Хостел хочет получить код безопасности моей кредитной карты по электронной почте, это законно?

Зачем хостелу, который я бронирую через HostelWorld, нужен код безопасности моей кредитной карты (на обороте)?

Собираются ли они использовать это для взимания своего собственного депозита и по сути возиться с бронированием, вместо того, чтобы позволить HostelWorld управлять им?

Они говорят, что бронирование не будет сохранено, если вы не предоставите эту информацию, и хостел может использовать такой сайт, как HostelWorld, и просто «неуважение» к любому бронированию, сделанному через него.

Вам необходимо будет отправить на нашу электронную почту код безопасности (CVV / CVC) карты, которую вы использовали при бронировании, чтобы полностью обезопасить свое бронирование, в противном случае это может привести к потере бронирования.

У меня была такая же проблема с общежитием в Великобритании. Я нажал на общежитие для объяснения, а также нашел ветку форума менеджеров общежития, обсуждающих эту политику. Оба дали одно и то же объяснение.

С их точки зрения, они могли вывести деньги с моего счета, если бы я не появился . Они сказали, что делают это только в напряженные периоды, когда они знают, что они будут заполнены, поэтому они не теряют деньги, отвлекая клиентов только для того, чтобы обнаружить, что забронированные клиенты не появляются.

Но не делай этого!

Даже если вы доверяете этому хостелу, чтобы не преднамеренно вырвать вас, вы помещаете всю информацию о кредитной карте, которая понадобится кому-то для совершения мошенничества с кредитными картами, необеспеченную, незашифрованную, хранящуюся (если вам повезет) старый измученный ноутбук, сидящий в прием или (если вам не повезло) стопка бумажных распечаток, оставленных без присмотра, пока единственный сотрудник, работающий в смену, устраняет какую-то аварийную ситуацию. Для преступника или даже случайного оппортуниста, такого как недовольный сотрудник общежития, местный парень по ремонту компьютеров или гость, было бы невероятно легко получить достаточно информации, чтобы клонировать вашу карту или совершить набег на ваш счет.

Я отказался - и вместо этого согласился оплатить часть (60%, если я правильно помню) счета авансом через PayPal . Это благополучно разрешило их незабываемое беспокойство и, хотя и не идеально, оно обеспечило жилье, которое я хотел, когда везде было полно. Занятые места весьма настойчиво настаивают на предоплате - мое единственное недовольство этим заключалось в том, что, по-видимому, нечестно, что это не было очевидно во время бронирования, и что они не уважали залог, который я уже оплачено.

HostelWorld предоставляет некоторые данные карты, такие как номер карты, имя и т. Д., Общежитию, но (по уважительной причине) недостаточно, чтобы хостел просто взял дебет с помощью стандартного карточного автомата.

Обычная, дорогая проблема для владельцев общежитий - люди, бронирующие номер в периоды занятости, а затем не появляющиеся, оставляя комнаты и кровати пустыми, которые могут быть переполнены. Также (очевидно) депозит, который вы вносите в HostelWorld, остается в HostelWorld в качестве их платы, поэтому в случае незаезда сам хостел ничего не получает, даже депозит (у меня есть только одно слово хостела по этому поводу).

Это грубый, низкотехнологичный, возможно, незаконный и, безусловно, не соответствующий PCI обходной путь.

Вот ветка на форуме хостел-менеджера, где они обсуждают это наряду с другими способами борьбы с неявками от HostelWorld и hostelbookers . Кто-то справедливо указывает на это:

может привести к нарушению ваших T & C с вашим провайдером карт, а также к несовместимости с PCI!

... но, тем не менее, он довольно популярен ...

Маловероятно, что само общежитие обмануло бы людей (но возможно), поскольку общежития живут и умирают из-за своей репутации (за исключением хорошо расположенных туристических ловушек, где все ставки выключены, включая «я проснусь со всем своим багажом и обеими почками»), но тем не менее, я настоятельно рекомендую не соблюдать, потому что:

1. Ваша полная информация о кредитной карте будет храниться в незашифрованном виде в компьютерной системе, не настроенной для безопасного хранения информации о кредитной карте . Они могут даже быть в куче печатных писем, сидя на столе, насколько вы знаете. Чтобы интернет-магазин мог принимать и хранить данные кредитной карты, он должен пройти строгую проверку безопасности своего сервера (соответствие PCI) или получить большой штраф. Обычный текст в электронном письме определенно провалит эти проверки.
2. Даже если вы доверяете общежитию, вы не знаете, что можете доверять всем, кто использует компьютер общежития . Владелец общежития может быть законным (хотя и невежественным / безрассудным с кредитными картами своих гостей), но для этого потребуется только один недовольный регистратор, которому недоплачивают, или один изворотливый местный специалист по ремонту компьютеров, или один гость, который убеждает администратора в том, что они "срочно" должны использовать компьютер хостела в течение 5 минут или одного технически подкованного гостя или соседа (электронная почта не защищена) ...

