Hostel chce otrzymać kod bezpieczeństwa mojej karty kredytowej za pośrednictwem poczty e-mail, czy to uzasadnione?

21

Dlaczego hostel, który rezerwuję przez HostelWorld, chce mieć kod bezpieczeństwa mojej karty kredytowej (z tyłu)?

Czy zamierzają to wykorzystać do naliczenia własnego depozytu i w gruncie rzeczy załatwić rezerwacje zamiast pozwolić HostelWorld na zarządzanie?

Mówią, że rezerwacja nie zostanie zapisana, chyba że podasz te informacje, to dość kiepskie, że hostel korzysta z witryny takiej jak HostelWorld i po prostu „nie szanuje” rezerwacji dokonanych za jego pośrednictwem.

Będziesz musiał przesłać na nasz e-mail kod bezpieczeństwa (CVV / CVC) karty, której użyłeś podczas rezerwacji, aby w pełni zabezpieczyć swoją rezerwację, w przeciwnym razie może to spowodować utratę rezerwacji.

bookings security hostels fraud hostelworld wnętrze
źródło
6
Zdecydowanie przywołałbym to w Hostelworld, ponieważ ich strona internetowa mówi, że dokonując rezerwacji za ich pośrednictwem Your booking 100% confirmed, hostel nie powinien wymagać oddzielnego numeru karty do przechowywania rezerwacji, która została już zarezerwowana przez Hostelworld (i prawdopodobnie zapłaciłeś depozyt za rezerwacje ).
Johnny
2
Zaktualizuj @Johnny. Przywołałem to i HostelWorld po prostu powiedział: „tak, mówią, że to robią, więc mogą to zrobić”. wtf ... Więc w zasadzie, jeśli hostel mówi, że jedna linia, mogą całkowicie negować każdą wpłatę lub każdą korzyść z rezerwacji za pośrednictwem HostelWorld ...
insinsin
NIGDY NIE WYSYŁAJ ŻADNYCH INFORMACJI O KARTACH KREDYTOWYCH POWYŻEJ E-MAILA. Wysyłanie wiadomości e-mail jest jak wysyłanie pocztówki. Nic nie stoi na przeszkodzie, aby ktokolwiek czytał go w drodze do miejsca przeznaczenia.
Andy,
To może być wiadomość phishingowa. Wcześniej korzystałem z mojej karty kredytowej w hostelworld i od tego czasu pojawiały się zamówienia na oszustwa. Mój bank powiadomił mnie, anulowałem kartę za oszustwo. Uważaj na schroniska!
pbu

Odpowiedzi:

23

Miałem ten sam problem z hostelem w Wielkiej Brytanii. Nacisnąłem hostel w celu wyjaśnienia, a także znalazłem wątek na forum menedżerów hostelu omawiających tę politykę. Oba udzieliły tego samego wyjaśnienia.

Z ich punktu widzenia było tak, żeby mogli wziąć pieniądze z mojego konta, jeśli się nie pojawię . Powiedzieli, że robią to tylko w zajętych okresach, kiedy wiedzą, że będą pełne, więc nie tracą pieniędzy, odwracając klientów tylko po to, aby znaleźć klientów, którzy się nie pojawią.

Ale nie rób tego!

Nawet jeśli ufasz temu hostelowi, że celowo Cię nie zdziera, umieszczasz wszystkie informacje o karcie kredytowej, które ktoś musiałby popełnić oszustwa przy użyciu karty kredytowej, niezabezpieczone, niezaszyfrowane, przechowywane na (jeśli masz szczęście) zniszczonym starym laptopie siedzącym w przyjęcie lub (jeśli masz pecha) w stosie wydruków pozostawionych bez opieki, podczas gdy jedyny pracownik zmiany zmienia sytuację awaryjną. Byłoby szokująco łatwe dla przestępcy, a nawet przypadkowego oportunisty, takiego jak niezadowolony pracownik hostelu, lokalny facet od naprawy komputera lub gość, aby uzyskać wystarczającą ilość informacji, aby sklonować kartę lub najechać konto.

