21 votos

El albergue quiere el código de seguridad de mi tarjeta de crédito por correo electrónico, ¿es esto legítimo?

¿Por qué un albergue que reservo a través de HostelWorld quiere el código de seguridad de mi tarjeta de crédito (en el reverso)?

¿Van a utilizarlo para cobrar su propia fianza y, esencialmente, para enredar con las reservas en lugar de dejar que HostelWorld lo gestione?

Dicen que la reserva no se guardará a menos que des esta información, eso es bastante pobre para un albergue que utiliza un sitio web como HostelWorld y simplemente "falta de respeto" a cualquier reserva hecha a través de él.

Deberá enviar en nuestro correo electrónico el código de seguridad (CVV/CVC) de la tarjeta que utilizó al hacer la reserva para que ésta quede totalmente asegurada, si no lo hace puede perder su reserva.

23voto

Justin Myles Holmes Puntos 116

Tuve este mismo problema con un albergue en el Reino Unido. Pedí una explicación al hostal y también encontré un hilo en un foro de gerentes de hostales que discutían esta política. Ambos dieron la misma explicación.

Desde su punto de vista, era para que pudieran sacar el dinero de mi cuenta si no me presentaba . Dijeron que sólo lo hacían en los periodos de mayor afluencia, cuando sabían que estarían llenos, para no perder dinero rechazando a los clientes y descubriendo que los que habían reservado no aparecían.

¡Pero no lo hagas!

Incluso si confías en que este albergue no te va a estafar deliberadamente, estás poniendo toda la información de la tarjeta de crédito que alguien necesitaría para cometer un fraude con tarjeta de crédito, sin seguridad, sin encriptar, almacenada en (si tienes suerte) un viejo y destartalado ordenador portátil que está en la recepción, o (si tienes mala suerte) en un montón de impresiones de papel que se dejan por ahí sin atender mientras el único empleado de ese turno soluciona alguna emergencia. Para un delincuente, o incluso para un oportunista cualquiera, como un empleado descontento del albergue, un reparador de ordenadores local o un huésped, sería sorprendentemente fácil obtener suficiente información para clonar tu tarjeta o asaltar tu cuenta.

Me negué - y en cambio, aceptó pagar parte (60% si no recuerdo mal) de la factura por adelantado a través de PayPal . Esto resolvió con seguridad su preocupación por no presentarse y, aunque no es lo ideal, me aseguró el alojamiento que quería cuando todos los demás estaban llenos. No es raro que los lugares más concurridos insistan en el pago por adelantado; mi único descontento con esto fue que parece deshonesto que esto no haya sido evidente en el momento en que hice la reserva, y que no hayan respetado el depósito que ya había pagado.


HostelWorld da algunos datos de la tarjeta, como el número de la tarjeta, el nombre, etc. al albergue, pero (por una buena razón) no es suficiente para que el albergue simplemente tome un débito usando una máquina de tarjetas estándar.

Un problema común y costoso para los propietarios de los albergues es que la gente reserva en períodos de gran afluencia y luego no se presenta, dejando vacías habitaciones y camas que podrían estar llenas. Además (aparentemente) la fianza que pagas a HostelWorld se queda en HostelWorld como tarifa, por lo que en caso de no presentarse, el propio albergue no recibe nada, ni siquiera la fianza (solo tengo la palabra de un albergue sobre esto).

Esta es una solución burda, de baja tecnología, posiblemente ilegal y ciertamente no compatible con la PCI.

Aquí está un hilo en un foro de gestores de albergues en el que se habla de ello junto con otras formas de tratar los no-shows de HostelWorld y hostelbookers . Alguien lo señala con razón:

puede incumplir los T&C's con su proveedor de tarjetas, además de no ser PCI.

...pero parece ser moderadamente popular...

