20:50
25/2/2016

Jeden z Czytelników doniósł nam o niepokojącej praktyce hotelu Qubus we Wrocławiu. Podczas meldunku klient dostaje do wypełnienia kartę, w której jest miejsce na dane z karty płatniczej. Jest nawet miejsce na kod CVC2. Problem w tym, żę tego kodu nie powinno się nigdzie zapisywać.

Proszę wpisać CVC swojej karty

Nasz Czytelnik napisał:

Ostatnio spotkałem się z dość nietypową sytuacją która miała miejsce w jednym z hoteli, mianowicie podczas meldunku Pani w recepcji dała mi do podpisania kartę meldunkową wszystko byłoby ok gdyby nie fakt że na dole karty znajdują się pola gdzie gość podaję dane swojej karty (mnie to nie dotyczyło bo rezerwowałem przez booking z prepaida) , zdziwiony zapytałem recepcjonistki po co to pola, z rozbrajającym uśmiechem oznajmiła mi że są to pola które należy wypełnic przy zameldowaniu jako gdy płacimy gotówką , szczęka mi opadła , tym bardziej że jest to nie tylko nr karty ale i ccv i exp date.

Poniżej skan karty meldunkowej

karta-meldunkowa

Zbieranie danych o kartach osób, które płacą gotówką, może zastanawiać, ale w hotelach dość powszechną praktyką jest wymóg autoryzacji karty na dodatkową kwotę (aby pokryć ewentualne szkody) — z tym, że do tego nie jest potrzebny kod CVC. (Przy okazji mała wskazówka: w większości przypadków można jednak zostawić kaucję w gotówce)

Słusznie obawia się Czytelnik o swoje dane. Bo w recepcji hotelowej zatrudnienie można zdobyć stosunkowo łatwo, a i rotacja na tym stanowisku jest całkiem spora. Można się więc zastanawiać, czy w hotelach, które zapisują na kartach meldunkowych dane kart płatniczych sowich klientów, informacje te są należycie zabezpieczone? Jeśli dodatkowo dołożymy do tego fakt przechowywania skanów kart meldunkowych na komputerze w recepcji — tym samym, do którego recepcjoniści często bezrefleksyjnie podpinają pendrive’y klientów chcących wydrukować “kartę boardningową” — to ryzyko nieuprawnionego dostępu do danych zwiększa się jeszcze bardziej.

Qubus ociąga się z odpowiedzią

Próbowaliśmy wyjaśniać tę sprawę z Qubusem, ale początkowo Qubus nie chciał z nami rozmawiać. Przy kontakcie telefonicznym usłyszeliśmy, że trzeba wysłać maila by uzyskać odpowiedzi od osoby odpowiedzialnej za kontakty z prasą (kimkolwiek ta osoba jest). Dopiero po 3 próbie kontaktu mailowego otrzymaliśmy odpowiedź.

Przedstawiciel Qubusa Bartosz Jungiewicz wyjaśnił nam, że:

  1. Podanie danych karty jest całkowicie dobrowolne. Służy ułatwieniu pobrania płatności za niektóre usługi jak np. posiłki w restauracji hotelowej.
  2. Karty meldunkowe są dostępne tylko dla pracowników recepcji i dyrekcji hotelu.
  3. Karty meldunkowe są przechowywane na recepcji hotelowej w zamkniętych szafkach, do których dostęp mają tylko ww. osoby z personelu hotelowego. Dokumenty te nie są skanowane, a po pół roku są niszczone.
  4. Kwestia podawania kodu CVV2 była uzgodniona z “podmiotem zewnętrznym, zajmującym się obsługą płatności kartami”.
  5. Jeśli karta meldunkowa została zeskanowana i przekazana poza struktury organizacyjne hotelu, to stanowi to naruszenie naszych wewnętrznych zasad.

To wiele wyjaśnia, ale naszym zdaniem Hotel w ogóle nie powinien prosić o zapisanie kodu CVC2 albo CVV2. Kod ten jest bowiem wymagany jedynie przy transakcjach zdalnych, przy których nie okazujemy karty i nie podajemy kodu PIN. Jeśli znaleźliśmy się w miejscu “fizycznym” jak hotel czy sklep, pytanie o kod CVC2/CVV2 powinno wzbudzić nasze uzasadnione podejrzenia. W przeszłości w Niebezpieczniku radziliśmy nawet, aby rozważyć zaklejenie kodu CVV2, żeby nikogo, kto obsługuje Waszą kartę, nie kusiło jego podglądanie.

Mastercard: Kod CVC2 jest kodem osobistym

O komentarz w tej sprawie poprosiliśmy przedstawicieli Mastercard. Odpowiedział nam Aleksander Naganowski, szef działu Business Development w polskim oddziale MasterCard Europe.

Kod CVC2 jest kodem osobistym, którego klient nie powinien nikomu udostępniać ani nigdzie zapisywać – podobnie z resztą jak ma się to z kodem PIN do karty. Reguły MasterCard zabraniają też agentom rozliczeniowym czy sklepom gromadzenie kodów CVC, a numer karty czy data ważności może być przechowywana tylko jeżeli spełniony jest standard PCI DSS – branżowa norma zapewniająca bezpieczeństwo danych użytkowników kart. Najogólniej rzecz biorąc, zalecamy wszystkim, żeby nie udostępniali nikomu danych swoich kart i przechowywali je w bezpiecznym miejscu, używając ich tylko do płacenia za pośrednictwem terminala w sklepie lub bezpiecznej aplikacji służącej do płatności online

PROWOKACJA: “Prześlijcie mi to na maila”

Przedstawiciel Qubusa zapewnił nas, że karty meldunkowe nie są skanowane i nie powinny być nikomu udostępnione. Tymczasem Czytelnik zgłaszający nam problem z Qubusem postanowił przeprowadzić mały ekspertyment, aby zweryfikować bezpieczeństwo danych pdanych na karcie meldunkowej w Qubusie.

dzisiaj po powrocie (do domu z delegacji — dop. red.) postanowiłem sprawdzić czy Qubus hotel jest podatny na ataki socjotechniczne , zadzwoniłem do recepcji podałem swoje imie i nazwisko oraz i porposiłem o przeslanie mi mojej karty meldunkowej ponieważ jest mi potrzebna [bo] muszę ją przedłożyć przełożonemu. [P]odałem adres email a po 10 min na moim emailu znalazł sie skan karty meldunkowej (…)

Tak więc nasz Czytelnik potwierdził, że udało mu się uzyskać kopię karty meldunkowej. Trzeba tu dodać, że adres e-mail naszego Czytelnika dało się połączyć z jego nazwiskiem (ale przecież atakujący może również założyć skrzynkę na nazwisko osoby, której dane chce pozyskać), a jego karta meldunkowa nie zawierała też danych płatniczych. I być może Qubus mógłby się tłumaczyć, że kart z takimi danymi nigdy by nie wysłał… gdyby nie to, że wedle polityki hotelu, jak przyznał jego przedstawiciel, pracownikom hotelu w ogóle nie wolno wysyłać jakichkolwiek kart w postaci zeskanowanej.

