L'auberge veut que le code de sécurité de ma carte de crédit soit envoyé par courrier électronique.

21

Pourquoi une auberge de jeunesse que je réserve via HostelWorld voudrait-elle que le code de sécurité de ma carte de crédit (au dos)

Vont-ils l'utiliser pour facturer leur propre dépôt et gâcher les réservations au lieu de laisser HostelWorld le gérer?

Ils disent que la réservation ne sera sauvegardée que si vous donnez ces informations, ce qui est assez médiocre pour une auberge de jeunesse qui utilise un site Web comme HostelWorld et ne fait que «manquer de respect» à toute réservation effectuée via ce site.

Vous devrez envoyer sur notre adresse email le code de sécurité (CVV / CVC) de la carte que vous avez utilisée lors de la réservation afin de sécuriser totalement votre réservation. Si vous ne le faites pas, vous risquez de perdre votre réservation.

bookings security hostels fraud hostelworld insidesin
la source
6
J'en parlerais certainement avec Hostelworld, car leur site Web dit qu'en réservant par leur intermédiaire Your booking 100% confirmedPar conséquent, une auberge de jeunesse ne devrait pas exiger un numéro de carte distinct pour conserver la réservation déjà réservée via Hostelworld (et vous avez probablement payé un acompte pour la réservation).
Johnny
2
Mettre à jour @Johnny. J'en ai parlé et HostelWorld a simplement dit: "Oui, ils disent qu'ils font cela, alors ils peuvent le faire". wtf ... Donc, essentiellement, si une auberge dit qu'une seule ligne, elle peut annuler complètement tout dépôt que je mets ou tout avantage de la réservation via HostelWorld ...
insidesin
N'ENVOYEZ JAMAIS D'INFORMATIONS SUR LA CARTE DE CRÉDIT PAR COURRIEL. Envoyer des emails, c'est comme envoyer une carte postale. Rien n'empêche quiconque de le lire sur le chemin de sa destination.
Andy
Cela pourrait être un email de phishing. J'ai déjà utilisé ma carte de crédit avec hostelworld et depuis lors, des ordres de fraude ont été passés. Ma banque m'a alerté, j'ai annulé la carte pour fraude. Attention aux auberges!
pbu

Réponses:

22

J'ai eu le même problème avec une auberge au Royaume-Uni. J'ai insisté auprès de l'auberge pour obtenir une explication et j'ai également trouvé un fil de discussion où des responsables d'auberges discutaient de cette politique. Les deux ont donné la même explication.

De leur point de vue, c'était pour qu'ils puissent retirer l'argent de mon compte si je ne me présentais pas . Ils ont dit ne le faire que pendant les périodes de pointe, lorsqu'ils savaient qu'ils seraient pleins, afin de ne pas perdre de l'argent en renvoyant des clients uniquement pour constater que les clients réservés ne se présentaient pas.

Mais ne le fais pas!

Même si vous faites confiance à cette auberge pour ne pas vous arnaquer délibérément, vous communiquez toutes les informations de carte de crédit nécessaires pour commettre une fraude de carte de crédit, non sécurisée, non cryptée, stockée (si vous avez de la chance) sur un vieil ordinateur portable assommé une réception, ou (si vous êtes malchanceux) sur une pile d'imprimés sur papier laissés sans surveillance alors que le seul membre du personnel chargé de la tâche corrige une urgence. Il serait incroyablement facile pour un criminel, ou même pour un opportuniste aléatoire, comme un employé d’auberge mécontent, un réparateur d’ordinateur local ou un invité, d’obtenir suffisamment d’informations pour cloner votre carte ou piller votre compte.

J'ai refusé - et au lieu de cela accepté de payer une partie (60% si je me souviens bien) de la facture à l'avance via PayPal . Cela a résolu en toute sécurité leur problème de non-présentation et, bien que cela ne fût pas idéal, cela a permis de trouver le logement que je voulais quand tout le monde était complet. Il n’est pas rare que des endroits très fréquentés insistent pour que le paiement soit payé immédiatement. Mon seul regret est qu’il semble malhonnête déjà payé.

HostelWorld communique à l'auberge certains détails de la carte, tels que le numéro de carte, le nom, etc.

Un problème commun et coûteux pour les propriétaires d’auberge de jeunesse réside dans le fait que les personnes réservant pendant des périodes occupées ne se présentent pas, laissant des chambres et des lits vides pouvant être pleins. Aussi (apparemment) l'acompte que vous payez à HostelWorld reste à HostelWorld en tant que frais, de sorte qu'en cas de non-présentation, l'auberge elle-même ne reçoit rien, pas même un acompte (je n'ai qu'un mot de l'auberge à ce sujet).

Il s'agit d'une solution de contournement brute, de faible technologie, peut-être illégale et certainement non conforme à la norme PCI.