Es poco probable que el albergue sí mismo estafaría a la gente (pero es posible), ya que los albergues viven y mueren por su reputación (excepto las trampas para turistas bien situadas, donde todas las apuestas están fuera, incluyendo "me despertaré con todo mi equipaje y mis dos riñones"), pero aún así, recomendaría encarecidamente no cumplir porque:

  1. La información completa de su tarjeta de crédito estará sin encriptar en un sistema informático que no está configurado para almacenar de forma segura la información de las tarjetas de crédito . Puede que incluso estén en una pila de correos electrónicos impresos sobre una mesa, por lo que usted sabe. Para que una tienda online acepte y almacene los datos de las tarjetas de crédito, tiene que superar duros controles de seguridad de sus servidores (cumplimiento de la normativa PCI) o enfrentarse a una fuerte multa. Un texto plano en un correo electrónico no pasaría esos controles.
  2. Aunque confíes en el albergue, no sabes si puedes confiar en todos los que utilizan el ordenador del albergue . El propietario del hostal puede ser legítimo (aunque ignorante/imprudente con las tarjetas de crédito de sus huéspedes), pero sólo haría falta un recepcionista descontento y mal pagado, o un reparador de ordenadores local poco fiable, o un huésped que convenza al recepcionista de que debe utilizar "urgentemente" el ordenador del hostal durante 5 minutos, o un huésped o vecino con conocimientos de tecnología (el correo electrónico no es seguro)...

Dado que la motivación suele ser que el albergue se proteja de los que no se presentan, deberías poder negociar un compromiso en el que se pague parte de la tarifa por adelantado.

Si no lo hacen, quedarse en otro lugar O bien tienen razones más siniestras, o bien no están lo suficientemente familiarizados con la tecnología como para recibir dinero por PayPal (por lo tanto definitivamente no se puede confiar en la seguridad de los datos de su tarjeta).


He aquí algunos extractos de mi intercambio de correos electrónicos para darles un ejemplo:

A ellos:

¡Gracias por reservar con nosotros!

Durante los periodos de gran afluencia, autorizamos previamente las tarjetas de crédito para cubrir de su reserva en caso de que no llegue, me temo que no podemos completar la preautorización. Para ello necesitamos su número CVC que, lamentablemente, no fue proporcionado cuando hizo la reserva.

Para que podamos garantizar su reserva, póngase en contacto con nosotros inmediatamente

Yo: (parafraseando) diablos no, nunca me han preguntado esto antes, no voy a poner los datos de mi tarjeta en un correo electrónico, y ya tienes mi depósito. Juega bien o reclamaré la devolución del depósito, reservaré en otro sitio y te denunciaré a HostelWorld por intento de fraude con tarjeta de crédito. (pero redactado más amablemente)

A ellos:

No recibimos depósito . Ya se han pagado 8,64 libras y es una Hostelworld.com. En nuestros términos y condiciones se indica que que hacemos una preautorización y que para ello necesitamos el número CVC.

Hay opción de pagar por adelantado por paypal en lugar de pre - autorización.

En sus términos y condiciones:

Política de autorización previa

La preautorización no es un cargo y no se han cargado fondos de su cuenta.

¿Por qué está preautorizada la tarjeta de crédito? Cuando usted nos da una tarjeta de crédito/débito, la preautorización nos garantiza que los fondos están disponibles para pagar cualquier gasto que se produzca.

¿Cuánto cuesta una preautorización? El importe que preautorizamos dependerá del valor de su reserva y del canal de reserva que haya utilizado utilizado para hacer la reserva

¿Cuándo se preautoriza la tarjeta? Todas las tarjetas de crédito o débito se preautorizan en las 24/48 horas siguientes a la realización de la reserva... HSBC Merchant Services es responsable del mantenimiento y la gestión del proceso de preautorización.

No quería que los datos de mi tarjeta quedaran sin garantía en sus correos electrónicos, etc., y en ese momento todos los demás lugares estaban reservados, así que pagué por adelantado con PayPal, lo que funcionó sin problemas.

8voto

Mark Biek Puntos 442

Dar tu código de seguridad a través de una conexión no segura es una muy mala idea. Al hacerlo, básicamente conviertes tu cuenta bancaria en una cuenta de autoservicio.

Almacenar el código CVV de cualquier forma va en contra de la Requisitos de PCI DSS (Payment Card Industry Data Security Standard), y al enviarlo por correo electrónico se almacenará en el ordenador de alguien que puede no ser seguro, tener un registrador de claves instalado, tener algunos fallos sin parchear en el sistema operativo aprovechados por el malware o ser compartido por varias personas. Si se trata de un hostal, a menudo hay otros mochileros que se encargan de la recepción a tiempo parcial y que se marchan al cabo de unas semanas. ¿Cómo sabes que no se llevan una copia de los datos de la tarjeta?

