Hostel quiere el código de seguridad de mi tarjeta de crédito por correo electrónico, ¿es legítimo?

21

¿Por qué un albergue que reservo a través de HostelWorld querría el código de seguridad de mi tarjeta de crédito (en la parte posterior)?

¿Van a usar esto para cobrar su propio depósito y esencialmente perder el tiempo con las reservas en lugar de dejar que HostelWorld lo administre?

Dicen que la reserva no se guardará a menos que proporcione esta información, que es bastante pobre para un albergue utilizar un sitio web como HostelWorld y simplemente 'faltar el respeto' a cualquier reserva realizada a través de él.

Deberá enviar a nuestro correo electrónico el código de seguridad (CVV / CVC) de la tarjeta que utilizó al realizar la reserva para asegurar completamente su reserva; de lo contrario, podría perder su reserva.

bookings security hostels fraud hostelworld dentro
fuente
66
Definitivamente lo mencionaría con Hostelworld, ya que su sitio web dice que al reservar a través de ellos Your booking 100% confirmed, por lo que un albergue no debería requerir un número de tarjeta separado para mantener la reserva que ya se reservó a través de Hostelworld (y presumiblemente usted pagó un depósito por las reservas )
Johnny
2
Actualiza @Johnny. Lo mencioné y HostelWorld simplemente dijo: 'sí, dicen que lo hacen, para que puedan hacerlo'. wtf ... Así que, esencialmente, si un albergue dice esa línea, pueden negar por completo cualquier depósito que haya depositado o cualquier beneficio de reservar a través de
Hostel World
NUNCA ENVÍE NINGUNA INFORMACIÓN DE LA TARJETA DE CRÉDITO POR CORREO ELECTRÓNICO. Enviar correos electrónicos es como enviar una tarjeta postal. No hay nada que impida que alguien lo lea camino a su destino.
Andy
Ese podría ser un correo electrónico de phishing. Utilicé mi tarjeta de crédito con hostelworld antes y desde entonces hubo pedidos de fraude. Mi banco me alertó, cancelé la tarjeta por fraude. ¡Cuidado con los albergues!
pbu

Respuestas:

23

Tuve este mismo problema con un hostal en el Reino Unido. Presioné al albergue para obtener una explicación, y también encontré un hilo del foro de gerentes de albergues discutiendo esta política. Ambos dieron la misma explicación.

Desde su punto de vista, era para que pudieran sacar el dinero de mi cuenta si no aparecía . Dijeron que lo hacen solo en períodos ocupados cuando saben que estarán llenos, por lo que no pierden dinero rechazando a los clientes solo para descubrir que los clientes reservados no se presentan.

Pero no lo hagas!

Incluso si confía en este albergue para no estafarlo deliberadamente, está poniendo toda la información de la tarjeta de crédito que alguien necesitaría para cometer fraude con la tarjeta de crédito, sin garantía, sin cifrar, almacenada (si tiene suerte) en una vieja computadora portátil desarmada una recepción, o (si tiene mala suerte) en una pila de impresiones de papel que quedan desatendidas mientras el único empleado de ese turno arregla alguna emergencia. Sería sorprendentemente fácil para un criminal, o incluso para un oportunista al azar, como un empleado del hostal descontento, un técnico o invitado local de reparación de computadoras, obtener suficiente información para clonar su tarjeta o allanar su cuenta.

Me negué, y en su lugar acepté pagar parte (60% si no recuerdo mal) de la factura por adelantado a través de PayPal . Esto resolvió con seguridad su preocupación de no presentarse y, aunque no era ideal, aseguró el alojamiento que quería cuando todo el mundo estaba lleno. No es muy raro que los lugares concurridos insistan en el pago por adelantado; mi única descontento con esto fue que parece deshonesto que esto no era evidente en el momento en que hice la reserva, y que no respetaron el depósito que había ya pagado.

HostelWorld da algunos detalles de la tarjeta, como el número de tarjeta, el nombre, etc. al albergue, pero (por una buena razón) no es suficiente para que el albergue simplemente tome un débito usando una máquina de tarjetas estándar.

Un problema común y costoso para los propietarios de albergues es que las personas que reserven en períodos ocupados y luego no se presentan, dejando las habitaciones y camas vacías que podrían estar llenas. También (aparentemente) el depósito que paga a HostelWorld se queda en HostelWorld como su tarifa, por lo que en caso de no presentarse, el albergue en sí no recibe nada, ni siquiera un depósito (solo tengo una palabra de albergue sobre esto).

Esta es una solución cruda, de baja tecnología, posiblemente ilegal y ciertamente no compatible con PCI.

