El albergue quiere el código de seguridad de mi tarjeta de crédito por correo electrónico, ¿es legítimo?

¿Por qué un albergue que reservo a través de HostelWorld querría el código de seguridad de mi tarjeta de crédito (en el reverso)?

¿Van a usar esto para cobrar su propio depósito y, básicamente, perder el tiempo con las reservas en lugar de dejar que HostelWorld lo gestione?

Dicen que la reserva no se guardará a menos que brindes esta información, eso es bastante malo para que un albergue use un sitio web como HostelWorld y simplemente 'falte el respeto' a cualquier reserva realizada a través de él.

Deberá enviar a nuestro correo electrónico el código de seguridad (CVV/CVC) de la tarjeta que utilizó al hacer la reserva para asegurar completamente su reserva; de lo contrario, podría perder su reserva.

Definitivamente lo mencionaría con Hostelworld, ya que su sitio web dice que al reservar a través de ellos Your booking 100% confirmed, un albergue no debería requerir un número de tarjeta separado para mantener la reserva que ya se hizo a través de Hostelworld (y presumiblemente pagó un depósito por las reservas ).
Actualiza a @Johnny. Lo mencioné y HostelWorld simplemente dijo: 'sí, dicen que hacen eso, así que pueden hacerlo'. wtf ... Entonces, esencialmente, si un albergue dice esa línea, pueden negar por completo cualquier depósito que haya depositado o cualquier beneficio de reservar a través de HostelWorld...
NUNCA ENVÍE INFORMACIÓN DE TARJETA DE CRÉDITO POR CORREO ELECTRÓNICO. Enviar correos electrónicos es como enviar una tarjeta postal. No hay nada que impida que alguien lo lea de camino a su destino.
Eso podría ser un correo electrónico de phishing. Usé mi tarjeta de crédito con hostelworld antes y desde entonces hubo pedidos de fraude. Mi banco me avisó, cancelé la tarjeta por fraude. ¡Cuidado con los albergues!

Respuestas (3)

Tuve este mismo problema con un albergue en el Reino Unido. Presioné al albergue para obtener una explicación y también encontré un hilo en el foro de gerentes de albergues que discutían esta política. Ambos dieron la misma explicación.

Desde su punto de vista, era para que pudieran sacar el dinero de mi cuenta si no me presentaba . Dijeron que lo hacen solo en períodos ocupados cuando saben que estarán llenos, por lo que no pierden dinero rechazando clientes solo para descubrir que los clientes reservados no se presentan.

¡Pero no lo hagas!

Incluso si confía en que este albergue no lo estafará deliberadamente, está poniendo toda la información de la tarjeta de crédito que alguien necesitaría para cometer un fraude con tarjeta de crédito, sin garantía, sin cifrar, almacenada (si tiene suerte) en una computadora portátil vieja y destrozada sentada en una recepción, o (si tiene mala suerte) en una pila de hojas impresas dejadas tiradas sin supervisión mientras el único miembro del personal de ese turno soluciona alguna emergencia. Sería sorprendentemente fácil para un delincuente, o incluso para un oportunista al azar, como un empleado de un albergue descontento, un reparador de computadoras local o un huésped, obtener suficiente información para clonar su tarjeta o asaltar su cuenta.

Me negué y, en cambio, acepté pagar una parte (60% si no recuerdo mal) de la factura por adelantado a través de PayPal . Esto resolvió de manera segura su preocupación por no presentarse y, aunque no era lo ideal, aseguró el alojamiento que quería cuando todos los demás lugares estaban llenos. No es muy raro que los lugares concurridos insistan en el pago por adelantado; mi único descontento con esto fue que parece deshonesto que esto no haya sido evidente en el momento en que hice la reserva, y que no respetaron el depósito que hice. ya pagado.

HostelWorld proporciona algunos detalles de la tarjeta como el número de la tarjeta, el nombre, etc. al albergue, pero (por una buena razón) no son suficientes para que el albergue simplemente realice un débito utilizando una máquina de tarjetas estándar.

Un problema común y costoso para los propietarios de albergues es que las personas reservan en períodos de mucho trabajo y luego no se presentan, dejando habitaciones y camas vacías que podrían estar llenas. Además (aparentemente) el depósito que pagas a HostelWorld se queda en HostelWorld como su tarifa, por lo que en caso de no presentarse, el albergue no recibe nada, ni siquiera un depósito (solo tengo la palabra de un albergue al respecto).

Esta es una solución tosca, de baja tecnología, posiblemente ilegal y ciertamente no compatible con PCI.