Bartosz Jungiewicz z Qubusa poinformował nas, że hotel będzie jeszcze wyjaśniał tę sprawę. To dobrze, bo akurat biznes hotelarski jest jednym z tych, gdzie prywatność gości ma szczególne znaczenie…

Aktualizacja 21:05
Artykuł został opublikowany zaledwie 15 min. temu, a już na naszą redakcyjną skrzynkę spływają “wspomnienia” osób, które pracowały na recepcjach różnych hoteli. Oto jedna z wiadomości:

hej, widziałem Wasz artykuł o hotelu – mogę się Wam anonimowo pochwalić, że sam pracowałem na recepcji w budżetowej sieci (nie w PL), i zadziwiał mnie poziom “dbałości” o dane. część rezerwacji (szczególnie te służbowe) przychodziła faksem, na którym klienci umieszczali pełne dane karty, których trzeba było użyć przy checkinie (transakcja “card not present” w terminalu).
pamiętam, gdy którejś nocy był problem z odnalezieniem rezerwacji z faksem i mój kolega położył segregator z tymi rezerwacjami na ladzie i przy kliencie przeglądał po kolei wszystkie faksy – gdyby gość miał taki pomysł, spokojnie mógłby porobić zdjęcia i wyczyścić czyjeś firmowe karty. z drugiej strony, bardzo pilnowano wydruków z terminali płatniczych z widocznymi danymi kart, były afery gdy brakowało.
a jeśli chodzi o “ataki socjotechniczne” byliśmy uczulani na mężów/żony, którzy przez telefon podawali się za policjantów i prosili o udzielenie informacji, czy ten i ten, albo ta i ta, nie są zameldowani w hotelu. konsekwentnie odmawialiśmy i prosiliśmy o zgłoszenie się osobiście, co zwykle zamykało sprawę :) a już o takich drobiazgach w stylu umieszczenie hasła na monitorze albo w schowku (żeby się poszczególni użytkownicy nie musieli przełączać) nie będę wspominał… pozdrowienia!

Aktualizacja 26.02.2015
Otrzymaliśmy dodatkowe wyjaśnienia od Qubusa. Hotel zdecydował się na usunięcie opisywanych w artykule pól.

Z naszych wcześniejszych informacji wynikało, że takie pole jest potrzebne. Co więcej, jak sprawdziliśmy w naszych dokumentach, była to
informacja przekazana w 2009 r. przez podmiot zewnętrzny zajmujący się profesjonalnie obsługą takich kart. Natomiast było to prawdopodobnie powiązane z używanym przed laty systemem terminali, który w określonych sytuacjach wymagał tego kodu. W tej chwili, jak to sprawdziliśmy już po wczorajszej odpowiedzi, na recepcjach, od kilku lat, to pole jest de facto „martwe” tzn. recepcja nie pobiera tych danych. Po konsultacji z naszym działem IT i działem prawnym, podjęliśmy decyzję, że usuwamy to pole jako niepotrzebne i faktycznie mogące prowadzić do nadużyć. Zmiany zostaną wprowadzone już jutro w całej sieci Qubus Hotel. Jeszcze raz dziękujemy za zwrócenie uwagi na niebezpieczeństwo wycieku danych kart — Bartosz Jungiewicz, Qubus.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

105 komentarzy

Dodaj komentarz
  1. W uczciwym świecie zapewne można by to olać, chociaż MasterCard nie pozwala na przechowywanie tego rodzaju informacji.

    W świecie bardziej rzeczywistym skala ignorancji jest zdumiewająca. Po prostu trudno w to uwierzyć. Ale ja jestem paranoikiem, że nawet numeru karty przez telefon nie podaję.

    • pasowałoby też sprawdzić co na to Visa.
      także pasowałoby sprawdzić co to za podmiot co się “profesjonalnie” zajmuje kartami, bo z tego co widzę hotel jest tu raczej ofiarą, a w błąd wprowadził ów podmiot, który powinien być zweryfikowany przez wydawców kart.

  2. Booking.com robi dokladnie to samo. Na ich stronach nie ma zadnego info o pci dss nie info o platnosciach bo oni nie przetwarzaja danych kartowych. Co robi booking.com zamienia formatke z danymi karty na zwykly FAX lub plik PDF i wysyla do recepcji hotelu ktorego dotyczy rezerwacja. I na tym fax/pdf sa wszystkie nasze dane osobowepkusdNe karty z odkrytym i ujawnionym CVC/CVV. W wiekszosci recepcji hotelowych jest segregator w ktore osoby z recepcji z dowolnej zmiany nie robia nic innego tylko wpinaja faksy i wydruki z naszymi danymi kartowym. Kazdy pracownik recepcji moze to przegladac, itd. Jak sie klient nie pojawia w hotelu to ten sam pracownik recepcji lub rezerwacji przebija dane karty do elektronicznego interfejsu terminala platniczego na wew i kasuje za no-show. Jak to spraedzic? Wystarczy poprosic o fakture za nocleg, pani recepcjinistka pyta czy na te zamedane co w rezerwacji a my prosimy o wgladzeby sprawdzicczy prawidlowe. Dostajemy ww fax do wgladu. Wiec qubus robi to samo co i tak maja z booking.

    • dokładnie tak jest, booking wysyła do hoteli dane kartowe mailem/faksem, żeby mogli chargować za no show albo zbyt późną cancellację. to główny powód, dla którego ich olałem i przerzuciłem się na airbnb.

    • Airbnb nie wystawia faktur…

    • @Piotr Konieczny – dziwne, jak sprawdziłem mi airbnb wystawił faktury.

    • Z twoją nazwą firmy, twoim i ich nipem?

    • Mam na Bookingu 90 zrealizowanych rezerwacji. Nigdy nie zostalem skasowany za “no show”. W ekstremalnych przypadkach nalezy unikac trzymania srodkow na karcie, to nieoficjalne zalecenie bookingowego supportu.

      http://i.imgur.com/fRuNU2L.png


      Dwa lata temu w Krakowie chcialem zaplacic karta za przejazd taksowka. Jakiez bylo moje zdziwienie gdy pan “Zenek” zlapal za CB i na otwartym kanale chcial podawac dane mojej karty wraz z CVV do centrali. Nie wiem czy takie zwyczaje panuja tam nadal, ale on uwazal, ze to “normalne” i nie ma w tym nic zlego.