Поскольку мотивация, как правило, заключается в том, что хостел защищает себя от неявки, вы должны быть в состоянии договориться о компромиссе, когда вы платите часть аванса.

Если они этого не сделают, оставайтесь где-нибудь еще : у них либо есть более зловещие причины, либо они недостаточно технически грамотны, чтобы получать деньги через PayPal (поэтому определенно нельзя доверять для обеспечения безопасности данных вашей карты!).

Вот некоторые выдержки из моего обмена электронной почтой, чтобы привести пример:

Их:

Спасибо за бронирование с нами!

В периоды занятости мы предварительно авторизуем кредитные карты, чтобы покрыть плату за бронирование, если вы не приедете, боюсь, не смогли завершить предварительную авторизацию. Для этого нам нужен ваш номер CVC, который, к сожалению, не был указан при бронировании.

Чтобы мы могли гарантировать ваше бронирование, пожалуйста, немедленно свяжитесь с нами

Я: (перефразируя), черт возьми, нет, меня никогда не спрашивали об этом раньше, я не помещаю данные своей карты в электронное письмо, и вы уже получили мой депозит. Играйте хорошо, или я потребую возмещение депозита, забронируйте в другом месте и сообщите о вас в HostelWorld за попытку мошенничества с кредитной картой. (но сформулировано более вежливо)

Их:

Мы не получаем депозит. £ 8,64 уже выплачено, и это плата за хостел Hostelworld.com. В наших Условиях использования указано, что мы проводим предварительную авторизацию, и для этого нам нужен номер CVC.

Существует возможность оплаты авансом через PayPal вместо предварительной авторизации.

Похоронен по своим условиям:

Политика предварительной авторизации

Предварительная авторизация не является платной, и средства не были списаны с вашего счета.

Почему кредитная карта предварительно авторизована? Когда вы предоставляете нам кредитную / дебетовую карту, предварительная авторизация гарантирует нам, что средства доступны для оплаты любых понесенных расходов.

Сколько стоит предварительная авторизация? Сумма, которую мы предварительно авторизуем, будет зависеть от стоимости вашего бронирования и канала бронирования, который вы использовали для бронирования.

Когда карта предварительно авторизована? Все кредитные или дебетовые карты предварительно авторизуются в течение 24/48 часов с момента вашего бронирования ... HSBC Merchant Services отвечает за обслуживание и управление процессом предварительной авторизации.

Я не хотел, чтобы данные моей карты оставались незащищенными в их электронных письмах и т. Д., И к этому моменту все остальные были забронированы, поэтому вместо этого я заплатил авансом через PayPal, который работал без проблем.

Выдавать код безопасности через незащищенное соединение - очень плохая идея. Делая это, вы по сути превращаете свой банковский счет в счет самообслуживания.

Хранение кода CVV в любой форме противоречит требованиям стандарта PCI DSS (отраслевой стандарт безопасности данных платежных карт), и при отправке его по электронной почте он будет храниться на чьем-то компьютере, который может быть небезопасным, с установленным регистратором ключей, с некоторыми исправлениями ошибки в ОС эксплуатируются вредоносными программами или распределяются между несколькими людьми. Если это общежитие, то довольно часто у них есть другие туристы, которые занимаются приемом неполный рабочий день, и они уже через несколько недель. Откуда вы знаете, что они не берут с собой копию данных карты?

CVV является вашим доказательством того, что вы владеете картой, потому что ни один онлайн-дилер не имеет права хранить CVV в любой форме. Вот почему все онлайн-дилеры, которые получают это право, будут запрашивать ваш CVV-номер, когда вы совершаете с ними другую транзакцию, даже если вы нажали «сохранить мои платежные реквизиты» ранее.

Без защитного кода все просочившиеся списки номеров кредитных карт в интернете бесполезны, потому что каждый раз, когда вы хотите совершить транзакцию, у вас будет запрашиваться CVV (за исключением повторяющихся платежей).

TL; DR: найдите другой хостел, в противном случае вы просто предоставляете полный доступ к своему банковскому счету.

Нет никаких законных причин, почему общежитие должно спросить это. Здесь происходит то, что оплата кредитной картой без кода CVC повлечет за собой дополнительные расходы на хостел. Эти расходы могут быть ниже, если у хостела хорошая репутация. Предположительно, хостел еще не доказал, что способ ведения бизнеса достаточно безопасен для компании-эмитента кредитной карты, с которой он имеет дело, чтобы снизить расходы на транзакции, не связанные с картой, без кода CVC.