Hostel möchte meinen Kreditkarten-Sicherheitscode per E-Mail, ist das legitim?

Warum möchte ein Hostel, das ich über HostelWorld buche, den Sicherheitscode meiner Kreditkarte (auf der Rückseite)?

Werden sie diese verwenden, um ihre eigene Einzahlung zu belasten und im Wesentlichen mit Buchungen herumzuspielen, anstatt HostelWorld die Verwaltung zu überlassen?

Sie sagen, dass die Reservierung nicht gespeichert wird, wenn Sie diese Informationen nicht angeben. Das ist ziemlich schlecht für ein Hostel, das eine Website wie HostelWorld nutzt und einfach jede über diese Website getätigte Buchung "missachtet".

Sie müssen den Sicherheitscode (CVV / CVC) der Karte, die Sie bei der Buchung verwendet haben, per E-Mail senden, um Ihre Buchung vollständig abzusichern. Andernfalls können Sie Ihre Reservierung verlieren.

Ich hatte das gleiche Problem mit einem Hostel in Großbritannien. Ich drückte auf das Hostel, um eine Erklärung zu erhalten, und fand auch einen Forum-Thread mit Hostel-Managern, die diese Richtlinie diskutierten. Beide gaben die gleiche Erklärung.

Aus ihrer Sicht war es so, dass sie das Geld von meinem Konto abheben konnten, wenn ich nicht auftauchte . Sie sagten, dass sie es nur in geschäftigen Zeiten tun, wenn sie wissen, dass sie voll sind, damit sie kein Geld verlieren und Kunden nur abweisen, wenn sie feststellen, dass die gebuchten Kunden nicht auftauchen.

Aber tu es nicht!

Selbst wenn Sie darauf vertrauen, dass dieses Hostel Sie nicht absichtlich verarscht, geben Sie alle Kreditkarteninformationen ein, die jemand zum Begehen von Kreditkartenbetrug benötigt, ungesichert, unverschlüsselt, auf einem (wenn Sie Glück haben) kaputten alten Laptop gespeichert einen Empfang oder (wenn Sie Pech haben) einen Stapel Papierausdrucke, die unbeaufsichtigt herumliegen, während der einzige Schichtarbeiter einen Notfall behebt. Es wäre für einen Kriminellen oder auch nur einen zufälligen Opportunisten wie einen verärgerten Hostelmitarbeiter, einen lokalen Computerreparaturmann oder einen Gast schockierend einfach, genügend Informationen zu erhalten, um Ihre Karte zu klonen oder Ihr Konto zu überfallen.

Ich lehnte ab - und erklärte mich stattdessen bereit, einen Teil (60%, wenn ich mich recht erinnere) der Rechnung im Voraus über PayPal zu bezahlen . Dies löste sicher ihre Nichterscheinen-Sorge auf und sicherte, obwohl nicht ideal, die Unterkunft, die ich wollte, als überall sonst voll war. Es ist nicht ungewöhnlich, dass geschäftige Orte auf Vorauszahlungen bestehen - mein einziges Unglück war, dass es unehrlich erscheint, dass dies zu dem Zeitpunkt, als ich die Buchung vorgenommen habe, nicht offensichtlich war und dass sie die Anzahlung, die ich geleistet hatte, nicht respektierten bereits bezahlt.

HostelWorld teilt dem Hostel einige Kartendetails wie Kartennummer, Name usw. mit, aber (aus gutem Grund) nicht genug, damit das Hostel einfach eine Abbuchung mit einem Standardkartenautomaten vornehmen kann.

Ein häufiges, teures Problem für Hostelbesitzer ist, dass Leute, die in geschäftigen Zeiten buchen, nicht auftauchen und Zimmer und Betten leer lassen, die möglicherweise voll sind. Auch die Anzahlung, die Sie an HostelWorld zahlen, bleibt (anscheinend) bei HostelWorld als Gebühr, so dass das Hostel selbst im Falle einer Nichterscheinen nichts bekommt, nicht einmal eine Anzahlung (ich habe nur ein Hostel-Wort dazu).