    • Ja mam 180 ;) I raz hotel chciał mnie za noshow skasować, ale udało się z hotelem dograć przesunięcie rezerwacji na inny termin w przód. A potem na kolejny — aż w końcu rzeczywiście trafił mi się wyjazd do Gdańska i “wykorzystałem” tę zawieszoną rezerwację. I to jest protip ;)
      Nota bene, dwa razy jak mnie sfraudowali na CC (wirtualka mbanku wykorzystywana tylko do bookingu) to rzeczywiscie jedynym “powodem” mógł być tylko któryś z hoteli.
      A co do podawania numeru karty przez CB… to tak samo “plaintekstem” lata to w samolotach: https://niebezpiecznik.pl/post/wykradanie-danych-kart-kredytowych-z-samolotow/

    • Mogę tylko potwierdzić to co piszesz. Sam padłem ofiarą booking.com i jednego z hoteli. Sześć transakcji internetowych, tysiąc zł poszło z konta w jeden dzień, na szczęście taki miałem limit ustawiony (teraz mam znacznie mniejszy na transakcje internetowe). Do owego hotelu nie dotarłem bo przez tą całą sytuację musiałem z tego wyjazdu zrezygnować. Miesiąc czekałem na odzyskanie kasy, bieganie na komisariat, itd., sprawę umożono, sprawcy nie wykryto (podejrzewam, że to ktoś z owego hotelu ale nawet kraju z jakiego ktoś dokonał transakcji nie byli w stanie ustalić). Booking.com zarzekał się, że wysyła dane klientów do hoteli szyfrowanymi emailami (lol). “Szyfrowany PDF/Fax” to brzmi ciekawie… Od tamtej pory albo unikam hoteli gdzie trzeba podawać CVC albo podaję dane karty do zakupów internetowych, oczywiście “rozładowanej”.

    • Guzik prawda. Dane nie są przesyłane faxem ani plikiem PDF

  3. Teraz booking nie przesyła faxów. Trzeba się zalogować i tam znajdują się dane kart.Nie zmienia to faktu, że większość hoteli wydrukuje stronę z danymi

  4. Chciałem napisać to samo. Jakie było moje zdziwienie po rezerwacji na bookingu, gdy zadzwoniła do mnie Pani z pensjonatu mówiąc, że moja karta jej nie przechodzi. Zdziwiony zapytałem skąd ma dane mojej karty. “Mailem dostałam od bookingu”. Oczywiście z CVC…

  5. Niecały miesiąc temu kupiłem tusz do drukarki na Allegro. Gdy przez tydzień czasu nie przychodził a kontaktu ze sprzedawcą nie było, wytoczyłem spór.
    Po kolejnych 2 tygodniach dostałem email z prośbą o podanie wszystkich danych osobowych i numer konta w celu zwrotu pieniędzy. Najśmieszniejsze jest to, że użyto zupełnie innego adresu email niż na allegro a domena prowadziła donikąd. Było tylko krótkie wyjaśnienie, że firma zmieniła właściciela i nazwę.
    Oczywiście odpisałem że nie podam im żadnych danych w ten sposób bo ich nowego maila nie dało się w żaden sposób połączyć z moim sprzedawcą, dla tego odpisałem, że albo się skontaktują przez formularz allegro lub w wytoczonym sporze, albo przez policję. Jak na razie wszystko wskazuje policję…

    • @Michał: Zbaczam z tematu kart, ale mam taką samą sytuację z zakupem na Allegro – tonery / zmiana właściciela / brak towaru i pieniędzy.

      mój public email: zckspxji@pwrby.com

    • Ja akurat numer konta bankowego daję bardzo chętnie. Jak ktoś chce coś przelać to proszę bardzo =p

    • Następnym razem skorzystaj z opcji Cashback.

    • Możesz napisać jaki to był sprzedawca, właśnie chciałem zamawiać tusz do mojego HP.

  6. Booking nie przekazuje cvc.

    • Przekazuje. Wg info jakie dostałem od jednego z konsultantów (jedyny jaki odważył się mi powiedzieć), info o gościu jest wysyłane emailem jako link. Dane są dostępne po zalogowaniu po wejściu na stronę z tego linku, można to zrobić bodajże tylko trzy razy zaś kod karty można podejrzeć tylko raz.

  7. HRS.com też wymaga CVC przy rezerwacjach gwarantowanych. Nr karty, data ważności, imię i nazwisko oraz nr kontrolny. Co dalej dzieje się z tymi danymi, nie wiem.

  8. Booking przekazuje CVC tym którzy tego potrzebują.
    Terminale z firmy e-service potrzebują tego kodu do obciążenia transakcją typu MO/TO.
    Oczywiście każdy chciałby dokonać rezerwacji bezzwrotnej ale nie podać karty, żeby hotel nie mógł obciążyć. Albo podać pustą kartę prepaid.
    Nie akceptujesz takich warunków nie dokonujesz rezerwacji albo szukasz innego systemu rezerwacyjnego

  9. Wystarczy spojrzeć na eservice
    Załącznik nr 4
    Regulamin współpracy w zakresie
    akceptacji Instrumentów Płatniczych:

    Do dokonania rezerwacji hotelowej
    niezbędne jest uzyskanie następujących
    danych od użytkownika Karty Płatniczej: a) imię
    i nazwisko, numer, data ważności Karty
    Płatniczej oraz kod cvv2/cvc2, b) jego adres
    korespondencyjny, numer faksu i adres e-mail
    niezbędne do wysłania dokumentów
    potwierdzających dokonanie rezerwacji lub jej
    anulowanie oraz ewentualnego wysłania
    dokumentów potwierdzających dokonanie
    transakcji, c) planowaną datę przyjazdu do
    hotelu i przewidywany czas pobytu;

    I jak to się ma do zaleceń Mastercard?

  10. Widzę bardzo interesującą wymianę dotyczącą booking.com.
    Czy ktoś jest w stanie odpowiedzieć na 100% jakie dane przekazują do miejsca rezerwacji noclegów? Wydaje mi się to bardziej poważny błąd z uwagi na zasięg działania tej usługi.

    • Przekazują takie, aby obiekt mógł obciążyć Twoją kartę. A Twoją kartę obciążyć można przez numer, date i CVV2

    • Naiwnie myślałem, że booking sam pobiera ew. opłaty i przekazuje instytucjom, które korzystają z jego usług. Mógłby to robić w miarę bezpiecznie bo tej usłudze powierzamy dane swojej karty.

    • Imię
      Nazwisko
      adres
      telefon
      dane karty płatniczej bez kodu CVV2/CVC2

    • Czesc,

      booking.com przekazuje CVV(2). Zgodnie z wiadomymi standardami bezpieczenstwa CVV(2) mozna przechowywac/przetwarzac przez okres potrzebny do przeprowadzenia transakcji. Oczywiscie caly system i proces w jaki sie to odbywa musi byc rowniez zgodny ze standardem PCI DSS.
      Booking przetrzymuje CVV u siebie w systemie. Aby dokonac platnosci nasza karta pracownik hotelu powinien zalogowac sie do serwisu booking.com, odczytac numer CVV i wprowadzic go do terminala. Odczytac CVV w serwisie booking.com mozna tylko raz, po tej czynnosci jest on automatycznie kasowany. W przypadku, gdy pracownik nie odczyta numeru prze okreslony czas – w praktyce to chyba kilka dni ale nie jestem pewien – numer zostanie skasowany. Zostalo to prawdopodobnie wprowadzone na potrzeby spelnienia standardu PCI DSS. Poczta pantoflowa dowiedzialem sie, ze booking.com chyba sie certyfikowal ale nie jestem pewien na 100%. Na ich stronach nigdzie nie moge znalezc wzmianki o tym, atestacji tez nie widzialem osobiscie.

