Платежные системы

Лишнего не спросит

С нового года популярный сайт Booking.com перестал в большинстве случаев запрашивать у своих клиентов CVC-код и передавать его в отели для оформления брони.

Как стало известно порталу Банки.ру, с нового года популярный сайт Booking.com перестал в большинстве случаев запрашивать у своих клиентов CVC-код и передавать его в отели для оформления брони. Скорее всего, к этому компанию подтолкнуло недовольство ее пользователей, с августа активно жалующихся на небезопасное хранение реквизитов их карт в отелях и попытки несанкционированных списаний средств после оплаты услуг на Booking.com.

Еще в августе прошлого года на обсуждение широкой общественности был вынесен тот факт, что Booking.com передает в отель для бронирования номера данные по кредиткам по факсу и что получить эти данные сторонним лицам совсем не сложно. В частности, в СМИ ярко освещалась история о пользователе Facebook Романе Мамонове, который опубликовал на своей странице в соцсети скан факса, полученного его знакомым из турецкого отеля The Marions Suite.

Дело в том, что знакомый хотел проверить свою бронь в отеле. В качестве подтверждения брони из отеля пришел факс, который среди прочего содержал все данные карточки, которые знакомый ввел на Booking.com.

«Всем! Всем! Всем, кто пользуется Booking.com: если у вас вдруг вычистят кредитку, не удивляйтесь, — писал Роман Мамонов. — Мы тут случайно узнали, что сей прекрасный сайт пересылает гостиницам форму, в которой указаны все данные карты: ВСЕ 16 цифр, срок действия и, главное, CVC-код. И если эта бумажка попадет в руки воришке — плакали ваши денежки. В нашем случае пришлось заблокировать карту».

 Особую популярность приобрел пост в Facebook уже другого человека — девушки Екатерины Рубцовой. Она рассказала, что, отдыхая недавно в Испании с мужем, заприметила в отеле сотрудника на ресепшен, который «бегал с бумажкой — распечаткой нашей брони, на которой был номер карты и CVC». «Куда он дел эту бумажку потом, никому не известно, но любой дворник, нашедший эту бумажку, мог легко понять, что к чему, — обращает внимание девушка. — Муж после поездки сразу перевыпустил карту, а я над ним подтрунивала, что у него мания преследования. Но сейчас, спустя полгода, ему позвонили из банка и сказали, что по этой, уже закрытой карте, проходят операции в интернете».

В ЮниКредит Банке, картой которого расплачивался муж Екатерины, отметили, что в подобных случаях кредитная организация предлагает незамедлительный бесплатный перевыпуск карты и инициирует претензионную работу с целью возврата денежных средств держателю. «Мы рекомендуем держателям карт аккуратно и своевременно проверять выписки по своим картам, а в случае несогласия с операциями подавать заявление в банк, — заявили в пресс-службе. — Кроме того, при выборе банка-эмитента лучше отдавать предпочтение тем банкам, которые сертифицированы и поддерживают 3D-Secure-верификацию для интернет-операций. Но в любом случае следует помнить, что банковская карта как продукт несет в себе определенные риски, поэтому полностью исключить возникновение подобных ситуаций крайне сложно».

Я не я, и карта не моя

Обращение в Booking.com ничего не дало — Екатерине лишь напомнили, что, бронируя номер в отеле, ее муж соглашался с условиями компании, пятый пункт которых гласит: «Для гарантии вашего бронирования отель требует предоставить информацию о кредитной карте, поэтому все сведения о ней будут посланы непосредственно в забронированный вами отель. В случае если ваша кредитная карта была использована третьими сторонами незаконно или не по назначению, большинство банков и компаний, выдавших кредитные карты, берут на себя покрытие и оплату всех убытков, вызванных данным незаконным использованием кредитной карты (иногда за вычетом 50 евро или эквивалента в местной валюте). Если ваш банк или компания, выдавшая кредитную карту, удержит данную сумму вследствие незаконного использования кредитной карты, произошедшего в результате бронирования на нашем веб-сайте, мы выплатим вам удержанную сумму в размере до 50 евро (или эквивалент в вашей местной валюте)».

Кроме того, представители Booking.com не забыли упомянуть, что компания не несет ответственности за противозаконные действия работников отелей, представляемых на сайте, так как они не являются работниками компании Booking.com. «При наличии конкретных доказательств на неправомерные действия с кредитными картами со стороны отеля просим вас обращаться в конкретный отель с претензией», — так закончили письмо в Booking.com.