Dies ist eine grobe, Low-Tech-, möglicherweise illegale und mit Sicherheit nicht PCI-konforme Problemumgehung.

Hier ist ein Thread in einem Hostel-Manager-Forum, in dem sie darüber diskutieren, wie sie mit No-Shows von HostelWorld und Hostelbookers umgehen können . Jemand weist zu Recht darauf hin:

verstoßen möglicherweise gegen die AGB Ihres Kartenanbieters und sind nicht PCI-konform!

... aber es scheint trotzdem mäßig beliebt zu sein ...

Es ist unwahrscheinlich, dass die Herberge selbst die Leute betrügt (aber möglich), da die Herbergen nach ihrem Ruf leben und sterben (mit Ausnahme gut gelegener Touristenfallen, in denen alle Wetten geschlossen sind, einschließlich "werde ich mit meinem ganzen Gepäck und beiden Nieren aufwachen"). Trotzdem würde ich wärmstens empfehlen, nicht zu befolgen, weil:

1. Ihre vollständigen Kreditkarteninformationen werden unverschlüsselt auf einem Computersystem gespeichert, das nicht zum sicheren Speichern von Kreditkarteninformationen eingerichtet ist . Sie könnten sich sogar auf einem Stapel gedruckter E-Mails befinden, die auf einem Tisch liegen, soviel Sie wissen. Damit ein Online-Shop Kreditkartendaten akzeptieren und speichern kann, muss er die Serversicherheit (PCI-Konformität) einer strengen Überprüfung unterziehen oder eine hohe Geldstrafe verhängen. Klartext in einer E-Mail würde diese Prüfungen definitiv nicht bestehen.
2. Selbst wenn Sie dem Hostel vertrauen, wissen Sie nicht, dass Sie jedem vertrauen können, der den Hostelcomputer verwendet . Der Hostelbesitzer ist zwar legitim (wenn auch unwissend / rücksichtslos gegenüber den Kreditkarten seiner Gäste), aber es ist nur eine verärgerte, unterbezahlte Rezeptionistin oder eine zwielichtige lokale Computerreparaturperson oder ein Gast erforderlich, der die Rezeptionistin davon überzeugt, dass sie "dringend" muss Benutze den Computer des Hostels für 5 Minuten oder einen technisch versierten Gast oder Nachbarn (E-Mail ist nicht sicher) ...

Da es in der Regel darum geht, dass sich das Hostel vor Nichterscheinen schützt, sollten Sie in der Lage sein, einen Kompromiss auszuhandeln, bei dem Sie einen Teil der Gebühr im Voraus zahlen.

Wenn dies nicht der Fall ist , bleiben Sie woanders : Entweder haben sie schlimmere Gründe oder sie sind nicht technisch versiert genug, um Geld per PayPal zu erhalten (daher können Sie auf keinen Fall darauf vertrauen, dass Ihre Kartendaten sicher sind!).

Hier sind einige Auszüge aus meinem E-Mail-Austausch, um Ihnen ein Beispiel zu geben:

Sie:

Vielen Dank für Ihre Buchung bei uns!

In Stoßzeiten werden Kreditkarten vorautorisiert, um Ihre Buchungsgebühr zu decken, falls Sie nicht anreisen. Ich befürchte, dass die Vorautorisierung nicht abgeschlossen werden konnte. Dazu benötigen wir Ihre CVC-Nummer, die Sie bei der Buchung leider nicht angegeben haben.

Damit wir Ihre Reservierung garantieren können, setzen Sie sich bitte umgehend mit uns in Verbindung

Ich: (paraphrasierend) Nein, das wurde ich noch nie gefragt, ich schreibe meine Kartendaten nicht in eine E-Mail und du hast bereits meine Einzahlung erhalten. Spielen Sie gut, oder ich fordere eine Rückerstattung der Anzahlung an, buche woanders und melde Sie bei HostelWorld wegen versuchten Kreditkartenbetrugs. (aber höflicher formuliert)

Sie:

Wir erhalten keine Anzahlung. Es wurden bereits £ 8.64 bezahlt und es ist eine Hostelworld.com-Gebühr. In unseren Allgemeinen Geschäftsbedingungen wird angegeben, dass wir eine Vorautorisierung durchführen und dafür eine CVC-Nummer benötigen.