Odmówiłem - i zamiast tego zgodziłem się zapłacić część (60%, jeśli dobrze pamiętam) rachunku z góry za pośrednictwem PayPal . To bezpiecznie rozwiązało ich problem z nie pojawieniem się i chociaż nie było idealne, zapewniło zakwaterowanie, którego potrzebowałem, gdy wszędzie indziej było pełne. Często zajęte miejsca nalegają na płatność z góry - moim jedynym nieszczęściem było to, że wydaje się nieuczciwe, że nie było to oczywiste w momencie dokonywania rezerwacji i że nie szanowali wpłaty już zapłacone.

HostelWorld przekazuje hostelowi niektóre dane karty, takie jak numer karty, nazwisko itp., Ale (z dobrego powodu) nie wystarczy, aby hostel mógł po prostu obciążyć kartę debetową przy użyciu standardowego automatu do kart.

Częstym, kosztownym problemem dla właścicieli hosteli jest to, że ludzie rezerwują w ruchliwych okresach, a następnie nie pojawiają się, pozostawiając puste pokoje i łóżka, które mogą być pełne. Również (najwyraźniej) depozyt, który wpłacasz do HostelWorld, pozostaje w HostelWorld jako ich opłata, więc w przypadku nie pojawienia się sam hostel nic nie dostaje, nawet depozyt (mam tylko jedno słowo na ten temat).

Jest to prymitywne, mało zaawansowane technologicznie, być może nielegalne i na pewno niezgodne z PCI obejście.

Oto wątek na forum menedżera hostelu, na którym dyskutują o nim, a także o innych sposobach radzenia sobie z brakiem pokazów od HostelWorld i hostelbookers . Ktoś słusznie to zauważa:

może naruszyć warunki umowy z dostawcą karty, a także być niezgodne z PCI!

... ale wydaje się być jednak umiarkowanie popularny ...

Jest mało prawdopodobne, że sam hostel oszukuje ludzi (ale jest to możliwe), ponieważ schroniska żyją i umierają dzięki swojej reputacji (z wyjątkiem dobrze zlokalizowanych pułapek turystycznych, w których wszystkie zakłady są wyłączone, w tym „czy obudzę się z całym bagażem i nerkami”), ale nadal zdecydowanie nie zalecam, ponieważ:

  1. Twoje pełne dane karty kredytowej będą znajdować się niezaszyfrowane w systemie komputerowym, który nie jest skonfigurowany do bezpiecznego przechowywania informacji o karcie kredytowej . Mogą nawet znajdować się w stosie drukowanych wiadomości e-mail na stole, o ile wiesz. Aby sklep internetowy mógł zaakceptować i przechowywać dane karty kredytowej, musi przejść surowe kontrole bezpieczeństwa serwera (zgodność z PCI) lub zostać ukarany wysoką grzywną. Zwykły tekst w wiadomości e-mail zdecydowanie nie sprawdziłby tych kontroli.
  2. Nawet jeśli ufasz hostelowi, nie wiesz, że możesz zaufać każdemu, kto używa komputera hostelu . Właściciel hostelu może być legalny (choć nieświadomy / lekkomyślny z kartami kredytowymi gościa), ale wystarczyłby jeden niezadowolony niedopłacony recepcjonista lub jeden podejrzany lokalny pracownik naprawy komputera lub jeden gość, który przekonuje recepcjonistę, że „pilnie” musi korzystaj z komputera hostelu przez 5 minut lub jednego doświadczonego technicznie gościa lub sąsiada (adres e-mail nie jest bezpieczny) ...

Ponieważ motywacja zazwyczaj polega na tym, że hostel chroni się przed nie pojawieniem się, powinieneś być w stanie wynegocjować kompromis, w którym część opłaty z góry.

Jeśli tego nie zrobią, zostań gdzie indziej : albo mają bardziej złowrogi powód, albo nie mają wystarczającej wiedzy technicznej, aby otrzymywać pieniądze przez PayPal (dlatego zdecydowanie nie można ufać, że zapewnią bezpieczeństwo danych Twojej karty!).

Oto kilka przykładów z mojej wymiany e-maili, aby dać ci przykład:

Im:

Dziękujemy za rezerwację u nas!

