Хостел хочет получить код безопасности моей кредитной карты по электронной почте, это законно?

21

Зачем хостелу, который я бронирую через HostelWorld, нужен код безопасности моей кредитной карты (на обороте)?

Собираются ли они использовать это для взимания своего собственного депозита и по сути возиться с бронированием, вместо того, чтобы позволить HostelWorld управлять им?

Они говорят, что бронирование не будет сохранено, если вы не предоставите эту информацию, и хостел может использовать такой сайт, как HostelWorld, и просто «неуважение» к любому бронированию, сделанному через него.

Вам необходимо будет отправить на нашу электронную почту код безопасности (CVV / CVC) карты, которую вы использовали при бронировании, чтобы полностью обезопасить свое бронирование, в противном случае это может привести к потере бронирования.

insidesin
источник
6
Я определенно расскажу об этом в Hostelworld, поскольку на их веб-сайте сказано, что при бронировании через них Your booking 100% confirmedхостел не должен требовать отдельного номера карты для бронирования, который уже был забронирован через Hostelworld (и, вероятно, вы заплатили депозит за бронирование. ).
Джонни
2
Обновите @Johnny. Я поднял это, и HostelWorld просто сказал: «Да, они говорят, что они делают это, поэтому они могут сделать это». В общем ... Так что, по сути, если хостел говорит, что одной строкой, они могут полностью отменить любой депозит, который я внес или любую выгоду от бронирования через HostelWorld ...
insidesin
НИКОГДА НЕ ПОСЫЛАЙТЕ ЛЮБУЮ КРЕДИТНУЮ КАРТУ. Отправка писем походит на отправку открытки. Там нет ничего, чтобы помешать кому-либо читать его по пути к месту назначения.
Энди
Это может быть фишинговое письмо. До этого я пользовался своей кредитной картой в hostelworld, и с тех пор поступали заказы на мошенничество. Мой банк предупредил меня, я отменил карту для мошенничества. Будьте осторожны с общежитиями!
августа

Ответы:

23

У меня была такая же проблема с общежитием в Великобритании. Я нажал на общежитие для объяснения, а также нашел ветку форума менеджеров общежития, обсуждающих эту политику. Оба дали одно и то же объяснение.

С их точки зрения, они могли вывести деньги с моего счета, если бы я не появился . Они сказали, что делают это только в напряженные периоды, когда они знают, что они будут заполнены, поэтому они не теряют деньги, отвлекая клиентов только для того, чтобы обнаружить, что забронированные клиенты не появляются.

Но не делай этого!

Даже если вы доверяете этому хостелу, чтобы не преднамеренно вырвать вас, вы помещаете всю информацию о кредитной карте, которая понадобится кому-то для совершения мошенничества с кредитными картами, необеспеченную, незашифрованную, хранящуюся (если вам повезет) старый измученный ноутбук, сидящий в прием или (если вам не повезло) стопка бумажных распечаток, оставленных без присмотра, пока единственный сотрудник, работающий в смену, устраняет какую-то аварийную ситуацию. Для преступника или даже случайного оппортуниста, такого как недовольный сотрудник общежития, местный парень по ремонту компьютеров или гость, было бы невероятно легко получить достаточно информации, чтобы клонировать вашу карту или совершить набег на ваш счет.

Я отказался - и вместо этого согласился оплатить часть (60%, если я правильно помню) счета авансом через PayPal . Это благополучно разрешило их незабываемое беспокойство и, хотя и не идеально, оно обеспечило жилье, которое я хотел, когда везде было полно. Занятые места весьма настойчиво настаивают на предоплате - мое единственное недовольство этим заключалось в том, что, по-видимому, нечестно, что это не было очевидно во время бронирования, и что они не уважали залог, который я уже оплачено.


HostelWorld предоставляет некоторые данные карты, такие как номер карты, имя и т. Д., Общежитию, но (по уважительной причине) недостаточно, чтобы хостел просто взял дебет с помощью стандартного карточного автомата.

Обычная, дорогая проблема для владельцев общежитий - люди, бронирующие номер в периоды занятости, а затем не появляющиеся, оставляя комнаты и кровати пустыми, которые могут быть переполнены. Также (очевидно) депозит, который вы вносите в HostelWorld, остается в HostelWorld в качестве их платы, поэтому в случае незаезда сам хостел ничего не получает, даже депозит (у меня есть только одно слово хостела по этому поводу).

Это грубый, низкотехнологичный, возможно, незаконный и, безусловно, не соответствующий PCI обходной путь.