Между тем о попытках несанкционированных списаний по картам после «засвечивания» их на данном ресурсе сообщили Банки.ру еще несколько человек. Александра планировала и оплачивала свой отпуск в Дубае через Booking.com в декабре. Через несколько дней после оплаты с ее карты были попытки провести нескольких неавторизованных списаний. Спасло девушку то, что денег на карте на тот момент не было.

«Сама работаю в гостинице и сейчас специально подняла старые и новые листы брони от booking.com. И точно — в старых листах, присланных до нового года, указаны абсолютно все реквизиты пластиковых карточек! — делится Юлия. — Бери и пользуйся! Но вот в листах, пришедших в этом месяце, уже остались только номер карты и фамилия владельца! Так что они все-таки выводы сделали… Но сам факт….»

Как оказалось, Booking.com действительно пересмотрел свою политику в части запрашивания и пересылки CVC-кодав 2013 году. Так, в службе поддержки компании обозревателю Банки.ру заявили: «Мы больше не передаем через нашу систему CVC-коды. 95% отелей не запрашивают эту информацию через нашу систему, это связано с вопросами безопасности. Большинство отелей сообщили нам, что им не нужен этот код для проведения трансакции. Мы потихоньку переходим к тому, чтобы ни в один отель не передавать CVC-код».

Ошибочная неосмотрительность

Руководитель экспертной группы банковских технологий СБ Банка Максим Волков указывает, что платежные системы категорически запрещают хранить вместе номер карты и CVC-код, а также другие данные карты. «По Интернету CVC -код передавать можно, но он не может фиксироваться в памяти компьютера дольше, чем это необходимо для совершения операции по карте, тем более — храниться на бумаге, — обращает внимание эксперт. — Если карта из-за несоблюдения этих правил будет скомпрометирована, вина будет главным образом лежать на Booking.com. Эта компания, если является мерчантом (поставщиком услуг), обязана обеспечить соответствие требованиям PCI DSS, которые, в частности, запрещают вышеупомянутые мной вещи. Отель, участвуя в таком процессе, так же допускает нарушения правил платежных систем. Но так как отель точно является мерчантом, то дальше следует вина банка-эквайера, у которого он обслуживается. Банк обязан проконтролировать соответствие рабочих процедур мерчанта требованиям правил платежных систем и потребовать навести порядок, если найдет нарушения».

Как предполагает Волков, при сотрудничестве Booking.com с отелями первый предоставлял им полные данные по карточкам своих клиентов, чтобы отели могли списать с их счетов задаток за бронь номеров. «Можно предположить, что в схеме «Booking.com плюс отель» проводились голосовые авторизации карты в тех случаях, когда по факту требуется физическое присутствие карты, — говорит банкир. — По сути, имея все данные о карте, сотрудник отеля может списать нужную для оплаты сумму в любой момент — и до приезда клиента, и во время, и даже после. Тут сразу возникает опасность, что в отеле обнаружатся недобросовестные сотрудники. Данные, предоставляемые Booking. com отелям, достаточны для того, чтобы без труда расплачиваться в AppStore и Skype, не говоря уже об интернет-казино и прочих, менее разборчивых продавцах. Для этого во многих случаях даже имени держателя карты не нужно знать. Особо прагматичные сотрудники отеля могут продать карточные данные мошенникам, и тут уже суммы снятий с карточного счета могут быть большие».

Волков советует всем, кто видел данные своей карты в отеле на факсе от Booking.com, сначала заменить карту в своем банке-эмитенте на другую, с другим номером. «Люди, которые видели распечатки собственных карточных данных в отеле, вправе требовать от Booking.com как минимум определенную сумму моральной компенсации, ведь они не были в курсе, что информация о них передается в полном объеме третьим лицам, — комментирует эксперт. — В качестве доказательства необходимо потребовать у сотрудника отеля, чтобы он предоставил вам официальную копию факса с пересланными карточными данными и объяснительную записку о том, от кого и когда он получил эти данные. С этими документами можно направляться в суд».

А старший вице-президент по развитию банковских продуктов и маркетингу банка «Ренессанс Кредит» Денис Власов советует открыть специальную отдельную карту для оплаты товаров и услуг через Интернет и держать на ней строго ту сумму, которая понадобится в ближайшее время. Зарплатную же карту, по мнению банкира, лучше вообще не использовать для интернет-трансакций. 

Также банкиры настоятельно рекомендуют выбирать карты, по которым клиент может самостоятельно черезинтернет-банк или оператора колл-центра установить дневной лимит на сумму трансакций. В некоторых банках также доступна блокировка операций по карте в определенной стране. 

Начать дискуссию