Ist es legal, wenn ein Unternehmen nach Scans meiner Kreditkarte fragt?

Warum kümmert es Sie, ob es “legal” ist? Wenn Sie sich Sorgen über die Auswirkungen auf die Sicherheit machen und es nicht tun wollen, dann tun Sie es nicht. Wenn die Firma Ihre Einlagen ohne es nicht akzeptiert, dann gehen Sie zu einer anderen Investmentfirma. Es gibt Hunderte von ihnen da draußen. Bei mir hat noch nie jemand ein eingescanntes Bild meiner Kreditkarte verlangt, und ich habe mit mindestens einem halben Dutzend Investmentfirmen Geschäfte gemacht, also ist das keine Standardpraxis der Branche. Sie haben einen Schutz zur Verfügung, der weitaus stärker ist als die Möglichkeit, eine Klage zu erheben: Sie können Ihre Geschäfte woanders abwickeln. Um das zu tun, müssen Sie keinen Anwalt beauftragen oder vor Gericht gehen oder so. Sie tun es einfach.

All das gesagt, gibt es Wege, um zu vermeiden, viel zusätzliches Sicherheitsrisiko zu schaffen. Ich gehe davon aus, dass Sie ihnen bereits Ihren Namen, Ihre Adresse, Ihre Kartennummer und Ihren Sicherheitscode am Telefon oder über die Webseite mitgeteilt haben, so dass Sie ihnen diese Informationen anvertraut haben, und wenn Hacker oder die NSA Ihre privaten Informationen ausspähen wollten, hätten sie das auch tun können. Okay, eine Webseite könnte https verwendet haben und damit verschlüsselt sein, eine E-Mail hingegen nicht. Also drei Lösungen: (a) Wenn sie einen Upload auf einer https-Seite anbieten, nutzen Sie das und Sie haben nicht mehr Sicherheitsrisiko als bei der ursprünglichen Eingabe dieser Informationen. (b) Legen Sie das gescannte Bild vor dem Versenden per E-Mail in eine verschlüsselte Datei, z. B. ein verschlüsseltes PDF, oder verschlüsseln Sie die Bilddatei mit einer anderen Software, und senden Sie dann das Kennwort in einer separaten E-Mail. © Sie können eine ziemlich gute Sicherheit erreichen, indem Sie die Vorder- und Rückseite der Karte in zwei separaten E-Mails versenden, die zu unterschiedlichen Zeiten gesendet werden. Dann müsste ein Hacker beide abfangen und in der Lage sein, sie miteinander zu verbinden.

Übrigens würde ich mir keine Sorgen machen, dass die NSA solche E-Mails abfängt. Ich vermute, dass sie, wenn sie Zugriff auf Ihr Kreditkartenkonto haben wollen, einfachere Wege haben, das zu erreichen, als dieses ungewöhnliche System zu knacken. Solange sie nicht einen bestimmten Grund haben, Sie oder diese Investmentfirma ins Visier zu nehmen, suchen sie wahrscheinlich nicht nach Bildern von Kreditkarten in E-Mails.

Welche zwei Informationen würden sie erhalten: die Unterschrift und den Sicherheitscode auf der Rückseite. Die Kontonummer, das Verfallsdatum und Ihr Name stehen auf der Vorderseite.

Ich wäre sehr misstrauisch gegenüber dieser Anfrage. Die Informationen, die sie zur Bearbeitung der Transaktion benötigen, wurden zum Zeitpunkt der Transaktion gesammelt. Das Bild der Karte beweist, dass Sie im Besitz eines Bildes der Karte sind.

Kontaktieren Sie Ihr Kreditkartenunternehmen. Überprüfen Sie auch, ob die Transaktion durchgeführt wurde. Ich habe noch nie erlebt, dass jemand einen Scan der Karte verlangt hat.

Vertrauen Sie nicht der E-Mail-Adresse, die man Ihnen gegeben hat. Sie sieht vielleicht legitim aus, aber Sie müssen sie überprüfen. Auch die https-Sicherheit bedeutet nicht, dass eine E-Mail sicher ist. Tatsächlich ist eine E-Mail nicht sicher, wenn die Nachricht nicht verschlüsselt ist. Ich traue dieser Anfrage nicht.

EDIT: In Ihrer Bearbeitung der Frage haben Sie einen Link zu deren Policy-Seite

Sie haben das Zitat nicht beendet:

Aus Sicherheitsgründen und zum Schutz vor Betrug müssen Kunden für jede durchgeführte Transaktion eine gescannte Kopie (Vorder- und Rückseite) ihrer Kredit-/Debitkarte sowie einen aktuellen Kontoauszug einreichen. Die Rückseite der Karte muss unterschrieben und die Unterschrift deutlich sichtbar sein. Alle wichtigen Daten (vollständiger Name, Kartennummer, Wohnanschrift) sollten gut sichtbar sein. Diese Dokumente werden sofort nach erfolgreichem Transaktionsabschluss vernichtet und können entweder über Ihre Konto-“Profil”-Seite oder per E-Mail an support@aaafx.com hochgeladen werden. AAAFx kann Sie persönlich per Telefon kontaktieren, um bestimmte Transaktionen zu verifizieren.

Der Schlüssel ist, dass sie über Ihre Profilseite hochgeladen werden können. Vorausgesetzt, sie hat eine https-URL, ist das der richtige Weg.

Ich habe die gleiche Frage bei der NatWest Bank Online Community gestellt und folgende Antwort vom Community Manager erhalten:

Wir möchten, dass Sie so gut wie möglich geschützt sind, daher würden wir aufgrund des Risikos, dass Ihre Kartendaten von anderen als den beabsichtigten Personen gesehen werden, nicht empfehlen, Ihre Daten auf diese Weise zu teilen.

Am besten setzen Sie sich mit dem Unternehmen in Verbindung und sagen, dass Sie diese Art von Informationen nicht weitergeben möchten, um zu sehen, ob man Ihnen helfen kann.

Hoffentlich hilft das.