  11. Podobna sytuacja ma miejsce przy wynajmie samochodow w firmie Transpoz w Poznaniu.
    Dane do karty plus kod cvc i podpis na zgodę obciążenia konta.Oprócz tego oczywiście wplacona kaucja. A wszystkie te zebrane dane leza w szafce pod biurkiem :) Gdy powiedziałem im ze nie ma mowy pokazali mi dzwi :) Banda idiotow na czele lokowatym szefem.

    • Wiesz, z jednej strony masz rację, z drugiej postaw się po stronie takiej firmy – wynajmujesz komuś samochód, ktoś ci zniszczy albo za miesiąc dostajesz 10 mandatów z fotoradarów i co? 5 lat się bujasz po sądach a potem komornikach? Prędzej zbankrutujesz niż ci się to opłaci.

      Tak samo hotel – rezerwuję 100 pokoi a potem nie płacę, kto pokryje koszty rezerwacji? Piękne pole do nadużyć i nieuczciwego zachowania konkurencji.

      Na zachodzie to jest standard. Wydaje mi się, że w przypadku gdy ktoś wykorzysta twoją kartę bezprawnie zgłaszasz się do banku i bank weryfikuje taką płatność, jeśli została wykonana bezprawnie, to zwracają ci pieniądze, ale to na zachodzie. U nas niestety bananowa republika i jak by tak można było, to zaraz by się wylała fala wyłudzeń.

    • Ale hotel nie potrzebuje żadnego CVC! To się nazywa preautoryzacja MO/TO z blokadą środków – wystarczy kwota, numer karty i termin ważności.

    • Łukasz032 to dlaczego na stronie bookingu niektóre hotele przy rezerwacji wymgają tegoż właśnie numeru CVC?

    • Bo się nie znają albo akceptant nie włączył im mo/to i wbijają transakcje jako internetowe (co jest naruszeniem umowy z organizacjami kartowymi).

  12. To ja z innej beczki. Sieci hotelowe. Bardzo czesto w PL jest Free WiFi ktore ma haslo ktore nie jest zmieniane latami i jest udostepniane wszystkim ktorzy poprosza (takze nie-gosciom hotelowym a np. jedzacym w restauracji).
    To oczywiscie nie przestepstwo ale zwykle do tej sieci bez zadnej izolacji wpieta jest cala infrastruktura hotelu – w tym komputery recepcyjne z udostepnionymi zasobami dyskowymi. Jesli zsumujemy to z Qbusowa dbaloscia o pozyskiwanie CVV moze oznaczac ciekawe zdarzenia… Oczywiscie nie mowie ze jest tam akurat tam ale po pobycie w tylu hotelach moge powiedziec ze nie jest to wykluczone…

  13. Hotel nie dostaje cvc z Booking, nie potrzebuje też na terminalu polcard lub elavon tego kodu, żeby przeprowadzić preautoryzację lub autoryzacje bez fizycznej obecności karty.

    • W moim przypadku jakiś hotel w lublinie nie bawił się w “preautoryzjacje” tylko od razu pobrał kasę (tak więc pobyt był z góry zapłacony w ten sam dzień co wypełnienie rezerwacji na booking, blisko tydzień przed wyjazdem). Jak im się to udało ? Magia ? Nie. Ktoś im przesłał mój kodzik i tyle w temacie. A kto przesłał – wiadomo kto.

  14. Siedzę właśnie na recepcji w hotelu i mam przed sobą wydruki rezerwacyjne z Bookingu. Nie ma na nich nr kart kredytowych, jest tylko imię, nazwisko, nr tel. i adres mailowy. Aczkolwiek głowy nie dam, czy po zalogowaniu do serwisu nie można by uzyskać takowych danych.

  15. Booking.com formalnie nie przetwarza danych kartowych celem dokonania rezerwacji. On je przekazuje dalej i to hotel dokonuje obciazenia karty klienta. Kazdy hotel lub siec hoteli moze kiec inny system do dokonywania transakcji ale raczej kazdy ma na recepcji terminal platniczy a w zaleznosci od dostawcy terminala rowniez virtual pos dostepny do transakcji zdalnych. Terminal jest do transakcji carde present a virtual pos do zdalnych, elektronicznych i moto. Hotele nadal dostaja te dane faksem jednak wiekszosc juz mailem. Jak to sprawdzic ze dostaja cvc/cvv od booking.com. Tk bardzo proste, wystrczy podac falszywe cvc/cvv naformularzu rezerwacyjnym boking.com. Jesli jest to rezerwacja bez mozliwosci odwolania to hotel od razu stara sie obciazyc karte klienta lub zalozyc na niej przynajmniej blokade za pierwszy dzien i dostajemy info z boking ze hotel nie moze przetworzyc transakcji. Jak jest to rezerwacja z mozliwoscia odwolania to nikt sobie tym nie zawraca glowy i czeka az klient pojawi sie w hotelu by pobrac kase karty przezterminal. Jak sie gosc nie pojawi to wtedy jest wesolo i ten co podal nieprawdziwecvc/cvv uniknie zaplacenia za no-show a ten co podal prawdziwezostanie obciazonh a dodatkowo ryzykuje ze jego dane karty razem z cbc/cvv wyciekna i ktos ich kiedyz uzyje ponownie. Roznj ludzie pracuja w hotelach na dzienne i nocne zmiany. Dobra rada, nie prawdziwego cvc/cvv w bokking.com. Podobnie jak uber rozwalil biznes korporacji taxi tak wg mnie model biznesowy polegajacy na wymaganiu od klienta rezerwowania noclegu w hotelu pod karą zapłacenia za no-show to archaizm ktory trzeba zmienić. W ten sposob nabija sie kieszenie hotelarzom ktorzy podnosza ceny za nocleg wraz ze wzrostem zarezerwowanych w hotelu miejsc. Ostatecznie klient placi duzo wiecej za nocleg nawet jak finalnie hotel jest w polowie pusty. Czy podobnie jest w samolotach? Tam rezerwacja mieksca w klasie ecomomy zawsze wiaze sie albo z nieodolalnoscia rezerwacji albo z jakas kara za odwolanie. Dlaczego nie mialoby tak byc w hotelach?