Podczas ruchliwych okresów wstępnie autoryzujemy karty kredytowe w celu pokrycia opłaty za rezerwację, jeśli nie przyjedziesz, obawiam się, że nie udało się ukończyć wstępnej autoryzacji. W tym celu potrzebujemy Twojego numeru CVC, który niestety nie został podany podczas rezerwacji.

W celu zagwarantowania rezerwacji prosimy o natychmiastowy kontakt

Ja: (parafrazując) do diabła nie, nigdy wcześniej o to nie pytano, nie umieszczam danych mojej karty w wiadomości e-mail, a ty już dostałeś mój depozyt. Graj ładnie, inaczej zażądam zwrotu depozytu, zarezerwuj gdzie indziej i zgłoś cię do HostelWorld za próbę oszustwa z użyciem karty kredytowej. (ale sformułowane bardziej grzecznie)

Im:

Nie otrzymujemy depozytu. 8,64 £ zostało już zapłacone i jest to opłata Hostelworld.com. W naszym Regulaminie jest mowa o tym, że dokonujemy wstępnej autoryzacji, a do tego potrzebujemy numeru CVC.

Istnieje możliwość zapłaty z góry przez paypal zamiast wstępnej autoryzacji.

Pochowany w swoich warunkach:

Polityka wstępnej autoryzacji

Wstępna autoryzacja nie jest opłatą i żadne środki nie zostały pobrane z twojego konta.

Dlaczego karta kredytowa jest wstępnie autoryzowana? Po przekazaniu nam karty kredytowej / debetowej wstępna autoryzacja gwarantuje nam, że środki są dostępne na pokrycie wszelkich poniesionych opłat.

Ile kosztuje wstępna autoryzacja? Kwota, którą wstępnie autoryzujemy, będzie zależeć od wartości Twojej rezerwacji i kanału rezerwacji użytego do rezerwacji

Kiedy karta jest wstępnie autoryzowana? Wszystkie karty kredytowe lub debetowe są wstępnie autoryzowane w ciągu 24/48 godzin od dokonania rezerwacji ... HSBC Merchant Services jest odpowiedzialny za utrzymanie i zarządzanie procesem wstępnej autoryzacji.

Nie chciałem, aby dane mojej karty były niezabezpieczone w ich e-mailach itp., I do tego momentu wszędzie indziej było zarezerwowane, więc zamiast tego zapłaciłem z góry przez PayPal, który działał dobrze bez problemów.

user56reinstatemonica8
źródło
HostelWorld pobiera 15% depozytu. Ten 15% depozytu trafia do HostelWorld, ale co się stanie, kiedy przybędę do hostelu, nie zapłacę 100%, że ja i nigdy więcej nie zobaczę tego depozytu? (To nie jest opłata, prawda?) Bardzo dziękuję @ user568458 za opinię! Nie ma możliwości, żeby dostali ode mnie pieniądze, dopóki nie przybędę, jeśli to oznacza, że ​​nie mogą zagwarantować mojej rezerwacji, wtedy dokonam rezerwacji w innym miejscu.
Wewnątrz
Miejsce, w którym się zatrzymałem, było jakieś dziwne kompromisowe zasady, coś w stylu: zapłaciłem 15% HW, 60% z góry przez paypal, a następnie pozostałe 25% po przyjeździe ... Dziwaczne, ale lepsze niż ryzykowanie oszustw kartowych lub bycie bezdomnym !
user56reinstatemonica8
1
Ale nie tak dobrze, jeśli chcesz zmienić plany ..: s To z pewnością paskudny ruch, ale nie powinien kosztować Cię 75% rezerwacji.
Wewnątrz
7
@ user568458 +1 za nieznajomość hostelu. Pracowałem w schronisku i setki (jeśli nie tysiące) danych karty kredytowej były przechowywane, niezaszyfrowane w bardzo niewiarygodnym laptopie hostelu. Po prostu nie mają pojęcia, co robią.
Adrien Be
1
Robią? Nigdy nie miałem hotelu poprosić o kod CVV. Na pewno nie przez e-mail.
user56reinstatemonica8
8

Podanie kodu zabezpieczającego za pośrednictwem niezabezpieczonego połączenia to bardzo zły pomysł. Robiąc to, zasadniczo zamieniasz swoje konto bankowe w rachunek samoobsługowy.

