Хостел хоче, щоб мій електронний лист захисту електронної пошти отримав код безпеки кредитної картки, це законно?


21

Чому хостел, який я бронюю через HostelWorld, бажає код безпеки моєї кредитної картки (на звороті)?

Чи збираються вони використовувати це для стягнення власного депозиту і по суті возитися з бронюванням, а не дозволяти HostelWorld управляти ним?

Вони кажуть, що бронювання не буде збережено, якщо ви не дасте цю інформацію, це дуже погано для гуртожитку, щоб використовувати веб-сайт, як HostelWorld, і просто «не поважати» будь-яке бронювання, зроблене через нього.

Вам потрібно буде надіслати на нашу електронну пошту код безпеки (CVV / CVC) картки, яку ви використовували при бронюванні, щоб повністю забезпечити бронювання, якщо цього не зробити, це може призвести до втрати бронювання.


6
Я б точно вказав на Hostelworld, оскільки на їхньому веб-сайті написано, що, бронюючи їх через них Your booking 100% confirmed, хостел не повинен вимагати окремого номера картки, щоб утримувати бронювання, яке вже було заброньовано через Hostelworld (і, імовірно, ви заплатили депозит за бронювання ).
Джонні

2
Оновлення @Johnny. Я підніс це, і HostelWorld просто сказав: "так, вони кажуть, що вони роблять це, щоб вони могли це зробити". wtf ... Тож по суті, якщо гуртожиток каже, що однією лінією, вони можуть повністю заперечувати будь-який депозит, який я відклав, або будь-яку користь бронювання через HostelWorld ...
Insidesin

НІКОЛИ не надсилайте будь-яку інформацію про кредитні картки за електронною поштою. Надсилання електронних листів - це як надсилання листівки. Ніщо не заважає комусь прочитати його на шляху до місця призначення.
Енді

Це може бути фішинг-лист. Раніше я використовував свою кредитну картку з hostelworld і з тих пір надходили замовлення на шахрайство. Банк попередив мене, я скасував картку за шахрайство. Будьте обережні з гуртожитками!
pbu

Відповіді:


22

У мене був такий самий випуск із гуртожитком у Великобританії. Я натиснув гуртожиток на роз'яснення, а також знайшов нитку на форумі керівників гуртожитків, які обговорювали цю політику. Обидва дали однакове пояснення.

З їхньої точки зору, це було так, що вони могли забрати гроші з мого рахунку, якщо я не з’являвся . Вони сказали, що роблять це лише у зайняті періоди, коли вони знають, що вони будуть повноцінні, тому вони не втрачають гроші, відвертаючи клієнтів лише для того, щоб знайти замовлених клієнтів, що не з’являються.

Але не робіть цього!

Навіть якщо ви довіряєте цьому гуртожитку не навмисно зірвати вас, ви виставляєте всю інформацію про кредитну карту, комусь знадобиться вчинити шахрайство з кредитними картками, незахищеними, незашифрованими, зберігати на (якщо пощастить) сиділому старому ноутбуку, що сидить у прийом, або (якщо вам не пощастило) в купі паперових роздруківців, що залишаються без нагляду, тоді як єдиний працівник, який змінює виправлення певної надзвичайної ситуації. Кримінально, а то й просто випадковому опортуністу, такому як незадоволений працівник гуртожитку, хлопець із ремонту місцевого комп’ютера чи гість, було б приголомшливо легко отримати достатньо інформації для клонування вашої картки або рейду на ваш рахунок.

Я відмовився - і натомість погодився заплатити частину (60%, якщо я добре пам’ятаю) передплати через PayPal . Це благополучно вирішило їх непроявлене занепокоєння, і, хоча це не ідеально, воно забезпечило житло, яке я хотів, коли всюди було повно. Це не надзвичайно рідко, коли зайняті місця наполягають на авансовій оплаті - моє єдине нещастя з цього полягало в тому, що це було нечесно, що це не було очевидним у той момент, коли я робив бронювання, і що вони не поважали депозит вже оплачено.


HostelWorld надає гуртожитку деякі дані картки, наприклад, номер картки, ім’я та ін., Але (з поважної причини) недостатньо, щоб гуртожиток просто взяв дебет за допомогою стандартної карткової машини.

Поширена, дорога проблема власників гуртожитків - люди, які бронюють у зайняті періоди, а потім не з’являються, залишаючи порожні кімнати та ліжка, які можуть бути повноцінними. Також (мабуть) депозит, який ви сплачуєте HostelWorld, залишається в HostelWorld як їхня плата, тож у разі відсутності шоу, гуртожиток сам не отримує нічого, навіть депозиту (у мене є лише одне слово хостела щодо цього).