Вот ветка на форуме хостел-менеджера, где они обсуждают это наряду с другими способами борьбы с неявками от HostelWorld и hostelbookers . Кто-то справедливо указывает на это:

может привести к нарушению ваших T & C с вашим провайдером карт, а также к несовместимости с PCI!

... но, тем не менее, он довольно популярен ...

Маловероятно, что само общежитие обмануло бы людей (но возможно), поскольку общежития живут и умирают из-за своей репутации (за исключением хорошо расположенных туристических ловушек, где все ставки выключены, включая «я проснусь со всем своим багажом и обеими почками»), но тем не менее, я настоятельно рекомендую не соблюдать, потому что:

  1. Ваша полная информация о кредитной карте будет храниться в незашифрованном виде в компьютерной системе, не настроенной для безопасного хранения информации о кредитной карте . Они могут даже быть в куче печатных писем, сидя на столе, насколько вы знаете. Чтобы интернет-магазин мог принимать и хранить данные кредитной карты, он должен пройти строгую проверку безопасности своего сервера (соответствие PCI) или получить большой штраф. Обычный текст в электронном письме определенно провалит эти проверки.
  2. Даже если вы доверяете общежитию, вы не знаете, что можете доверять всем, кто использует компьютер общежития . Владелец общежития может быть законным (хотя и невежественным / безрассудным с кредитными картами своих гостей), но для этого потребуется только один недовольный регистратор, которому недоплачивают, или один изворотливый местный специалист по ремонту компьютеров, или один гость, который убеждает администратора в том, что они "срочно" должны использовать компьютер хостела в течение 5 минут или одного технически подкованного гостя или соседа (электронная почта не защищена) ...

Поскольку мотивация, как правило, заключается в том, что хостел защищает себя от неявки, вы должны быть в состоянии договориться о компромиссе, когда вы платите часть аванса.

Если они этого не сделают, оставайтесь где-нибудь еще : у них либо есть более зловещие причины, либо они недостаточно технически грамотны, чтобы получать деньги через PayPal (поэтому определенно нельзя доверять для обеспечения безопасности данных вашей карты!).


Вот некоторые выдержки из моего обмена электронной почтой, чтобы привести пример:

Их:

Спасибо за бронирование с нами!

В периоды занятости мы предварительно авторизуем кредитные карты, чтобы покрыть плату за бронирование, если вы не приедете, боюсь, не смогли завершить предварительную авторизацию. Для этого нам нужен ваш номер CVC, который, к сожалению, не был указан при бронировании.

Чтобы мы могли гарантировать ваше бронирование, пожалуйста, немедленно свяжитесь с нами

Я: (перефразируя), черт возьми, нет, меня никогда не спрашивали об этом раньше, я не помещаю данные своей карты в электронное письмо, и вы уже получили мой депозит. Играйте хорошо, или я потребую возмещение депозита, забронируйте в другом месте и сообщите о вас в HostelWorld за попытку мошенничества с кредитной картой. (но сформулировано более вежливо)

Их:

Мы не получаем депозит. £ 8,64 уже выплачено, и это плата за хостел Hostelworld.com. В наших Условиях использования указано, что мы проводим предварительную авторизацию, и для этого нам нужен номер CVC.

Существует возможность оплаты авансом через PayPal вместо предварительной авторизации.

Похоронен по своим условиям:

Политика предварительной авторизации

Предварительная авторизация не является платной, и средства не были списаны с вашего счета.

Почему кредитная карта предварительно авторизована? Когда вы предоставляете нам кредитную / дебетовую карту, предварительная авторизация гарантирует нам, что средства доступны для оплаты любых понесенных расходов.

Сколько стоит предварительная авторизация? Сумма, которую мы предварительно авторизуем, будет зависеть от стоимости вашего бронирования и канала бронирования, который вы использовали для бронирования.

Когда карта предварительно авторизована? Все кредитные или дебетовые карты предварительно авторизуются в течение 24/48 часов с момента вашего бронирования ... HSBC Merchant Services отвечает за обслуживание и управление процессом предварительной авторизации.