Aquí hay un hilo en un foro de gerente de albergue donde lo discuten junto con otras formas de lidiar con la no presentación de HostelWorld y hostelbookers . Alguien lo señala con razón:

puede infringir sus T&C con su proveedor de tarjetas, ¡además de no ser compatible con PCI!

... pero parece ser moderadamente popular, no obstante ...

Es poco probable que el albergue en engañe a las personas (pero es posible), ya que los albergues viven y mueren por su reputación (excepto trampas para turistas bien ubicadas donde todas las apuestas están apagadas, incluyendo "¿Despertaré con todo mi equipaje y mis dos riñones"), pero aún así, recomiendo no cumplir porque:

  1. La información completa de su tarjeta de crédito estará sin cifrar en un sistema informático no configurado para almacenar de forma segura la información de la tarjeta de crédito . Incluso pueden estar en una pila de correos electrónicos impresos sentados en una mesa, por lo que sabes. Para que una tienda en línea acepte y almacene los detalles de la tarjeta de crédito, debe pasar controles rigurosos sobre la seguridad de su servidor (cumplimiento de PCI) o enfrentar una fuerte multa. El texto sin formato en un correo electrónico definitivamente fallaría en esos controles.
  2. Incluso si confía en el albergue, no sabe que puede confiar en todos los que usan la computadora del albergue . El propietario del albergue puede ser legítimo (aunque ignorante / imprudente con las tarjetas de crédito de sus huéspedes), pero solo se necesita una recepcionista mal pagada descontento, o una persona de reparación de computadora local poco fiable, o un invitado que convence a la recepcionista de que deben "urgentemente" use la computadora del albergue durante 5 minutos o un invitado o vecino experto en tecnología (el correo electrónico no es seguro) ...

Dado que la motivación generalmente se basa en que el albergue se protege a sí mismo de la no presentación, debería poder negociar un compromiso en el que paga una parte por adelantado.

Si no lo hacen, quédese en otro lugar : o tienen razones más siniestras, o no están lo suficientemente capacitados en tecnología para recibir dinero por PayPal (¡por lo tanto, definitivamente no se puede confiar para mantener seguros los detalles de su tarjeta!).

Aquí hay algunos sobresalientes de mi intercambio de correo electrónico para darle un ejemplo:

Ellos:

Gracias por reservar con nosotros!

Durante los períodos de mayor actividad, preautorizamos las tarjetas de crédito para cubrir su tarifa de reserva si no llega, me temo que no pude completar la autorización previa. Para hacer esto, necesitamos su número de CVC que desafortunadamente no se proporcionó cuando realizó la reserva.

Para que podamos garantizar su reserva, contáctenos inmediatamente

Yo: (parafraseando) demonios no, nunca me han preguntado esto antes, no estoy poniendo los detalles de mi tarjeta en un correo electrónico, y ya tienes mi depósito. Juega bien o reclamaré un reembolso del depósito, reservé en otro lugar e informaré a HostelWorld por intento de fraude con tarjeta de crédito. (pero redactado más cortésmente)

Ellos:

No recibimos depósito. £ 8.64 ya fue pagado y es una tarifa de Hostelworld.com. En nuestros Términos y condiciones se indica que hacemos autorizaciones previas y para ello necesitamos el número CVC.

Existe la opción de pagar por adelantado con PayPal en lugar de la autorización previa.

Enterrados en sus términos y condiciones:

Política de preautorización

La autorización previa no es un cargo y no se debitaron fondos de su cuenta.

¿Por qué se preautoriza la tarjeta de crédito? Cuando nos da una tarjeta de crédito / débito, la autorización previa nos garantiza que los fondos están disponibles para pagar los cargos incurridos.

¿Cuánto cuesta una preautorización? La cantidad que preautorizamos dependerá del valor de su reserva y del canal de reserva que utilizó para reservarla.

¿Cuándo se preautoriza la tarjeta? Todas las tarjetas de crédito o débito están preautorizadas dentro de las 24/48 horas de haber realizado su reserva ... HSBC Merchant Services es responsable del mantenimiento y la gestión del proceso de preautorización.

