Hostel quer meu código de segurança do cartão de crédito via e-mail, isso é legítimo?

Eu tive esse mesmo problema com um albergue no Reino Unido. Eu pressionei o albergue por uma explicação e também encontrei um tópico no fórum de gerentes de albergues discutindo essa política. Ambos deram a mesma explicação.

Do ponto de vista deles, era para que eles pudessem tirar o dinheiro da minha conta se eu não aparecesse. Eles disseram que fazem isso apenas em períodos de maior movimento, quando sabem que estarão cheios, para não perder dinheiro afastando os clientes apenas para descobrir que os clientes contratados não aparecem.

Mas não faça isso!

Mesmo que você confie neste albergue para não enganá-lo deliberadamente, você está colocando todas as informações de cartão de crédito que alguém precisaria para cometer fraude de cartão de crédito, não segura, não criptografada, armazenada (se você tiver sorte) em um laptop velho e maltrapilho, sentado uma recepção ou (se você não tiver sorte) em uma pilha de impressões de papel deixadas sem vigilância, enquanto o único funcionário que troca muda de posição em caso de emergência. Seria incrivelmente fácil para um criminoso, ou até mesmo um oportunista aleatório, como um funcionário de albergue descontente, um funcionário local de reparo de computadores ou um convidado, para obter informações suficientes para clonar seu cartão ou invadir sua conta.

Eu recusei - e em vez disso, concordou em pagar parte (60%, se bem me lembro) da conta antecipadamente via PayPal. Isso resolveu com segurança a preocupação de não comparência e, embora não fosse o ideal, garantiu a acomodação que eu queria quando todo o resto estava cheio. Não é incomum que lugares ocupados insistam em pagamento antecipado - minha única tristeza com isso é que parece desonesto que isso não tenha sido aparente no momento em que fiz a reserva e que eles não respeitavam o depósito que eu já pago.

O HostelWorld fornece alguns detalhes do cartão como número do cartão, nome etc. para o albergue, mas (por um bom motivo) não é suficiente para o albergue simplesmente aceitar um débito usando uma máquina de cartão padrão.

Um problema comum e caro para os proprietários de albergues é que as pessoas fazem reservas em períodos movimentados e depois não aparecem, deixando quartos e camas vazias que podem estar cheias. Também (aparentemente) o depósito que você paga ao HostelWorld fica no HostelWorld como sua taxa; portanto, no caso de não comparência, o próprio albergue não recebe nada, nem mesmo um depósito (eu só tenho a palavra de um albergue sobre isso).

Esta é uma solução bruta, de baixa tecnologia, possivelmente ilegal e certamente não compatível com PCI.

Aqui está um tópico em um fórum de gerenciador de albergues, onde eles discutem isso junto com outras maneiras de lidar com não comparências do HostelWorld e hostelbookers. Alguém aponta com razão:

may breach your T&C's with your card provider, as well as not being PCI compliant!

... mas parece ser moderadamente popular ...

É improvável que o albergue se enganaria as pessoas (mas é possível), pois os albergues vivem e morrem de reputação (exceto armadilhas para turistas bem localizadas onde todas as apostas estão fora, incluindo "acordarei com toda a minha bagagem e os dois rins"), mas ainda assim, recomendamos vivamente que não cumpra porque:

1. As informações completas do cartão de crédito não serão criptografadas em um sistema de computador não configurado para armazenar com segurança as informações do cartão de crédito. Eles podem até estar em uma pilha de e-mails impressos sobre uma mesa, pelo que você sabe. Para que uma loja online aceite e armazene detalhes do cartão de crédito, ela precisa passar por verificações difíceis na segurança do servidor (conformidade com PCI) ou enfrentar uma multa pesada. O texto sem formatação em um email definitivamente falharia nessas verificações.
2. Mesmo se você confiar no albergue, não sabe que pode confiar em todos que usam o computador do albergue. O proprietário do albergue pode ser legítimo (embora ignorante / imprudente com os cartões de crédito de seus hóspedes), mas seria necessário apenas um recepcionista mal pago mal recebido, uma pessoa de conserto de computador local desonesta ou um hóspede que convence a recepcionista de que "deve urgentemente" use o computador do albergue por minutos do 5 ou um hóspede ou vizinho conhecedor de tecnologia (o e-mail não é seguro) ...

