Comme un autre utilisateur l'a déclaré, selon les règles de conformité PCI, cela est parfaitement acceptable.
Je voulais clarifier un peu exactement pourquoi les choses sont ainsi. Tout d'abord, les six premiers chiffres du numéro de carte constituent le BIN, un numéro considéré comme "bien connu". Il s'agit d'un numéro attribué à l'institution qui a émis votre carte, et tous les autres titulaires de carte qui sont membres de cette institution partagent le BIN. Donc, montrer le BIN ne donne à un attaquant aucune information qu'il ne peut pas obtenir simplement en regardant la liste BIN. Puisque l'obscurcissement du BIN ne fournit qu'une quantité marginale (certains diraient «insignifiante») de sécurité, pourquoi le masquer? Le BIN en texte clair est couramment utilisé dans le traitement des paiements, et le masquer créerait beaucoup plus de maux de tête pour une augmentation presque nulle de la sécurité.
L'affichage des quatre derniers est généralement le meilleur compromis entre afficher trop d'informations et pas assez d'informations pour identifier de manière unique la carte lorsqu'elle est utilisée pour le rapprochement, etc. Si vous travaillez beaucoup avec des numéros de carte de crédit, vous rencontrez parfois deux numéros de carte masqués identiques, mais avec une probabilité de 1/10 000 que cela se produise.
Ces deux choses prises ensemble, vous allez probablement revenir au point "vous donnez à un voleur de données dix des nombres, ce qui réduit son espace de recherche à 1 million, et la somme de contrôle, ce qui le réduit à 100 000! "
Vous avez un argument valable, mais qu'est-ce que cela signifie? Cela signifie que le voleur a maintenant une liste de 99 999 mauvais numéros de carte de crédit et 1 bon numéro, sans aucun moyen de savoir lequel est le bon. Le numéro de carte de crédit ne contient en soi aucune information vous permettant de savoir quand vous avez le «bon» numéro. Ce n'est pas comme résoudre un puzzle cryptographique; vous devez présenter la carte pour un paiement pour savoir si elle est "bonne" ou non. Cela signifie que pour déchiffrer ne serait-ce qu'une seule carte, vous devez compromettre la plate-forme de paiement d'un commerçant et effectuer en moyenne 50000 transactions pour la trouver. Étant donné que les commerçants sont facturés par transaction, il est grandement dans leur intérêt de s'assurer que quelqu'un ne peut pas faire ce genre de chose. Et même si le commerçant était en retard dans la protection des informations d'identification de son compte marchand, les processeurs de paiement détectent souvent ce genre de chose et ferme le compte en quelques secondes.