Я не хотел, чтобы данные моей карты оставались незащищенными в их электронных письмах и т. Д., И к этому моменту все остальные были забронированы, поэтому вместо этого я заплатил авансом через PayPal, который работал без проблем.

user56reinstatemonica8
источник
HostelWorld взимает депозит в размере 15%. Этот 15% -ый депозит поступает в HostelWorld, но что произойдет, когда я приеду в хостел, я не собираюсь платить 100%, и я никогда больше не увижу этот депозит? (Это не плата, не так ли?) Большое спасибо @ user568458 за ваш отзыв !!! Они не получат денег от меня, пока я не приеду, если это означает, что они не могут гарантировать мое бронирование, тогда я забронирую где-нибудь еще.
insidesin
В месте, где я остановился, была какая-то странная компромиссная политика, что-то вроде того, я заплатил 15% HW, 60% авансом через PayPal, а остальные 25%, когда я приехал ... Причудливый, но лучше, чем рисковать мошенничеством с картой или быть бездомным !
user56reinstatemonica8
1
Но не очень хорошо, если вы хотите изменить планы ..: s Конечно, это неприятный шаг, но он не должен стоить вам 75% от стоимости бронирования.
insidesin
7
@ user568458 +1 за незнание общежития. Я работал в общежитии, и сотни (если не тысячи) данных кредитной карты хранились в незашифрованном виде в очень ненадежном ноутбуке общежития. Они просто понятия не имеют, что делают.
Адриен Бе
1
Они делают? У меня никогда не было, чтобы отель попросил код CVV. Конечно, не по электронной почте.
user56reinstatemonica8
8

Выдавать код безопасности через незащищенное соединение - очень плохая идея. Делая это, вы по сути превращаете свой банковский счет в счет самообслуживания.

Хранение кода CVV в любой форме противоречит требованиям стандарта PCI DSS (отраслевой стандарт безопасности данных платежных карт), и при отправке его по электронной почте он будет храниться на чьем-то компьютере, который может быть небезопасным, с установленным регистратором ключей, с некоторыми исправлениями ошибки в ОС эксплуатируются вредоносными программами или распределяются между несколькими людьми. Если это общежитие, то довольно часто у них есть другие туристы, которые занимаются приемом неполный рабочий день, и они уже через несколько недель. Откуда вы знаете, что они не берут с собой копию данных карты?

CVV является вашим доказательством того, что вы владеете картой, потому что ни один онлайн-дилер не имеет права хранить CVV в любой форме. Вот почему все онлайн-дилеры, которые получают это право, будут запрашивать ваш CVV-номер, когда вы совершаете с ними другую транзакцию, даже если вы нажали «сохранить мои платежные реквизиты» ранее.

Без защитного кода все просочившиеся списки номеров кредитных карт в интернете бесполезны, потому что каждый раз, когда вы хотите совершить транзакцию, у вас будет запрашиваться CVV (за исключением повторяющихся платежей).

TL; DR: найдите другой хостел, в противном случае вы просто предоставляете полный доступ к своему банковскому счету.

у меня есть компьютер
источник
1
Да, я сделал. HostelWorld продолжал говорить: «Нет, они правы, они могут сделать это». затем ответьте «да, ваш заказ гарантирован». так по сути противоречащие самим себе. Это был хороший хостел, но не настолько, чтобы разрушить себя из-за него. Какая глупая «политика», которую поддерживает HostelWorld! Что ..
insidesin
Множество магазинов позволяют делать заказы без повторного запроса кода CVV, включая Amazon.
ДжонатанРиз поддерживает Монику
3
@JonathanReez Существуют разные уровни соответствия. Я давно работал над этим, но я помню по крайней мере три уровня: низкий уровень для магазинов мамы и поп, которые не хранят данные CC и просто используют PayPal / Braintree / Stripe и т. Д .; средний уровень для компаний среднего размера, чьи серверы хранят все, кроме CVV (я думаю, что для этого требуются ежегодные аудиты?), затем супер-высокий уровень для хранения CVV и т. д. для мгновенных платежей, где стандарты безопасности настолько строги, что вам нужна команда, работающая полный рабочий день идти в ногу с этим. В хостеле X random нет профессиональной команды по защите данных на уровне Amazon!
user56reinstatemonica8
@JonathanReez Насколько мне известно, продавцу разрешено осуществлять регулярные платежи (например, ежемесячные платежи, подписки и т. Д.), Не запрашивая у вас номер CVV, но не для разовых транзакций. В компании, в которой я работал в то время, мы не получили бы одобрение какой-либо транзакции от банка / поставщика платежных услуг без правильного номера CVV для каждой транзакции.
iHaveacomputer
2

Нет никаких законных причин, почему общежитие должно спросить это. Здесь происходит то, что оплата кредитной картой без кода CVC повлечет за собой дополнительные расходы на хостел. Эти расходы могут быть ниже, если у хостела хорошая репутация. Предположительно, хостел еще не доказал, что способ ведения бизнеса достаточно безопасен для компании-эмитента кредитной карты, с которой он имеет дело, чтобы снизить расходы на транзакции, не связанные с картой, без кода CVC.

Граф Иблис
источник