Aquí hay un hilo en un foro de gerentes de albergues donde lo discuten junto con otras formas de lidiar con las ausencias de HostelWorld y hostelbookers . Alguien lo señala con razón:

puede violar sus T&C con su proveedor de tarjeta, además de no cumplir con PCI!

...pero parece ser moderadamente popular, no obstante...

Es poco probable que el albergue en sí engañe a las personas (pero es posible), ya que los albergues viven y mueren en función de su reputación (excepto las trampas para turistas bien ubicadas donde todas las apuestas están canceladas, incluido "me despertaré con todo mi equipaje y ambos riñones"), pero aún así, recomiendo encarecidamente no cumplir porque:

  1. La información completa de su tarjeta de crédito permanecerá sin cifrar en un sistema informático que no está configurado para almacenar de forma segura la información de la tarjeta de crédito . Incluso podrían estar en una pila de correos electrónicos impresos sobre una mesa, por lo que sabes. Para que una tienda en línea acepte y almacene detalles de tarjetas de crédito, debe pasar controles estrictos en la seguridad de su servidor (cumplimiento de PCI) o enfrentar una fuerte multa. El texto sin formato en un correo electrónico definitivamente fallaría en esos controles.
  2. Incluso si confía en el albergue, no sabe que puede confiar en todos los que usan la computadora del albergue . El propietario del albergue puede ser legítimo (aunque ignorante/imprudente con las tarjetas de crédito de sus huéspedes), pero solo necesitaría una recepcionista descontenta mal pagada, o un reparador de computadoras local dudoso, o un huésped que convenza a la recepcionista de que "urgentemente" debe use la computadora del albergue durante 5 minutos, o un huésped o vecino experto en tecnología (el correo electrónico no es seguro)...

Dado que la motivación suele ser que el albergue se proteja de las ausencias, debería poder negociar un compromiso en el que pague parte de la tarifa por adelantado.

Si no lo hacen, quédese en otro lugar : o tienen razones más siniestras, o no son lo suficientemente alfabetizados en tecnología para recibir dinero a través de PayPal (¡por lo tanto , definitivamente no se puede confiar para mantener seguros los datos de su tarjeta!).

Aquí hay algunos extractos de mi intercambio de correo electrónico para darle un ejemplo:

A ellos:

¡Gracias por reservar con nosotros!

Durante los períodos de mayor actividad, preautorizamos las tarjetas de crédito para cubrir la tarifa de reserva en caso de que no llegue. Me temo que no pudimos completar la preautorización. Para hacer esto, necesitamos su número de CVC que, lamentablemente, no se proporcionó cuando realizó la reserva.

Para que podamos garantizar su reserva, contáctenos de inmediato.

Yo: (parafraseando) diablos, no, nunca me habían preguntado esto antes, no voy a poner los detalles de mi tarjeta en un correo electrónico, y ya tienes mi depósito. Juega bien o reclamaré un reembolso del depósito, reservará en otro lugar y te denunciaré a HostelWorld por intento de fraude con tarjeta de crédito. (pero redactado más cortésmente)

A ellos:

No recibimos depósito. Ya se han pagado £8,64 y es una tarifa de Hostelworld.com. En nuestros Términos y condiciones se establece que hacemos preautorización y para hacerlo, necesitamos el número CVC.

Hay opción de pago por adelantado por paypal en lugar de pre - autorización.

Enterrado en sus términos y condiciones:

Política de Autorización Previa

La preautorización no es un cargo y no se han debitado fondos de su cuenta.

¿Por qué se preautoriza la tarjeta de crédito? Cuando nos das una tarjeta de crédito/débito, la preautorización nos garantiza que los fondos están disponibles para pagar cualquier cargo incurrido.

¿Cuánto cuesta una preautorización? La cantidad que preautorizamos dependerá del valor de su reserva y del canal de reserva que utilizó para reservar su reserva

¿Cuándo se preautoriza la tarjeta? Todas las tarjetas de crédito o débito se preautorizan dentro de las 24/48 horas posteriores a la realización de la reserva... HSBC Merchant Services es responsable del mantenimiento y la gestión del proceso de preautorización.

No quería que los detalles de mi tarjeta permanecieran sin protección en sus correos electrónicos, etc., y en este punto, todos los demás lugares estaban reservados, así que pagué por adelantado con PayPal, lo que funcionó bien sin problemas.