Це сильний, низькотехнологічний, можливо, незаконний і, звичайно, не сумісний з PCI спосіб вирішення.

Ось нитка на форумі менеджерів гуртожитків, де вони обговорюють його разом з іншими способами боротьби з не-шоу від HostelWorld та хостелів . Хтось правильно це зазначає:

може порушити ваші T & C у вашого постачальника карт, а також не бути сумісними з PCI!

... але це, здається, помірно популярне нічим не менш ...

Це малоймовірно , що гуртожиток сам би афера люди (але можливо), в гуртожитках живуть і вмирають на їх репутації ( за винятком добре розташованих туристичних пасток , де всі ставки вимкнені , включаючи «буде я прокидаюся з усім моїм багажем , і обидві нирки»), але все-таки я настійно рекомендую не виконувати їх, оскільки:

  1. Ваша повна інформація про кредитну карту буде сидіти незашифрованою на комп'ютерній системі, не налаштованій для безпечного зберігання даних кредитної картки . Вони можуть бути навіть у купі надрукованих електронних листів, що сидять на столі, бо всі ви знаєте. Для того, щоб інтернет-магазин міг прийняти та зберігати дані кредитної картки, йому потрібно пройти жорстку перевірку безпеки його сервера (відповідність PCI) або загрожувати великим штрафом. Звичайний текст в електронному листі точно перевірятиме ці перевірки.
  2. Навіть якщо ви довіряєте гуртожитку, ви не знаєте, що можете довіряти всім, хто користується комп’ютером хостелу . Власник гуртожитку може бути законним (хоч і необізнаним / необачним із кредитними картками їхнього гостя), але він просто займе одного незадоволеного недоплаченого реєстратора, або одного хитрого місцевого ремонту комп'ютера, або одного гостя, який переконує ресепшн, що вони "терміново" повинні користуйтеся комп’ютером у хостелі протягом 5 хвилин або одного гостя чи сусіда, який користується технікою (електронна пошта не захищена) ...

Оскільки мотивація, як правило, стосується гуртожитку, який захищає себе від непроявлених, ви повинні мати можливість домовитися про компроміс, коли ви заплатите частину гонорару.

Якщо вони не стануть, залишайтеся десь в іншому місці : вони або мають більш зловісні причини, або не є достатньо технічно грамотними, щоб отримувати гроші PayPal (тому точно не можна довіряти, щоб зберегти дані вашої картки!).


Ось кілька витягів з мого обміну електронною поштою, щоб навести приклад:

Їх:

Дякуємо за бронювання у нас!

Під час зайнятих періодів ми попередньо авторизуємо кредитні картки, щоб покрити плату за бронювання, якщо ви не приїхали. Боюся, не вдалося завершити попередню авторизацію. Для цього нам потрібен ваш номер CVC, який, на жаль, не був наданий під час бронювання.

Щоб ми гарантували ваше бронювання, будь ласка, зв’яжіться з нами негайно

Я: (перефразувавши) чорт ні, мене ніколи раніше цього не запитували, я не вкладаю свої дані картки в електронний лист, і ви вже отримали мій депозит. Грайте добре, або я вимагаю повернення коштів на депозит, бронюйте в іншому місці та повідомляю вас про HostelWorld за спробу шахрайства з кредитною карткою. (але викладено ввічливіше)

Їх:

Депозит ми не отримуємо. 8,64 фунтів стерлінгів уже сплачено, і це гонорар Hostelworld.com. У наших Загальних положеннях та положеннях зазначено, що ми робимо попередню авторизацію і для цього нам потрібен номер CVC.

Існує можливість оплати заздалегідь через paypal замість попередньої авторизації.

Поховані в їх умовах:

Політика до авторизації

Попередня авторизація не стягує плату, і з вашого рахунку не списуються кошти.

Чому кредитну карту попередньо авторизовано? Коли ви даєте нам кредитну / дебетову карту, попередня авторизація гарантує нам, що кошти доступні для оплати будь-яких нарахованих зборів.

Скільки коштує попередня авторизація? Сума, яку ми попередньо авторизуємо, залежатиме від вартості вашого бронювання та каналу бронювання, який ви використовували для бронювання

Коли карта попередньо авторизована? Усі кредитні чи дебетові картки попередньо авторизовані протягом 24/48 годин після бронювання ... Торгові послуги HSBC несуть відповідальність за підтримку та управління процесом попередньої авторизації.

Я не хотів, щоб дані моєї картки були незахищеними у своїх електронних листах тощо, і до цього моменту скрізь було заброньовано, тому я заплатив заздалегідь PayPal, який працював нормально без проблем.


