Desde este post en Facebook En la actualidad, Agoda (y su sitio hermano Booking.com) guardó los datos de su tarjeta de crédito y los compartió con el hotel que había elegido.
Mi amiga también compartió la misma experiencia cuando se alojó en Myanmar, cuando quiso prolongar la estancia, el personal del hotel sacó el papel con toda la información de su tarjeta de crédito para cargarle el coste adicional.
¿Es esta práctica habitual en los servicios de reserva?
Segunda pregunta (¿debería trasladarse esta pregunta a la Ley SE?). Desde lo que leí en Information Security SE En el caso de los servicios de seguridad, estos no pueden guardar esta información (más adelante enlazaré con IS SE). ¿Podemos hacer algo para evitar esta práctica?
1 votos
Es un poco chocante que hagan esto. También que la foto proporcionada acaba de propagar el problema a menos que la tarjeta fue cancelada.
0 votos
@Itai el propio titular de la tarjeta compartió la información, creo que la tenía cancelada
2 votos
Por cierto, las empresas de tarjetas de crédito sólo exigen el uso de un código CVC cuando la tarjeta no está presente, es decir, para las transacciones en línea o por teléfono. En esos casos, también exigen que no se almacene el código CVC después de la transacción se ha realizado.
0 votos
Por lo que he leído en Information Security SE, tampoco se les permite guardar el número completo de la tarjeta de crédito, como máximo pueden guardar 6 primeros y 4 últimos números.
0 votos
@Itai los comerciantes no tienen utilizar el código CVC en absoluto - Amazon no lo hace. Aceptan el riesgo adicional de no hacerlo, pero no se equivoquen, no hay requisito por parte de las compañías de tarjetas para utilizarlo, sino que es un requisito para usarlo si usted, como comerciante, quiere trasladar la responsabilidad a otra parte.
0 votos
@Danh Depende del nivel de PCIDSS al que quieras adherirte - hay niveles en los que puedes almacenar todos los datos de la tarjeta.
1 votos
@Moo si almacena todos los datos de la tarjeta, PCI DSS también enumera condiciones sobre cómo debe almacenarlos y distribuirlos. Tener hojas de papel con todos los datos en texto plano no es un almacenamiento seguro. Si el comerciante tiene una impresión como esta (o incluso la capacidad de hacer una impresión como esta) es una indicación de que está violando los requisitos de PCI DSS.
0 votos
@Peteris sí, estoy de acuerdo, pero el comentario al que estaba respondiendo decía que el almacenamiento del número entero no está permitido, y este no es realmente el lugar para entrar en una inmersión completa en las complejidades de PCIDSS, sólo la disipación de algunos mitos
0 votos
Tengo que admitir que no he leído esa norma, la leeré esta noche. De todos modos, en este caso, ¿qué parte se equivocó? ¿Agoda o el hotel?
0 votos
Por si sirve de algo, he tenido servicios de reserva que han dado los datos de mi tarjeta de crédito tanto a las aerolíneas como a los hoteles para cobrar. (A veces hay dos cargos, uno por parte de la aerolínea/hotel, y otro más pequeño por la parte de la tarifa del sitio de reservas). No todos lo hacen, pero si utilizas suficientes sitios de reserva para conseguir ofertas, te encontrarás con esta práctica. No puedo decir si es "común".