    • Kiedyś rezerwowałem hotel w Chorwacji przez booking.com. Musiałem podać tam numer swojej karty. W dniu przyjazdu pani na recepcji poprosiła mnie ponownie o podanie numeru karty. Powiedziałem jej, że przecież podałem już na booking.com.
      Pani wiele nie myśląc, odwróciła się i wyszperała z kupki papierów wydruk z moim numerem karty, razem ze wszystkimi danymi… :o

    • “model biznesowy polegajacy na wymaganiu od klienta rezerwowania noclegu w hotelu pod karą zapłacenia za no-show to archaizm ktory trzeba zmienić. W ten sposob nabija sie kieszenie hotelarzom ktorzy podnosza ceny za nocleg.”

      Co za brednie, nie masz pojęcia o tym, o czym piszesz. Wynajem pokoju jest zawarciem umowy, nie pojawienie się gościa w dniu kiedy hotel jest pełen to bez obciążenia za nocleg konkretna strata dla hotelu, przychodu z pokoju na który mogło być mnóstwo innych chętnych. Ponadto hotele często obniżają ceny wcześniej i biorą mniej niż powinny, podnosząc potem wracają do normalnej ceny, żadne nabijanie kasy hotelarzom. Po trzecie, każdy hotel ma inną politykę, połowa z nich obniża ceny im bliżej terminu, połowa podwyższa wraz z kończącymi się pokojami, nie ma reguły. Nie ma nic gorszego jak laik wypowiada się na tematy o których nie ma pojęcia, może zbuduj sobie hotel, zobaczysz jak łatwo się nabija kieszenie.

  16. mialem sytuacje, ze jesli nie anuluje rezerwacji na dobe przed zaplace 100% ceny. W hotelu sie nie zjawilem(problemy losowe) ale podalem dane karty wirtualnej na ktorej nie mam zazwyczaj srodkow. Tak oto 200zl w kieszeni.

    • Możesz być z siebie dumny. To tak jakbyś zamówił coś za pobraniem a potem nie odebrał przesyłki. Czysty zysk. Z powodu takich zagrań hotele robią preautoryzacje na kartach.

    • A wiesz co to jest przyczyna losowa, gdy nie możesz się zjawić?

    • Oczywiście, że wiem co to są przyczyny losowe jednak rezerwacja przez system rezerwacyjny jest zawarciem umowy. To tak jak kupno na allegro. Kupiłem ale z przyczyn losowych nie mam już kasy żeby zapłacić. A czy zawiadomiłeś hotel, że nie dasz rady się zjawić, czy też oni nie sprzedali tego pokoju bo czekali na Ciebie? Zawsze możesz zakładać rezerwację poprzez email i wtedy anulujesz kiedy chcesz.

    • Oczywiscie, że powiadomiłem jak tylko dowiedziałem się, że nie dam rady. Pani bardzo miła, zrozumiała.

    • Czyli jesteś oszustem, a hotel stracił konkretne pieniądze, bo mógł sprzedać nocleg komu innemu. Masz się czym chwalić.

    • “Tak oto 200zl w kieszeni.”

      Polak cebulak, ech…

  17. Czyli mozna podeslac im nieprawdziwe dane, byle sie walidowaly?

    • Oczywiście, że można. Tylko wtedy hotel anuluje Twoją rezerwację.

  18. Z podobną sytuacją spotkałam się w Hotelu Kossak w Krakowie gdy miałam zamiar tam nocować podczas szkolenia organizowanego w Krakowie przez… Niebezpiecznik :) Płatność miała być kartą na miejscu, a Pani przesłała mi mailem formularz autoryzacji karty do gwarancji rezerwacji. Trzeba było wpisać imię i nazwisko, nr karty, datę ważności i właśnie CVV….!!!! oczywiście z informacją, że mogę to przesłać mailem lub faxem….. Odpisałam Pani grzecznie, że chyba sobie żartują i jeżeli mam to wypełnić to znajdę sobie inny hotel. Z wielką łaską mnie poinformowali, że zrobią wyjątek…. Pierwszy i ostatni raz nocowałam w tym hotelu….

  19. Taki krótki komentarz:
    “Jeśli dodatkowo dołożymy do tego fakt przechowywania skanów kart meldunkowych na komputerze w recepcji — tym samym, do którego recepcjoniści często bezrefleksyjnie podpinają pendrive’y klientów chcących wydrukować “kartę boardningową” —”
    z tym już nie jest tak łatwo. Podróżuję trochę ostatnimi czasy i w ciągu ostatnich trzech lat nigdzie nie udało mi się dać nośnika USB aby wydrukować kartę pokładową. “Tu mam Pan mail, prosze przesłać” – to standardowa reakcja. I dotyczy to nie tylko hoteli ale nawet prostych kafejek iternetowych. Sprawdzałem możliwość w takich krajach jak NIemcy, UK, kraje skandynawskie, Rosja, Ukraina, Chiny, Rumunia czy Węgry (niestety stosunkowo rzadko korzystam z polskich hoteli). Druga kwestią jest, ż enaprawdę staram się aby karty pokładowe mieć w aplikacji (typu passbook) albo w najgorszym wypadku w pdf na urządzeniu mobilnym (zazwyczaj od razu na wszystkich).

    Druga kwestia odnośnie karty – wiele serwisów rezerwacyjnych wymaga podawania pełnych danych czy to booking.com czy hostelworld czy systemy rezerwacji samych sieci hotelowych (i nie tylko). I oczywiście możemy szukać złych ludzi i zastanawiać się nad wszelkimi możliwymi sposobami aby te dane ktoś wyciągnął (fax, skan, mail, zapis w zeszycie), ale zakładanie, że w każdym miejscu pracują źli ludzie którzy tylko czyhają na nasze karty jest lekko paranoiczne. Możemy też nie płacić kartą tylko próbowac zrealizować swoje podróże gotówką 9co w wielu miejscach jest podejrzane z natury). A jeśli tak bardzo nam zależy, możemy częściej zmieniać karty, albo płacić od razu z góry (jak w liniach lotniczych). Albo posiadać konto z zerowym (lub prawie zerowym stanem, do niego kartę debetową (ale wypukłą) bez limitu (czyli nie pozwalającą na zrobienie obciążenia poniżej zera i używać jej do rezerwacji z płatnością przy przyjeździe.

    Bazpieczeństwo i wygoda nie idą ze sobą w parze – więc zawsze będzie dyskusja o tym co jest lepsze dla nas. Możemy jeszcze dodatkowo zaufać bankowi który robi nalalizy fraudów i np dzwoni do mnie w nocy gdy dokonałem czterech zakupów biletów lotniczych w ciągu kwadransa – bo było to dla niech podejrzane.

