Lo és, lo és sin duda. Aunque no veas el número completo de la tarjeta de débito/crédito, simplemente tener aunque sea tokenizada la tarjeta de otra persona en tu cuenta es algo que podría arracarrearles fuertes multas, se salta toda la privacidad de datos y es un tema muy serio y grave.
Yo de primeras se lo comenté por privado, pidiendo incluso hablar con un responsable, sabiendo que no se lo iban a tomar en serio, como de primeras era, pensandose el chico "que era yo el que no me enteraba", pensando luego que eran tarjetas mias porque había pagado con dos tarjetas, que realmente era la misma, solo que tengo la costumbre de borrarlas y por lo tanto eran dos tokens diferentes de la misma tarjeta. De hecho, yo pensaba que el bug venía de ahí, al no tener ninguna tarjeta registrada, pues que guardase la de quien pagase a mi bpay.
Después de insistir parece que aviso a alguien que se lo empezó a tomar un poco en serio. Me iban a contestar y hasta hoy (y hace casi un mes). Pero vamos, este es un bug, de los que se merecen una recompensa solo por el aviso. Más que nada porque una multa de la AEPD iba a ser bastante cara...
La verdad es q les haces el trabajo cuando fallan las cosas y luego no son nada agradecidos la verdad