Voici un fil de discussion sur un forum d'auberges-gestionnaires où ils en discutent, ainsi que d'autres moyens de gérer les défections de HostelWorld et de hostelbookers . Quelqu'un le souligne à juste titre:

peut violer vos conditions avec votre fournisseur de carte, ainsi que ne pas être   Conforme au PCI!

... mais il semble être assez populaire malgré tout ...

Il est peu probable que l'auberge lui-même escroquerais les gens (mais possible), car les auberges vivent et meurent sur leur réputation (sauf les pièges à touristes bien situés où tous les paris sont ouverts, y compris "vais-je me lever avec tous mes bagages et les deux reins") recommande fortement de ne pas se conformer car:

  1. Les informations complètes de votre carte de crédit resteront non cryptées sur un système informatique non configuré pour stocker en toute sécurité les informations de carte de crédit. . Ils pourraient même être dans une pile de courriels imprimés assis sur une table, à votre connaissance. Pour qu'une boutique en ligne accepte et stocke des informations de carte de crédit, elle doit passer des tests difficiles sur la sécurité de son serveur (conformité PCI) ou faire face à une lourde amende. Le texte brut dans un email échouerait définitivement à ces vérifications.
  2. Même si vous faites confiance à l'auberge, vous ne savez pas que vous pouvez faire confiance à tous ceux qui utilisent l'ordinateur de l'auberge . Le propriétaire de l'auberge peut être légitime (bien qu'ignorant / téméraire avec les cartes de crédit de leur invité), mais il suffirait d'un réceptionniste sous-payé mécontent, ou d'un réparateur d'ordinateur local louche, ou d'un invité qui convainc le réceptionniste qu'il doit utilisez l'ordinateur de l'auberge pendant 5 minutes, ou un invité ou un voisin averti des technologies (les courriels ne sont pas sécurisés) ...

Étant donné que la motivation principale est que l’auberge se protège des défections, vous devriez être en mesure de négocier un compromis prévoyant une partie des frais.

S'ils ne veulent pas, rester ailleurs : ils ont soit des raisons plus sinistres, soit des connaissances techniques insuffisantes pour recevoir de l'argent par PayPal (donc absolument on ne peut pas faire confiance pour sécuriser les détails de votre carte!).

Voici quelques extraits de mon échange de courriels pour vous donner un exemple:

Leur:

Merci d'avoir réservé avec nous!

Pendant les périodes de pointe, nous autorisons au préalable les cartes de crédit afin de couvrir   vos frais de réservation si vous ne devez pas arriver, je crains ne pouvions pas   pré-autorisation complète. Pour ce faire, nous avons besoin de votre CVC   nombre qui, malheureusement, n’a pas été fourni lors de la réservation.

Afin de garantir votre réservation, veuillez nous contacter immédiatement

Moi: (en paraphrasant) bon sang, je n'ai jamais posé cette question auparavant, je ne mets pas les détails de ma carte dans un courrier électronique, et vous avez déjà mon dépôt. Jouez bien ou je réclame le remboursement du dépôt, livre ailleurs et vous signale à HostelWorld une tentative de fraude de carte de crédit. (mais libellé plus poliment)

Leur:

Nous ne recevons pas de dépôt. 8,64 £ ont déjà été payés et c’est un   Frais Hostelworld.com. Dans nos Conditions générales, il est indiqué que nous   faire pré-autorisation et pour ce faire, nous avons besoin d'un numéro CVC.

Il est possible de payer à l’avance par paypal au lieu de pré -   autorisation.

Enterrés dans leurs termes et conditions:

Politique de pré-autorisation

La pré-autorisation n'est pas une charge et aucun fonds n'a été débité   de votre compte.

Pourquoi la carte de crédit est-elle préautorisée? Lorsque vous nous donnez une carte de crédit / débit, la préautorisation nous garantit que les fonds sont disponibles pour payer les frais éventuels.

Combien coûte une pré-autorisation? Le montant que nous pré-autorisons dépendra de la valeur de votre réservation et du canal de réservation que vous avez choisi.   utilisé pour réserver votre réservation

Quand la carte est-elle préautorisée? Toutes les cartes de crédit ou de débit sont préautorisées dans les 24/48 heures suivant votre réservation. Les Services aux marchands HSBC sont responsables de la maintenance et de la gestion du processus de préautorisation.