  20. Z innej beczki: booking.com potrafi nie zarezerowac hotelu mimo, że rezerwujący dostał potwierdzenie!!! Taki numer odwalili mojej ekipie w zeszlym roku, organizowałyśmy panieńskie w londynie, więc szukanie na biegu noclegów dla 10 osób w jednym miejscu, gdy po przyjeździe do hotelu okazało się, że nie mają naszej rezerwacji, graniczyło z cudem (wtedy były mistrzostwa rugby ech). NIe POLECAM BOOKING.COM>

  21. ostatnio na lodowisku – chcesz 2 pary łyżew ? 2 dowody albo 2 stowy (bez pokwitowania). Morda zakapiora za lada, smierdzaca fajami i wódą.

  22. asq 2016.02.25 21:22
    chargować? cancellowac? no show?
    Chrystusie…

  23. Luźna informacja dotycząca wymagalności CVV2 przy transakcjach zdalnych (korespondecja z bankiem w sprawie reklamacji transakcji internetowej):

    “Nadmienię, iż standard bezpieczeństwa jakim jest kod CVV2 zawarty na rewersie karty płatniczej, jest dodatkowym zabezpieczeniem podczas płatności w sklepach internetowych. Bank wspiera ten proces, jednak niektóre punkty handlowo – usługowe mogą realizować transakcje bez podania dodatkowego kodu zabezpieczającego, na co mBank nie ma wpływu. Oznacza to, że transakcje internetowe są realizowane po podaniu prawidłowego numeru karty, daty ważności karty oraz opcjonalnie kodu CVV2.”

    • Np. Amazon.

    • Może się mylę, ale chyba zdalne obciążenie karty w ogóle nie jest możliwe bez podawania właśnie jej daty ważności i CVC. Prawda? W przeciwnym przypadku można by przecież obciążyć kartę np. znając sam jej numer… Taki jest chyba sens tego kodu – razem z datą ważności mają być swego rodzaju potwierdzeniem, że obciążamy je za zgodą właściciela. Pamiętam, że np. zakupy na Amazon.com z bezpośrednią płatnością obciążeniem karty wymagają właśnie podania jej pełnych danych. Dlatego swojego czasu hitem stała się karta Inteligo, która pomimo bycia “zwykłą” kartą płatniczą dawała się obciążyć zdalnie poprzez podanie danych w formularzu (co jest chyba standardem w amerykańskich sklepach internetowych). W przypadku hotelu (czy innych usługodawców) mamy po prostu analogiczną sytuację: chcemy dać komuś możliwość obciążenia naszej karty. Problem jest zatem w zbyt otwartym obrocie tych danych (wysyłanie faksem, drukowanie, przechowywanie, dostęp osób postronnych), a nie w samym fakcie, że ktoś o nie prosi…

    • Zdalne obciążenie karty != transakcja internetowa. Do internetowej CVV jest wymagany, ale do MO/TO nigdy.

    • @Lukasz032 Co zatem wystarcza do wykonania transakcji MO/TO?

    • Kwota, numer karty i data jej ważności – czyli w telegraficznym skrócie to, co kiedyś odbijało się na żelazkach :)

  24. Hotel jest zobligowany do wdrożenia zaleceń z PCI DSS. Zawsze można poprosić szefa hotelu o przedstawienie certyfikatu w tej materii. Małe jednostki nie zawsze są sprawdzane, ale powinny mieć wdrożone mechanizmy kontrolne. W umowie z centrum autoryzującym, przedsiębiorca ma zapewne wpisane, co mu grozi za niestosowanie się do standardu. Dodatkowo w przypadku wycieku danych CD/SAD na pewno srogo to odczuje… Ciekawe czy booking.com ma certyfikat. Z ciekawości napisałem do nich i czekam na odpowiedź…

    W standardzie jak wół stoi:

    3.2 Do not store sensitive authentication data after authorization (even if encrypted). If sensitive authentication data is received, render all data unrecoverable upon completion of the authorization process

    It is permissible for issuers and companies that support issuing services to store sensitive authentication data if:
    – There is a business justification and
    – The data is stored securely

    3.2.2 Do not store the card verification code or value (three-digit or four-digit number printed on the front or back of a payment card used to verify card-not- present transactions) after authorization.

    Hotel przechowuje te dane w formie papierowej, jak napisał rzecznik, jeśli ma na to zgodę w umowie, to brzmi ciekawie.

    Generalnie jeśli firma spełnia PCI DSS, to dane są względnie bezpieczne. Jeśli…

    • Hotel do niczego nie jest zobligowany a juz na pewno nie do tego, zeby pokazywac klientowi certyfikat (atestacje) PCI DSS. O tym, czy sprzedawca w tym przypadku hotel ma sie certyfikowac, czy nie i do jakiego poziomu, decyduje acquirer.
      Acquirer ponosi odpowiedzialnosc finansowa w przypadku fraudow i to on decyduje. Czasem acquirer “przymyka oko” na certyfikacje aby nie stracic klienta. Zazwyczaj sytuacja nabiera rumiencow jak jest wyciek danych kartowych, szczegolnie jak w systemie przetwarza sie ich duzo. Wtedy do gry wkracza VISA i robi sie znacznie ciekawiej :-)
      BTW podmiot wielkosci hotelu aby uzyskac certyfikat PCI DSS raczej nie musi przejsc audytu “on site”. Wystarczy samodzielne wypelnienie formularza (tak zwane SAQ) plus jesli prowadzi biznes e-commerce zewnetrzne skanowanie podatnosci (ASV). Niemniej wypelninie owego SAQ ma byc zgodne z prawda i polega na samodzielnej ocenie swojego systemu. Czasami np VISA moze sobie zazyczyc aby SAQ bylo wypelniane w asyscie audytora.

  25. Szybko dostałem odpowiedź, się chwali:

    ________________________________________

    Dziękujemy za kontakt z Centrum Obsługi Klienta Booking.com.

    Booking.com B.V. jest podmiotem odpowiedzialnym za przetwarzanie danych osobowych na stronie oraz w aplikacjach mobilnych. Booking.com B.V. jest prywatną spółką z ograniczoną odpowiedzialnością działającą zgodnie z przepisami prawa holenderskiego. Numer zawiadomienia holenderskiego Inspektoratu Ochrony Danych Osobowych to 1288246.

    Przykro nam, ale nie możemy przesłać wymaganych przez Pana dokumentów. Prosimy o zapoznanie się z ogólnymi warunkami handlowymi Booking.com. Znajdują się one na naszej stronie internetowej w dolnej części strony.

    W razie jakichkolwiek pytań prosimy o kontakt.

    ________________________________________

    Nie chce mi się drążyć tematu, bo można napisać do centrum autoryzacyjnego i zapytać dlaczego firma nie chce udostępniać certyfikatu, który de facto powinien być dokumentem stwarzającym przewagę konkurencyjną, więc się nim chwalić powinni…

  26. Tak w odniesieniu do przechowywania kart meldunkowych to, z tego co się orientuję to wrażliwe dane zawsze powinny być zamykane w szafkach z zamkiem.
    Szkoda tylko, że często takie szafki albo nie są zamykane albo klucz jest w zamku.
    Esencja hackingu :)

  27. A co z kartami wirtualnymi? Można je doładowywać na określoną kwotę przed wykonywaniem płatności oraz rozładować po rezerwacji, oraz – już nie pamiętam – też można zmienić numer cvv/cvc?