El CVV es la prueba de que está en posesión de la tarjeta, ya que ningún distribuidor en línea está autorizado a almacenar el CVV de ninguna forma. Por eso, todos los comerciantes online que tengan este derecho te pedirán el número CVV cuando hagas otra transacción con ellos, aunque antes hayas hecho clic en "almacenar mis datos de pago".

Sin el código de seguridad, todas las listas de números de tarjetas de crédito filtradas en Internet son inútiles, ya que cada vez que quiera realizar una transacción se le pedirá el CVV (excepto para los pagos recurrentes).

TL;DR: busca otro albergue, de lo contrario sólo estás dando acceso total a tu cuenta bancaria.

2voto

epascarello Puntos 71353

No hay ninguna razón legítima para que el albergue lo pida. Lo que ocurre aquí es que cargar la tarjeta de crédito sin código CVC supondrá más costes para el albergue. Estos costes podrían ser menores si el albergue tiene un buen historial. Es de suponer que el albergue todavía tiene que demostrar que la forma en que lleva a cabo su actividad es lo suficientemente segura como para que la compañía de tarjetas de crédito con la que trata reduzca los costes de las transacciones con tarjeta no presente sin código CVC.

1voto

insomnia Puntos 80

Puede ser inusual, pero en realidad, eso es exactamente lo que es el código CVV/CVC para . Se diseñó para permitir a las empresas tomar pedidos en línea o por teléfono, donde no pueden verle y demostrar que usted, de hecho, tiene en su poder la tarjeta en cuestión. Tenga en cuenta que el código CVV no garantiza que usted sea el propietario de la tarjeta o que esté autorizado a utilizarla, sino que está diseñado para demostrar que tiene la tarjeta en su poder.

Citaré aquí una parte de una descripción en línea del código CVV...

El CVV es un nuevo procedimiento de autenticación establecido por las empresas de tarjetas de crédito para seguir reduciendo el fraude en las transacciones por Internet. Consiste en exigir al titular de la tarjeta que introduzca el número CVV en el momento de la transacción para verificar que la tarjeta está a mano. El código CVV es un elemento de seguridad para las transacciones con "tarjeta no presente" (por ejemplo, transacciones por Internet), y ahora aparece en la mayoría de las principales tarjetas de crédito y débito (aunque no en todas). Esta nueva característica es un código de tres o cuatro dígitos que proporciona una comprobación criptográfica de la información grabada en la tarjeta. Por lo tanto, el código CVV no forma parte del número de la tarjeta en sí.

(énfasis mío)

La descripción continúa diciendo:

El código CVV ayuda a comprobar que el cliente que realiza el pedido posee realmente la tarjeta de crédito/débito y que la cuenta de la tarjeta es legítima. Cada compañía de tarjetas de crédito tiene su propio nombre para el código CVV, pero funciona igual para los principales tipos de tarjetas. (VISA se refiere al código como CVV2, MasterCard lo llama CVC2 y American Express lo llama CID).

Así que, como ves, el albergue simplemente intenta asegurarse de que tienes la tarjeta real a mano, y no has adquirido simplemente un número de tarjeta.

En cuanto a darlo, dar el código CVV no hace que sea más o menos probable que tu cuenta sea "robada" o utilizada ilegalmente por la otra parte. Tal y como están las cosas, nunca he oído hablar de una compañía de crédito de renombre que no ofrezca protección a sus clientes. Si das tu número de tarjeta por Internet, o por teléfono, o lo que sea, y se hace un mal uso de ella, simplemente informa a la compañía lo antes posible. Ellos cerrarán la cuenta, detendrán todas las transacciones, abrirán otra cuenta para ti, y no deberás ser responsable de las transacciones que les hayas dicho que no hiciste, o que autorizaste que se hicieran.

ViajeroSabio.com

ViajeroSabio es una comunidad de viajeros en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros viajeros, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X