstens für den POS mit GC Only Akzeptanz wäre das interessant.

 

[ThePaddy]

Aber bei Girocard gibt es ja gar keine Möglichkeit, das Geld erstattet zu bekommen, seh ich das richtig?

Gibt wohl einen (kostenlosen) Käuferschutz: https://www.sparkasse.de/service/sicherheit-im-internet/kaeuferschutz.html

 

[Hannoveraner]

Laut dem Link sind physische Gegenstände abgedeckt und zwar weltweit bis zu 25.000 €:

Beim Einkauf mit der Sparkassen-Card (Debitkarte) sind physische Gegenstände versichert – keine Dienstleistungen wie Reisen oder Veranstaltungen. Außerdem muss der Kaufpreis vollständig mit Ihrer Sparkassen-Card (Debitkarte) bezahlt oder der Rechnungsbetrag von Ihrem Sparkassen-Girokonto als berechtigter Karten- und Kontoinhaber abgezogen worden sein.

Im Versicherungsfall sind Waren im Wert von bis zu 25.000 Euro inklusive Versandkosten abgesichert.

Der Versicherungsschutz besteht weltweit.

Es handelt sich um eine Versicherung:

Der Versicherungsschutz wird den teilnehmenden Sparkassen und ihren Kunden durch den Versicherer ELEMENT Insurance AG bereitgestellt. Daher erfolgt die Regulierung des Antrages über die ELEMENT Insurance AG.

Alle Zitate stammen aus dem Link von @ThePaddy .

 

[penamba]

Gibt wohl einen (kostenlosen) Käuferschutz: https://www.sparkasse.de/service/sicherheit-im-internet/kaeuferschutz.html

Das ist ja ein interessantes Modell (Versicherung statt Chargeback-Mechanismus).

Ob sich die Versicherung wohl ggf. das Geld vom Händler zurückholen kann? Falls nicht – wer bezahlt den Spaß am Ende?

 

[BR 612]

Ich glaube nicht, dass die Girocard richtig onlinefähig wird. Also ohne APay oder GPay davor. Vermutlich werden die anderen Banken (Geno, Privatbanken) die eigene Lösung Giropay (die ja aus dem Zusammenschluss der 3 alten Verfahren Kwitt, Paydirekt und Giropay entstanden ist) nutzen. Dort hat man auch einen Käuferschutz (afaik ohne dieses Versicherung sondern ähnlich PayPal). Eigentlich ging ich davon aus, dass GC mit MC Debit Cobadge die Runde macht und eine Onlinefähige Girocard oder auch solche Systeme wie Giropay überflüssig werden. Scheint aber nicht so zu sein.

 

[selaf]

Laut dem Link sind physische Gegenstände abgedeckt und zwar weltweit bis zu 25.000 €:

Also keine Flug-, Konzert- oder Hotelstickets. Wofür genau hat man Käuferschutz in den vergangenen zwei Jahren doch gleich am häufigsten gebraucht?

 

[BR 612]

Also keine Flug-, Konzert- oder Hotelstickets. Wofür genau hat man Käuferschutz in den vergangenen zwei Jahren doch gleich am häufigsten gebraucht?

Also wieder nur halbherzig umgesetzt. Die Branchen, die gerne mal Ärger machen in solchen Sachen, hat man ausgeschlossen. Warum übernimmt man nicht einfach das bewährte System bei VISA/MC. Also, dass bei berechtigten Chargeback der Betrag vom Händler abgezogen wird und beim Kunden wieder gutgeschrieben wird.

 

[Hannoveraner]

@selaf : Darum geht es doch: Einen Schutz anzubieten, der möglichst selten ins Anspruch genommen wird. Bei physischen Waren ist doch die Wahrscheinlichkeit am Größten sich mit Händler (insb. im Inland) auf eine Lösung zu einigen. Auch im Versandhandel, wenn die Lieferung fehlerhaft ist, dann haftet das Paketdienst, sofern weder Verkäufer noch Käufer etwas falsch gemacht haben.

 

[penamba]

Naja, immerhin sind Insolvenzen (soweit ich sehen kann) nicht ausgeschlossen. Das könnte in einigen Fällen (manche Banken haben sich bei solchen Fällen ja als verlängerter Arm des Insolvenzverwalters inszeniert) durchaus Vorteile haben.

Die relevantesten Fälle sind allerdings wiederum explizit über die Kategorie ausgeschlossen (Airlines, Hotels)...

 

[kkcollector]

Bezahlen des Kaffee im Flieger (Pegasus) mit Sparkassen-Debit (Master/Giro) klappte nicht.
Ing Visa (debit) klappte dann.

Beitrag automatisch zusammengeführt: 23.09.2024

Gibt wohl einen (kostenlosen) Käuferschutz: https://www.sparkasse.de/service/sicherheit-im-internet/kaeuferschutz.html

 

[aadw]

ANZEIGE

Bezahlen des Kaffee im Flieger (Pegasus) mit Sparkassen-Debit (Master/Giro) klappte nicht.
Ing Visa (debit) klappte dann.

Beitrag automatisch zusammengeführt: 23.09.2024

Anhang anzeigen 268254 Parkautomat in Zingst der normale Girocard nimmt, nimmt die neue Kombi Card der Sparkasse auch nicht....