HostelWorld стягує депозит у розмірі 15%. Цей 15% депозит йде на HostelWorld, але що трапиться, коли я приїду в гуртожиток, я не збираюся платити 100%, і я більше не побачу цього депозиту? (Це не плата, чи не так?) Дякую тобі @ user568458 за відгук !!! Ні в якому разі вони не отримають від мене грошей, поки я не приїду, якщо це означає, що вони не можуть гарантувати моє бронювання, то я забронюю десь ще.
Insidesin

Місце, де я залишився, була якась дивна компромісна політика, щось подібне, я заплатив 15% HW, 60% наперед Paypal, потім решту 25%, коли я приїхав ... Химерно, але краще, ніж ризикувати шахрайством з карткою або бути бездомним !
user568458

1
Але це не так добре, якщо ви хотіли б змінити плани ..: s Це неприємний крок, але не повинен коштувати вам 75% бронювання.
інсаїн

7
@ user568458 +1 за незнання гуртожитку. Я працював у гуртожитку, і сотні (якщо не тисячі) реквізитів кредитних карток зберігалися, незашифровані в дуже ненадійному ноутбуці хостелу. Вони просто не мають поняття, що вони роблять.
Адрієн Бе

1
Вони роблять? Я ніколи не хотів, щоб у готелі просили код CVV. Звичайно, не електронною поштою.
user568458

8

Видача коду безпеки через незахищене з'єднання - дуже погана ідея. Цим ви фактично перетворюєте свій банківський рахунок на рахунок самообслуговування.

Збереження CVV-коду в будь-якій формі суперечить вимогам PCI DSS (стандарт безпеки даних платіжної картки), і, надіславши його по електронній пошті, він буде зберігатися на комп'ютері, який може бути незахищеним, встановлений реєстратор ключів, дещо не виправлено помилки в ОС, що експлуатуються зловмисним програмним забезпеченням або передаються між кількома людьми. Якщо це гуртожиток, то нерідко у них є інші туристи, які працюють на прийомі за сумісництвом, які знаходяться у відпустці через кілька тижнів. Звідки вам відомо, що вони не беруть із собою копії реквізитів картки?

CVV - ваш доказ того, що ви володієте карткою, оскільки жодному інтернет-дилеру заборонено зберігати CVV у будь-якій формі. Ось чому всі інтернет-дилери, які отримають це право, запитають вас про свій номер CVV, коли ви робите іншу операцію з ними, навіть якщо раніше ви натискали "Зберігати мої платіжні дані".

Без коду безпеки всі списки номерів кредитних карток, що просочилися в Інтернеті, марні, тому що кожного разу, коли ви хочете зробити транзакцію, вам буде запропоновано CVV (за винятком повторних платежів).

TL; DR: знайдіть інший гуртожиток, інакше ви просто надаєте повний доступ до свого банківського рахунку.


1
Так, я зробив. HostelWorld постійно говорив: «ні вони невірні, вони можуть це зробити». потім перейдіть до "так, бронювання гарантовано". так по суті суперечать собі. Це був гарний гуртожиток, але недостатньо приємний, щоб знищити себе над ним. Яка дурна "політика", яку підтримує HostelWorld! Що ..
Insidesin

Багато магазинів дозволяють замовляти, не запитуючи код CVV неодноразово, включаючи Amazon.
JonathanReez

3
@JonathanReez Існують різні рівні відповідності. Минув час, оскільки я працював над цим, але я пам’ятаю щонайменше три рівні: низький рівень для мам та поп-магазинів, які не зберігають даних CC, а просто використовують PayPal / Braintree / Stripe тощо; середній рівень для середнього бізнесу, сервери якого зберігають все, окрім CVV (я думаю, для цього потрібні щорічні аудити?), потім надвисокий рівень для зберігання CVV тощо для миттєвих платежів, де стандарти безпеки настільки суворі, що вам потрібна штатна команда не відставати від цього. X випадковий хостел не має професійної команди захисту даних на рівні Амазонки!
user568458

@JonathanReez Наскільки я знаю, продавцю дозволяється здійснювати періодичні платежі (наприклад, щомісячні платежі, підписки тощо), не запитуючи вас про номер CVV, але не для разових транзакцій. У компанії, в якій я працював у той час, ми не отримали жодної транзакції, затвердженої у банку / постачальника платежів, не маючи правильний номер CVV для кожної транзакції.
iHaveacomputer

2

Немає законних причин, чому гуртожиток повинен це запитати. Тут відбувається те, що зарядка кредитної картки без коду CVC понесе більше витрат на гуртожиток. Ці витрати можуть бути нижчими, якщо гуртожиток має хороші результати. Імовірно, гуртожиток ще не довів, що спосіб їх ведення бізнесу є достатньо безпечним для компанії, яка займається кредитними картками, з якою вони займаються, щоб знизити витрати на безкартові транзакції без коду CVC.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.