Правда ли, что Booking.com передаёт отелям данные банковских карт клиентов в открытом виде
Сервис утверждает, что «безопасно передаёт информацию», но при желании сотрудники отелей могут воспользоваться CVC-кодами.
23 июля на «Пикабу» обратили внимание на то, что сайт для бронирования отелей Booking.com запрашивает полные данные о банковской карте, включая CVC-код. Подобные жалобы появлялись и раньше, так как пользователи обеспокоены, что информация попадёт к неизвестным владельцам отелей.
TJ разобрался, насколько защищены банковские данные при работе с Booking.com и можно ли не делиться с отелем секретным кодом.
Booking.com не только запрашивает CVC-код, но и передаёт его отелям
Как рассказал пользователь «Пикабу», во время заселения в отель в Малайзии он увидел на ресепшене бумагу с распечатанными данными его банковской карты. По его словам, он не передавал сотрудникам эту информацию и указывал её только на сайте Booking.com.
Обычно отель запрашивает у сервиса полные реквизиты карты, чтобы списать деньги за бронирование заранее или уже после выезда клиента, а также при отмене заказа. Однако пользователь Oyshoboy заподозрил, что сотрудники отеля смогут позднее использовать данные для кражи денег с его счёта.
Используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования. Я даже не вводил пинкод! Получается, букинг сливает секретные данные карт всем, кому ни попадя, и с помощью этих данных можно проводить операции без спроса владельца карты.
В 2013 году пользователь Фейсбука Пол Энтони (Paul Antony) рассказал о схожем случае в отеле в Малайзии. С 2012 года похожие претензии поступали как от российских, так и от англоязычных клиентов. В 2013 году «Банки.ру» сообщали, что Booking.com перестал запрашивать у своих клиентов CVC-код в большинстве случаев, однако сервис по-прежнему не несёт ответственности за противозаконные действия работников отелей.
Специалист по системам бронирования в 2012 году рассказывал vc.ru, что факсы с данными клиентов высылаются отелям «из соображений безопасности», чтобы не пользоваться электронной почтой.
Дело в том, что тот же Booking.com не снимает деньги за номер с вашей банковской карты, а просто передаёт данные в отель, который сам даёт команду к транзакции денежных средств. И если вдруг с вашей карты сняли лишние деньги, то любой перевод средств можно с легкостью опротестовать, связавшись с гостиницей. Эта практика уже давно отлажена на Западе.
В Booking.com говорят, что всё безопасно. Но не объясняют, как проводят транзакции без CVC-кодов
Специалист по системам бронирования рассказал, что отели работают с букингом через закрытую систему Extranet. От системы к отелю по факсу приходит информация с данными банковской карты, но без CVC-кода и последних четырёх цифр. Эта информация передаётся через Extranet, где хранится не больше трёх дней.
При этом отели могут вовсе отказаться от получения CVC-кодов, если они не нужны им для банковских транзакций. Также сервис не требует секретных кодов от владельцев карт American Express и напоминает клиентам, что «спрашивая у гостей код, вы можете уменьшить число бронирований».
В Booking.com не ответили на вопрос TJ о том, почему не все отели запрашивают CVC-коды и как в таком случае они проводят банковские транзакции. Представитель сервиса лишь подтвердил, что данные клиентов хранятся в сервисе для партнёров Extranet с двухфакторной аутентификацией. Однако соблюдение правил безопасности «остаётся ответственностью объектов размещения»: то есть, если сотрудник отеля может заполучить ваш CVC-код.
Все партнёры Booking.com соглашаются с нашими условиями и положениями, которые требуют от объектов размещения соблюдения определенных процедур обработки данных для защиты клиентов, эффективно и ответственно управляя своим бизнесом.
В тех редких случаях, когда мы получаем сообщения о ненадлежащих действиях партнеров, мы, как и в этом случае, незамедлительно проводим расследование.
В соглашении Booking.com для партнёров прописано, что отели действительно могут запрашивать банковские данные и CVC-коды клиентов. Однако есть несколько ограничений:
- Отели могут запрашивать банковские данные не больше трёх раз и не больше 10 дней после выписки клиента;
- Запрос могут отправить только верифицированные отели, которые прошли проверку Booking.com;
- Браузер на компьютере отеля должен быть обновлён до последней версии, чтобы поддерживать работу с сервисом Extranet.
Как сохранить свои данные в безопасности
В феврале 2018 года «Тинькофф-журнал» рассказал, как можно обезопасить свои банковские данные при работе с букингами.
- Пользоваться отелями, которые не требуют банковской карты и согласны на банковский перевод или оплату через сервисы вроде Qiwi;
- Завести отдельную банковскую карту для бронирования отелей, оплаты билетов или подписки на сервисы, где хранить только часть личных средств;
- Лично договориться с владельцем отеля на оплату наличными без предварительной заморозки денег.
#кибербезопасность #деньги #путешествия