No quería que los detalles de mi tarjeta permanecieran sin seguridad en sus correos electrónicos, etc., y en este punto en todos los demás lugares estaba reservado, así que pagué por adelantado con PayPal, lo que funcionó bien sin problemas.

user56reinstatemonica8
fuente
HostelWorld cobra un depósito del 15%. Este depósito del 15% va a HostelWorld, pero ¿qué sucede cuando llego al albergue, no voy a pagar el 100% y no vuelvo a ver ese depósito? (No es una tarifa, ¿verdad?) ¡Muchas gracias @ user568458 por sus comentarios! No hay forma de que obtengan dinero de mí hasta que llegue, si eso significa que no pueden garantizar mi reserva, entonces reservaré en otro lugar.
dentro del
El lugar donde me quedé, había una política de compromiso extraña, algo así como, pagué 15% a HW, 60% por adelantado por PayPal, luego el 25% restante cuando llegué ... Extravagante, pero mejor que arriesgarse a fraude de tarjetas o estar sin hogar !
user56reinstatemonica8
1
Pero no es tan bueno si quisiera cambiar de plan ...: s Lo cual es un movimiento desagradable seguro, pero no debería costarle el 75% de la reserva.
dentro del
77
@ user568458 +1 por ignorancia del albergue. Trabajé en un albergue y cientos (si no miles) de datos de tarjetas de crédito fueron almacenados, sin encriptar en la computadora portátil muy poco confiable del albergue. Simplemente no tienen idea de lo que están haciendo.
Adrien Be
1
¿Ellas hacen? Nunca he tenido un hotel pidiendo un código CVV. Ciertamente no por correo electrónico.
user56reinstatemonica8
8

Dar su código de seguridad a través de una conexión no segura es una muy mala idea. Al hacer esto, esencialmente convierte su cuenta bancaria en una cuenta de autoservicio.

El almacenamiento del código CVV en cualquier forma está en contra de los requisitos de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago), y al enviarlo por correo electrónico se almacenará en una computadora que puede no ser segura, tiene un registrador de claves instalado, tiene algunos sin parchear errores en el sistema operativo explotados por malware o se comparten entre varias personas. Si se trata de un albergue, a menudo tienen otros mochileros que se encargan de la recepción a tiempo parcial, que están despiertos después de algunas semanas. ¿Cómo sabe que no se llevan una copia de los datos de la tarjeta?

El CVV es su prueba de que está en posesión de la tarjeta, ya que ningún distribuidor en línea puede almacenar el CVV de ninguna forma. Es por eso que todos los distribuidores en línea que obtienen este derecho le pedirán su número de CVV cuando realice otra transacción con ellos, incluso si antes hizo clic en "almacenar mis datos de pago".

Sin el código de seguridad, todas las listas de números de tarjetas de crédito filtradas en Internet son inútiles, porque cada vez que desee realizar una transacción se le solicitará el CVV (excepto los pagos recurrentes).

TL; DR: encuentra otro albergue, de lo contrario solo estás dando acceso completo a tu cuenta bancaria.

tengo una computadora
fuente
1
Si, lo hice. HostelWorld siguió diciendo 'no, están en lo correcto, pueden hacer esto'. luego, con "sí, su reserva está garantizada". esencialmente contradiciéndose a sí mismos. Era un buen hostal, pero no lo suficientemente bueno como para destruirme por eso. ¡Qué estúpida 'política' respaldada por HostelWorld también! Qué ...
dentro del
Muchas tiendas le permiten ordenar sin pedir el código CVV repetidamente, incluida Amazon.
JonathanReez apoya a Monica
3
@ JonathanReez Hay diferentes niveles de cumplimiento. Ha pasado un tiempo desde que trabajé en esto, pero recuerdo al menos tres niveles: un nivel bajo para las tiendas familiares que no almacenan ningún dato CC y solo usan PayPal / Braintree / Stripe, etc. un nivel promedio para empresas medianas cuyos servidores almacenan todo excepto CVV (¿creo que esto requiere auditorías anuales?), luego un nivel súper alto para almacenar CVV, etc. para pagos instantáneos, donde los estándares de seguridad son tan estrictos que necesita un equipo de tiempo completo para seguir el ritmo ¡X random hostel no tiene un equipo profesional de seguridad de datos a nivel de Amazon!
user56reinstatemonica8
@JonathanReez Hasta donde yo sé, un comerciante puede hacer pagos recurrentes (como pagos mensuales, suscripciones, etc.) sin pedirle el número CVV, pero no para transacciones únicas. En la compañía para la que trabajaba en ese momento, no obtendríamos ninguna transacción aprobada del banco / proveedor de pagos sin tener el número CVV correcto con cada transacción.
iHaveacomputer
2

No hay una razón legítima por la que el albergue deba preguntar esto. Lo que está sucediendo aquí es que cargar la tarjeta de crédito sin el código CVC incurrirá en más costos para el albergue. Estos costos podrían ser más bajos si el albergue tiene un buen historial. Presumiblemente, el albergue aún tiene que demostrar que la forma en que llevan a cabo sus negocios es lo suficientemente segura para que la compañía de tarjetas de crédito con la que tratan reduzca los costos de las transacciones con tarjeta no presente sin el código CVC.

Conde iblis
fuente