Je ne voulais pas que les détails de ma carte ne soient pas sécurisés dans leurs courriels, etc., et à ce moment-là, tous les autres pays étaient complets, alors j'ai payé à l'avance par PayPal, ce qui a bien fonctionné, sans aucun problème.

user568458
la source
HostelWorld facture un acompte de 15%. Ce dépôt de 15% va à HostelWorld, mais que se passe-t-il lorsque j'arrive à l'auberge, je ne vais pas payer 100% et je ne reverrai jamais ce dépôt? (Ce n'est pas un frais, n'est-ce pas?) Merci beaucoup @ user568458 pour vos commentaires !!! Il est impossible qu'ils obtiennent de l'argent avant mon arrivée. Si cela signifie qu'ils ne peuvent garantir ma réservation, je réserverai ailleurs.
insidesin
Là où je suis resté, il y avait une politique de compromis bizarre, quelque chose comme, j'ai payé 15% à HW, 60% à l'avance par paypal, puis les 25% restants à mon arrivée ... Bizarre, mais c'est mieux que de risquer la fraude par carte ou de devenir sans-abri !
user568458
1
Mais ce n’est pas bien si vous voulez changer de forfait ..: s C’est un vilain déménagement qui ne devrait pas vous coûter 75% de la réservation.
insidesin
7
@ user568458 +1 pour ignorance de l'auberge. J'ai travaillé dans une auberge de jeunesse et des centaines (voire des milliers) de détails de cartes de crédit ont été stockés, non cryptés dans l'ordinateur portable très peu fiable de l'auberge. Ils n'ont aucune idée de ce qu'ils font.
Adrien Be
1
Ils font? Je n'ai jamais eu un hôtel demander un code CVV. Certainement pas par email.
user568458
8

Donner votre code de sécurité via une connexion non sécurisée est une très mauvaise idée. Ce faisant, vous transformez essentiellement votre compte bancaire en compte en libre service.

Stocker le code CVV sous quelque forme que ce soit est contre la Exigences PCI DSS (Norme de sécurité des données de l'industrie des cartes de paiement), et en l'envoyant par courrier électronique, il sera stocké sur un ordinateur non sécurisé, avec un enregistreur de clé installé, des bogues non corrigés dans le système d'exploitation exploités par des logiciels malveillants ou partagés par plusieurs personnes. . S'il s'agit d'une auberge de jeunesse, il est fréquent que d'autres backpackers s'occupent de la réception à temps partiel, qui se lèvent après quelques semaines. Comment savez-vous qu'ils ne prennent pas une copie des détails de la carte avec eux?

Le CVV est la preuve que vous êtes en possession de la carte, car aucun revendeur en ligne n’est autorisé à stocker le CVV sous quelque forme que ce soit. C'est pourquoi tous les revendeurs en ligne qui obtiennent ce droit vous demanderont votre numéro CVV lorsque vous effectuerez une autre transaction avec eux, même si vous avez cliqué sur "Enregistrer mes informations de paiement" auparavant.

Sans le code de sécurité, toutes les listes de numéros de cartes de crédit divulguées sur Internet sont inutiles, car chaque fois que vous souhaitez effectuer une transaction, le CVV vous sera demandé (à l'exception des paiements récurrents).

TL; DR: trouvez une autre auberge, sinon vous donnez un accès complet à votre compte bancaire.

iHaveacomputer
la source
1
Oui j'ai fait. HostelWorld n'arrêtait pas de dire «non, ils ont raison, ils peuvent le faire». puis, avec «oui, votre réservation est garantie». donc se contredisant essentiellement. C'était une bonne auberge de jeunesse, mais pas assez pour me détruire. Quelle "politique" stupide, soutenue par HostelWorld aussi! Quoi..
insidesin
De nombreux magasins vous permettent de commander sans demander le code CVV à plusieurs reprises, y compris Amazon.
JonathanReez
3
@JonathanReez Il existe différents niveaux de conformité. Cela fait longtemps que je n’ai pas travaillé là-dessus, mais je me souviens d’au moins trois niveaux: un niveau bas pour les magasins Mom & Pop qui ne stockent aucune donnée CC et utilisent simplement PayPal / Braintree / Stripe, etc. un niveau moyen pour les entreprises de taille moyenne dont les serveurs stockent tout sauf le CVV (je pense que cela nécessite des audits annuels?), puis un niveau très élevé pour le stockage de CVV, etc. pour les paiements instantanés, où les normes de sécurité sont si strictes qu'il vous faut une équipe à plein temps suivre le rythme. X random hostel ne dispose pas d'une équipe de sécurité des données professionnelle de niveau Amazon!
user568458
@JonathanReez Pour autant que je sache, un commerçant est autorisé à effectuer des paiements récurrents (paiements mensuels, abonnements, etc.) sans vous demander le numéro CVV, mais pas les transactions uniques. Dans l'entreprise pour laquelle je travaillais à l'époque, aucune transaction approuvée par la banque / le fournisseur de paiement ne serait approuvée sans le numéro CVV correct à chaque transaction.
iHaveacomputer
2

Il n'y a aucune raison légitime pour laquelle l'auberge devrait demander cela. Ce qui se passe ici, c'est que charger la carte de crédit sans code CVC engendrera plus de coûts pour l'auberge. Ces coûts pourraient être inférieurs si l’auberge a un bon bilan. Vraisemblablement, l’auberge n’a pas encore prouvé que la façon dont ils gèrent leurs affaires est suffisamment sûre pour que la compagnie émettrice de cartes de crédit avec laquelle ils font affaire abaisse le coût des transactions sans carte sans code CVC.

Count Iblis
la source