HostelWorld cobra un depósito del 15%. Este depósito del 15 % va a HostelWorld, pero ¿qué pasa cuando llego al albergue, no voy a pagar el 100 % y nunca volveré a ver ese depósito? (No es una tarifa, ¿verdad?) ¡Muchas gracias @user568458 por sus comentarios! No hay forma de que obtengan dinero de mí hasta que llegue, si eso significa que no pueden garantizar mi reserva, entonces reservaré en otro lugar.
En el lugar donde me hospedé, había una extraña política de compromiso, algo así como: pagué el 15 % a HW, el 60 % por adelantado a través de PayPal, luego el 25 % restante cuando llegué... Extravagante, pero mejor que arriesgarse a un fraude con la tarjeta o no tener hogar !
Pero no tan bueno si quisieras cambiar de plan... :s Lo cual es un movimiento desagradable seguro, pero no debería costarte el 75% de la reserva.
@user568458 +1 por ignorancia del albergue. Trabajé en un albergue y se almacenaron cientos (si no miles) de detalles de tarjetas de crédito, sin cifrar en la computadora portátil del albergue muy poco confiable. Simplemente no tienen idea de lo que están haciendo.
Los hoteles regulares bloquean los depósitos sin el código CVC. ¿Por qué los albergues serían diferentes?
¿Ellas hacen? Nunca he tenido un hotel que me pida un código CVV. Ciertamente no por correo electrónico.

Dar su código de seguridad a través de una conexión no segura es una muy mala idea. Al hacer esto, esencialmente convierte su cuenta bancaria en una cuenta de autoservicio.

Almacenar el código CVV en cualquier forma va en contra de los requisitos de PCI DSS (estándar de seguridad de datos de la industria de tarjetas de pago), y al enviarlo por correo electrónico se almacenará en la computadora de alguien que podría no ser segura, tiene un registrador de claves instalado, tiene algunos sin parchear. errores en el sistema operativo explotados por malware o se comparte entre varias personas. Si se trata de un albergue, a menudo tienen otros mochileros que se encargan de la recepción a tiempo parcial, que se levantan y se van después de unas semanas. ¿Cómo sabes que no se llevan una copia de los datos de la tarjeta?

El CVV es su prueba de que está en posesión de la tarjeta, porque ningún comerciante en línea puede almacenar el CVV de ninguna forma. Es por eso que todos los comerciantes en línea que hacen esto correctamente le pedirán su número de CVV cuando realice otra transacción con ellos, incluso si hizo clic en "almacenar mis detalles de pago" antes.

Sin el código de seguridad, todas las listas de números de tarjetas de crédito filtradas en Internet son inútiles, porque cada vez que desee realizar una transacción, se le solicitará el CVV (excepto para pagos recurrentes).

TL; DR: busque otro albergue, de lo contrario, solo está dando acceso completo a su cuenta bancaria.

Si, lo hice. HostelWorld seguía diciendo 'no, tienen razón, pueden hacer esto'. luego continúa con 'sí, tu reserva está garantizada'. tan esencialmente contradiciéndose a sí mismos. Era un buen hostal, pero no lo suficientemente bueno como para destruirme por eso. ¡Qué estúpida "política" respaldada por HostelWorld también! Qué..
Muchas tiendas te permiten hacer pedidos sin pedir el código CVV repetidamente, incluido Amazon.
@JonathanReez Hay diferentes niveles de cumplimiento. Ha pasado un tiempo desde que trabajé en esto, pero recuerdo al menos tres niveles: un nivel bajo para tiendas familiares que no almacenan ningún dato CC y solo usan PayPal / Braintree / Stripe, etc.; un nivel promedio para empresas medianas cuyos servidores almacenan todo excepto CVV (¿creo que esto requiere auditorías anuales?), luego un nivel súper alto para almacenar CVV, etc. para pagos instantáneos, donde los estándares de seguridad son tan estrictos que necesita un equipo de tiempo completo para mantenerse al día con él. ¡X random hostel no tiene un equipo profesional de seguridad de datos a nivel de Amazon!
@JonathanReez Por lo que sé, un comerciante puede realizar pagos recurrentes (como pagos mensuales, suscripciones, etc.) sin pedirle el número de CVV, pero no para transacciones únicas. En la empresa para la que trabajaba en ese momento, el banco/proveedor de pago no aprobaba ninguna transacción sin tener el número CVV correcto con cada transacción.

No hay ninguna razón legítima por la que el albergue deba preguntar esto. Lo que está pasando aquí es que cargar la tarjeta de crédito sin el código CVC generará más costos para el albergue. Estos costos podrían ser menores si el albergue tiene un buen historial. Presumiblemente, el albergue aún tiene que demostrar que la forma en que realizan sus negocios es lo suficientemente segura como para que la compañía de tarjetas de crédito con la que tratan reduzca los costos de las transacciones sin tarjeta presente sin el código CVC.

El albergue quiere el código de seguridad de mi tarjeta de crédito por correo electrónico, ¿es legítimo?
RespuestasAquíPolítica de privacidad1y, 2v