Przechowywanie kodu CVV w dowolnej formie jest niezgodne z wymogami PCI DSS (Standard karty bezpieczeństwa danych branżowych), a wysyłając go pocztą e-mail, będzie przechowywany na komputerze, który może nie być bezpieczny, ma zainstalowany program rejestrujący klucze, ma niektóre niezałatane błędy w systemie operacyjnym wykorzystywanym przez złośliwe oprogramowanie lub współdzielone przez wiele osób. Jeśli jest to hostel, to dość często mają innych turystów zajmujących się recepcją w niepełnym wymiarze godzin, którzy są gotowi do pracy po kilku tygodniach. Skąd wiesz, że nie zabierają ze sobą kopii danych karty?

CVV jest dowodem posiadania karty, ponieważ żaden internetowy dealer nie może przechowywać CVV w żadnej formie. Dlatego wszyscy dystrybutorzy online, którzy uzyskają to prawo, będą pytać o Twój numer CVV podczas dokonywania z nimi kolejnej transakcji, nawet jeśli wcześniej kliknąłeś opcję „zapisz moje szczegóły płatności”.

Bez kodu bezpieczeństwa wszystkie wyciekające listy numerów kart kredytowych w Internecie są bezużyteczne, ponieważ za każdym razem, gdy chcesz dokonać transakcji, będziesz proszony o CVV (z wyjątkiem powtarzających się płatności).

TL; DR: znajdź inny hostel, w przeciwnym razie dajesz pełny dostęp do swojego konta bankowego.

mam komputer
źródło
1
Tak, zrobiłem. HostelWorld powtarzał: „nie, mają rację, mogą to zrobić”. a następnie „Tak, Twoja rezerwacja jest gwarantowana”. tak zasadniczo zaprzeczając sobie. To był fajny hostel, ale niewystarczająco miły, by się nim zniszczyć. Cóż za głupie „zasady” popierane przez HostelWorld! What ..
insinsin
Wiele sklepów pozwala zamawiać bez powtarzania kodu CVV, w tym Amazon.
JonathanReez wspiera Monikę
3
@JonathanReez Istnieją różne poziomy zgodności. Minęło trochę czasu, odkąd pracowałem nad tym, ale pamiętam co najmniej trzy poziomy: niski poziom dla sklepów mom & pop, które nie przechowują żadnych danych CC i używają tylko PayPal / Braintree / Stripe itp .; średni poziom dla średnich firm, których serwery przechowują wszystko oprócz CVV (myślę, że wymaga to corocznych audytów?), a następnie bardzo wysoki poziom do przechowywania CVV itp. do natychmiastowych płatności, gdzie standardy bezpieczeństwa są tak surowe, że potrzebujesz zespołu na cały etat nadążać za tym. X random hostel nie ma profesjonalnego zespołu bezpieczeństwa danych na poziomie Amazon!
user56reinstatemonica8
@JathanathanReez O ile mi wiadomo, handlowiec może dokonywać płatności cyklicznych (takich jak płatności miesięczne, subskrypcje itp.) Bez pytania o numer CVV, ale nie dotyczy transakcji jednorazowych. W firmie, w której wówczas pracowałem, nie otrzymalibyśmy żadnej transakcji zatwierdzonej przez bank / dostawcę płatności bez posiadania prawidłowego numeru CVV przy każdej transakcji.
iHaveacomputer
2

Nie ma uzasadnionego powodu, dla którego hostel powinien o to zapytać. Chodzi o to, że obciążenie karty kredytowej bez kodu CVC spowoduje dodatkowe koszty hostelu. Koszty te mogą być niższe, jeśli hostel ma dobrą historię. Prawdopodobnie hostel musi jeszcze udowodnić, że sposób prowadzenia działalności jest wystarczająco bezpieczny dla firmy obsługującej karty kredytowe, z którą mają do czynienia, aby obniżyć koszty transakcji braku karty bez kodu CVC.

Hrabia Iblis
źródło