  28. booking.com nie przekazuje mailem danych karty… hotel dostaje maila z informacją o nowej rezerwacji, gdzie również znajduje się link do rezerwacji która jest dostępna dopiero po zalogowaniu (booking.com wymusza zmianę hasła max co rok). Po zalogowaniu do panelu widać dane rezerwacji, natomiast dostęp do danych karty wymaga dodatkowej autoryzacji (ponowne logowanie). Dopiero wtedy widoczne są dane karty. Więc to nie tak, że wysyła je mailem…
    A jeśli chodzi o dane karty na karcie meldunkowej… jest to popularne w hotelach… zwykle przyjeżdża się na nocleg, idzie na kolację do restauracji, potem do baru na piwko i dopiero rozliczamy się rano. Za każdą z tych rzeczy od razu pobierane są pieniądze, faktura zbiorcza wydawana przy wymeldowaniu. Chcesz za wszystko płacić za każdym razem – Twój wybór.

    • Nie musisz płacić “za każdym razem”, bo podczas checkingu zrobią Ci preauth i potem z tego rozliczą kolacje/barek/etc.

  29. To chyba standardowe praktyki hoteli, nie tylko polskich.
    Kilka lat temu pracowalem w 5 gwiazdkowym hotelu w UK, pełne dane kart były “rozprowadzane” wśród pracownikow wraz z informacjami o rezerwacji i różnych życzeniach (rocznica slubu, nowozency etc), nikt w tym nie widział problemu i dziwli się jak zwróciłem im uwagę, że można z tymi danymi robić zakupy w sieci.

    • W UK przynamnie jak byłem kilka lat temu to nie mogłem na swoją karte zamówić nic przez Internet bo sklep wysyłał tylko pod adres z karty (a karta z Polski). Więc pozostało dać gotówkę kumplowi z zamówić jego kartą. Dlatego mogli być zdziwieni. Ale wystarczyło tą kartą zamówić w polskim sklepie i nie było problemu z wysyłką na inny adres.

  30. Co za “geniusz” wymyślił niezmienny kod CVV2/CVC2, który jest drukowany na rewersie karty, zamiast np. na umowie o kartę?

    Wprawdzie w bankach, w których mam konta, raczej nie muszę się martwić (zawsze blokuję m.in transakcje zdalne, zbliżeniowe, zagraniczne – o ile bank oferuje daną blokadę), a płatności online realizuję albo przelewem albo kartą przedpłaconą (prepaid), której saldo na co dzień wynosi 0zł.

    Jednak na wszelki wypadek zawsze “zabezpieczam” kod CVV2/CVC2 (zdrapuję papierem ściernym albo zaklejam).

    • Sa dostepne na rynku karty z dynamicznym CVV.

  31. Ostatni hotel w któym się meldowałem był największym w Berlinie. Tam również przy rezerwacji prosili o dane karty, ale bez CVV, i jakoś byli w stanie obciążyć kartę poprawną kwotą.

    Czy w naszym kraju naprawdę nie ma regulacji lub instytucji które mogłyby ukrócić takie działania hoteli? Do kogo można by to zgłosić aby wyciągneli konsekwencje?

  32. Booking.com akceptuje wirtualną kartę MBanku. Zawsze można ją naładować tylko wedle potrzeby i problem przekazywania CVV2 znika. Mogą próbować, ale nie ściągną kasy jak na karcie jest 5zł :)

  33. Na płacenie kartą mówi się “płacenie gotówką”?

  34. To ja może opowiem historyjkę z życia wziętą. Jakieś dwa lata temu kiedy wybrałem się na zakupy dowiedziałem się że mam zablokowaną kartę, a od banku że miałem nieautoryzowane zakupy w Chicago, Londynie, Nowym Yorku, Amsterdamie, i potem jeszcze po zablokowaniu (przez bank) w 60 innych miejscach. Oczywiście sprawca nie został znaleziony. Ale jak to teraz czytam to, oprócz zakupów zbliżeniowych w Fast Foodach, nie robiłem żadnych innych transakcji kartą niż przez Booking (z podaniem kodu CVV), oraz jeden zakup na stronie Eurolotu. Wnioski, a raczej przypuszczenia, mogą nasuwać się same. Aha, w biurze obsługi Booking twierdzą że takie informacje jak np kod CVV są dostępne dla niektórych hoteli (tych które tego wymagają) po zalogowaniu się do systemu Booking. No to ładna heca ;-)

  35. Nie znam sieci hoteli od strony usług ale należy ich pochwalić za to jak sprawnie rozwiązali problem.

    W każdej firmie można znaleźć kilka takich rzeczy, które wszyscy robią bo tak było zawsze i nikt się nie zastanawia na ich sensem. Jak się żółtodziób zapyta ale po co to, to zostanie pouczony przez koleżankę na wyższym stanowisku, że tak być przecież musi i nie im to analizować.

    • Po to wlasnie wymyslono standardy i audyty je potwierdzajace (lub nie) aby tego uniknac.

  36. staypoland.com pyta o ccv2, i potem potrafia oszukac. mi miesiac po fakcie doliczyli stowke za rzekome korzystanie z hotelowego parkingu. ani nie mam auta, ani hotel platnego parkingu.

    • Robisz chargeback i niech się tłumaczą organizacjom kartowym.

  37. no i widac po aktualizacji, szefowie hotelu potraktowali sprawę jak powinni – czyli poważnie, a co jeszcze lepsze – wybrali prawidłowe rozwiązanie, czyli usunięcie wymogu podawania tych danych. brawo! dobra akcja, powinni podziekować autorowi całego zamieszania w postaci darmowych napitków gdy u nich będzie goscil ;)

  38. Byłem Recepcjonistą w hotelu “XXX” powiem szczerze miałem bardzo słabo były chronione informacje o kartach i kodach które przychodziły z booking.com a było tego całkiem sporo. Pracowałem tylko miesiąc nikt nie sprawdza

  39. Co najlepsze myślę że w śmietnikach pod hotelami znalazło by się kilka ciekawostek…. serio tak to wygląda nr kart i kody trafiają do kubłów a nie do niszczarek.

  40. “Aktualizacja 26.02.2015
    Otrzymaliśmy dodatkowe wyjaśnienia od Qubusa. Hotel zdecydował się na usunięcie opisywanych w artykule pól.”

    Ja sie pytam, KTO im robil audyt PCI DSS w ciagu ostatnich 12mcy!!! Przeciez to jest jakas PARANOJA!!! Oni obsluguja platnosci karta i powinni miec audyty co 6-12mcy… Jak nie ma kto zrobic, to ja przyjade :D

  41. Przyjrzyjcie się płatnościom on-line w Redcon.pl
    Tam również, przy płatności kartą, musimy wszystkie dane podać po prostu na stronie sklepu (nie jesteśmy przenoszeni na bezpieczną stronę operatora).