Es besteht die Möglichkeit, anstelle der Vorautorisierung per Vorkasse per Paypal zu bezahlen.

Begraben in ihren Geschäftsbedingungen:

Vorautorisierungsrichtlinie

Die Vorautorisierung ist keine Gebühr und es wurde kein Guthaben von Ihrem Konto abgebucht.

Warum ist die Kreditkarte vorautorisiert? Wenn Sie uns eine Kredit- / Debitkarte geben, garantiert uns die Vorautorisierung, dass die Mittel zur Begleichung der anfallenden Kosten zur Verfügung stehen.

Was kostet eine Vorautorisierung? Der Betrag, den wir vorautorisieren, hängt vom Wert Ihrer Buchung und dem Buchungskanal ab, den Sie zur Buchung Ihrer Buchung verwendet haben

Wann ist die Karte vorautorisiert? Alle Kredit- oder Debitkarten werden innerhalb von 24/48 Stunden nach Ihrer Buchung vorautorisiert. HSBC Merchant Services ist für die Wartung und Verwaltung des Vorautorisierungsprozesses verantwortlich.

Ich wollte nicht, dass meine Kartendaten ungesichert in ihren E-Mails usw. stehen, und zu diesem Zeitpunkt war alles andere ausgebucht, sodass ich stattdessen im Voraus mit PayPal bezahlte, was ohne Probleme funktionierte.

Das Ausgeben Ihres Sicherheitscodes über eine nicht sichere Verbindung ist eine sehr schlechte Idee. Auf diese Weise verwandeln Sie Ihr Bankkonto im Wesentlichen in ein Selbstbedienungskonto.

Das Speichern des CVV-Codes in irgendeiner Form verstößt gegen die PCI-DSS-Anforderungen (Payment Card Industry Data Security Standard). Wenn Sie ihn per E-Mail senden, wird er auf einem Computer gespeichert, der möglicherweise nicht sicher ist, auf dem ein Schlüsselprotokollierer installiert ist und auf dem einige nicht gepatcht sind Fehler im Betriebssystem, die von Malware ausgenutzt werden oder von mehreren Personen gemeinsam genutzt werden. Wenn es ein Hostel ist, haben sie oft andere Rucksacktouristen, die die Rezeption in Teilzeit abwickeln und nach ein paar Wochen aufstehen. Woher wissen Sie, dass sie keine Kopie der Kartendetails mitnehmen?

Das CVV ist Ihr Beweis dafür, dass Sie im Besitz der Karte sind, da kein Online-Händler das CVV in irgendeiner Form speichern darf. Aus diesem Grund werden Sie von allen Online-Händlern, die diese Berechtigung haben, nach Ihrer CVV-Nummer gefragt, wenn Sie eine weitere Transaktion mit ihnen durchführen, auch wenn Sie zuvor auf "Meine Zahlungsdetails speichern" geklickt haben.

Ohne den Sicherheitscode sind alle durchsickernden Kreditkartennummernlisten im Internet unbrauchbar, da Sie bei jeder Transaktion nach dem CVV gefragt werden (außer bei wiederkehrenden Zahlungen).

TL; DR: Finde ein anderes Hostel, sonst gibst du nur vollen Zugriff auf dein Bankkonto.

Es gibt keinen legitimen Grund, warum das Hostel dies verlangen sollte. Was hier vor sich geht, ist, dass das Aufladen der Kreditkarte ohne CVC-Code mehr Kosten für das Hostel verursacht. Diese Kosten könnten niedriger sein, wenn das Hostel eine gute Bilanz hat. Vermutlich muss die Jugendherberge noch nachweisen, dass die Art und Weise, wie sie ihre Geschäfte abwickeln, für das Kreditkartenunternehmen, mit dem sie zu tun haben, sicher genug ist, um die Kosten für Transaktionen ohne CVC-Code zu senken.