Como a motivação geralmente é sobre o albergue se proteger de não comparências, você deve ser capaz de negociar um compromisso no qual pagará parte da taxa.

Se não, fique em outro lugar: eles têm razões mais sinistras ou não têm conhecimentos técnicos suficientes para receber dinheiro com PayPal (portanto, definitivamente não pode ser confiável para manter os detalhes do cartão seguros!).

Aqui estão alguns trechos da minha troca de e-mail para dar um exemplo:

Eles:

Thanks for booking with us !

During busy periods we pre authorise credit cards in order to cover your booking fee should you not arrive I'm afraid were not able to complete pre authorisation. In order to do this we need your CVC number that unfortunately was not provided when you made the booking.

In order for us to guarantee your reservation please contact us immediately

Eu: (parafraseando) diabos não, nunca me perguntaram isso antes, não estou colocando os detalhes do meu cartão em um e-mail e você já recebeu meu depósito. Jogue bem ou pedirei um reembolso do depósito, reserve em outro lugar e denuncie você ao HostelWorld por tentativa de fraude no cartão de crédito. (mas redigido de forma mais educada)

Eles:

We do not receive deposit . £8.64 was paid already and it is a Hostelworld.com fee. In our Terms and Conditions is stated ,that we do pre -authorization and in order to do that,we need CVC number.

There is option to pay in advance by paypal instead of pre - authorization.

Enterrado em seus termos e condições:

Pre-Authorisation Policy

The pre-authorisation is not a charge and no funds have been debited from your account.

Why is the credit card pre-authorised? When you give us a credit/debit card, the pre-authorisation guarantees us that the funds are available to pay for any charges incurred.

How much is a pre-authorisation? The amount that we pre-authorise will depend on the value of your booking and the booking channel you used to book your reservation

When is the card pre-authorised? All credit or debit cards are pre-authorised within 24/48 hours of you making your reservation... HSBC Merchant Services are responsible for the maintenance and management of the pre-authorisation process.

Eu não queria que os detalhes do meu cartão fiquem inseguros em seus e-mails, etc., e, a essa altura, todos os outros lugares estavam reservados, então paguei antecipadamente pelo PayPal, o que funcionou bem sem problemas.

Distribuir seu código de segurança por meio de uma conexão não segura é uma péssima idéia. Ao fazer isso, você transforma sua conta bancária em uma conta de autoatendimento.

Armazenar o código CVV de qualquer forma é contra o Requisitos do PCI DSS (Padrão de segurança de dados do setor de cartões de pagamento) e, enviando-o por e-mail, ele será armazenado no computador de alguém que pode não ser seguro, possui um key logger instalado, possui alguns erros não corrigidos no sistema operacional explorados por malware ou compartilhados entre várias pessoas . Se for um albergue, muitas vezes eles têm outros mochileiros que lidam com a recepção em meio período, que ficam de pé depois de algumas semanas. Como você sabe que eles não estão levando uma cópia dos detalhes do cartão?

O CVV é sua prova de que você possui o cartão, porque nenhum revendedor on-line tem permissão para armazenar o CVV de qualquer forma. É por isso que todos os revendedores on-line que acertam o pedido solicitarão seu número CVV quando você fizer outra transação com eles, mesmo se você clicou em "armazenar meus detalhes de pagamento" antes.

Sem o código de segurança, todas as listas de números de cartão de crédito vazadas na Internet são inúteis, porque toda vez que você deseja fazer uma transação, você será solicitado ao CVV (exceto para pagamentos recorrentes).

TL; DR: encontre outro albergue, caso contrário, você estará apenas dando acesso total à sua conta bancária.

Não há motivo legítimo para o albergue perguntar isso. O que está acontecendo aqui é que cobrar no cartão de crédito sem o código CVC acarretará mais custos para o albergue. Esses custos podem ser mais baixos se o albergue tiver um bom histórico. Presumivelmente, o albergue ainda tem que provar que a maneira como conduzem seus negócios é segura o suficiente para que a empresa de cartão de crédito com que lidam reduza os custos de transações que não apresentam cartão sem o código CVC.