    • Jeżeli strona sklepu działa po HTTPS a sklep ma weryfikację PCI DSS, to nie ma w tym nic dziwnego, że mogą sami procesować transakcje kartowe. Oszczędzają na pośredniku, choć pewnie wybulili trochę za weryfikację.

  42. Z ciekawostek UEFA sprzedając bilety na Euro czy finały europejskich pucharów przez swoją stronę nie wymaga kodu CVV / CVC2.

  43. A mi dzisiaj bank zablokował kartę przez dziwną operację która miała miejsce w Irlandii na kwotę 5700zł z groszem (Co może kosztować tyle w Microsofcie, bo ta nazwa się pojawiła w opisie transakcji). I znowu podejrzenie pada na Booking.com… Nic innego mi do głowy nie przychodzi.

    • Chargeback i pieniądze z powrotem na koncie w ciągu dwóch tygodni, to odbiorca będzie się tłumaczył :)

    • Do banku nie wpłynęło rozliczenie transakcji więc zdjęli obciążenie. Sprawa zamknięta. A transakcja miała opis “MICROSOFT *STORE BILL.MS.NET”

  44. Niestety w przypadku płatności cyklicznych chcą kod :/

    • Do cyklicznych CVV jak najbardziej – takie mają interfejsy organizacje kartowe bo płatność cykliczna jest zapisywana w ich systemach i już do tej transakcji aż do jej odwołania CVV-ki potrzebował nie będzie.

  45. @Lukasz032: polecasz ten chargeback tak jakby to było takie proste. Niedawno temu z mojej karty (pewnikiem po jakimś wycieku o którym nie wiedziałem) ktoś zakosił w sumie 60 zł na skype.com.mBank odmówił mi chargeback do czasu aż się transakcja nie zaksięguje, a jeśli się zaksięguje to zrobią tylko pod warunkiem zgłoszenia sprawy na policję. To ja dziękuję wozić się parę godzin na komisariacie, mój czas jest więcej wart niż te trochę złotówek, które mi skradziono.

    Tak czy owak rzecz w tym że o chargeback jest bardzo trudno. Gdyby u nas było tak jak na zachodzie, że banki od ręki to robią bez żadnych pytań (czytałem nieraz że ludzie kupowali rzeczy w sieci, towar przychodził, coś im się nie podobało to zamiast u sprzedawcy składać reklamacje robili chargeback – przez to sporo sklepów internetowych jak np Steam wprowadziło restrykcje w swoich regulaminach, banowanie kont itp), to byłoby fajnie.

    • Który bank?

    • Żaden bank nie ma prawa odmówić tej procedury – inaczej płacą organizacjom kartowym niemałe kary. A i niechętnie podchodzą, bo za każdy skuteczny chargeback też płacą organizacjom – i tu należy upatrywać “niechęci” banków :)

    • @Piotr: pisałem – mBank. Jest możliwe, że człowiek z którym rozmawiałem na help linii mnie oszukał z powodów jakie Lukasz032 podał (widać ubezpieczenie karty, które co miesiąc mi odciągają z konta też jest guzik warte, bo o wszystko trzeba najpierw lecieć na policję). Tak czy owak, przez ten incydent wróciłem po latach do karty prepaidowej, bo skoro procedury obejmują zawsze wycieczkę na policję, to wolę zmniejszać ryzyko.

    • Ode mnie nikt przy chargebacku w mbanku nie chcial zgloszenia na policje. Eskaluj :(

    • Już trochę za wiele czasu od tego minęło (zeszły rok), żeby teraz sprawę rozgrzebywać na nowo.

  46. niektóre banki wprowadziły zabezpieczenia 3d czyli żeby dokonać transakcje przez neta kartą musisz wpisać kod z smsa, ale nie wiem czy to skuteczne bo w międzyczasie zdążyłem zmienić bank, chargeback powinien być skuteczny, ale na policję i tak trzeba zgłosić.. no chyba że chodzi o zwrot towaru który nie był taki jak trzeba do sklepu i tym podobne to wtedy nie trzeba zgłaszać a i tak powinni chargebackować;)

  47. Czekam na kartę która tak jak w BLIK’u pozwoli ustawić autoryzację wszystkich transakcji bez PIN’owych (płatności w internecie, obciążenia karty np za miesięczny abonament itp.) przez aplikację na smartfonie. Jak ktoś zna bank mający coś takiego w ofercie to niech się pochwali.

  48. Co do chargebacku i chęci jego wykonania dopiero po wizycie na policji to tak np. ma bank ING.
    Wrócę tutaj do sytuacji związanych z bezpieczeństwem danych IT w hotelach. Swego czasu odpoczywałem w 5 gwiazdkowym hotelu sieci Grecotel. W ogólnie dostępnym miejscu w hotelu, postawiony był stacjonarny komputer dla gośći hotelowych. Źródłem internetu był postawiony na nim router, sam internet ledwo działał, więc sprowokowało mnie to do pogrzebania na dysku. Okazało się, że był to komputer, który wcześniej używał dział marketingu/ksiegowości. W profilu innego użytkownika znajdowało się masę dokumentów worda, excela, pdf, z zestawieniami, rezerwacjami, danymi klientów, prognozami sprzedaży i to całkiem świeżymi, wyglada że zaraz po rozpoczęciu sezonu, wstawiono czyjś dotychczas używany komputer:)

  49. Sieć Fitness także wymaga wszystkich danych karty. Zapisywane są na formularzu, do którego dostęp mają najprawdopodobniej wszyscy pracownicy (także recepcji). Czy redakcja, wykorzystując swoją “siłę przebicia”, mogła by wyjaśnić tę sprawę?

  50. Jatomi Fitness, nie wiem czemu “Jatomi” mi uciekło

  51. 13 w piątek hotel sieci nazwę pominę przy wystawianiu faktury wpisuje w swój system mój numer karty. Sprawa służbowa płatność kartą prywatną. NA mój sprzeciw młoda osoba w recepcji powiedziała, że mają taki program. Powiedziałem, że mnie to nie obchodzi bo to sprzeczne z prawem. Otrzymałem fakturę i pytam się czy to, że ją mam oznacza, że dokończyła “lustrację” mojej karty i wpisała cały numer. Usłyszałem tak…jakieś jaja. Zgłaszam to do GIODO.

  52. Na szczęście jestem z biedoty, która płaci z góry, bo wie, że przybędzie na miejsce. A skoro nie ryzykuje, to płaci szybkim przelewem i nie ma takich problemów. Fakt, że są hotele, które nie obsługują nic oprócz karty.
    Wolę szybki przelew niż potem monitorować wyciągi czy ktoś nie obrobił mi wyciekniętej karty.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: