Czy można zapisywać dane karty płatniczej klienta?

Serwis niebezpiecznik.pl opisał w ubiegłym miesiącu sytuację, w której jeden z polskich hoteli sieciowych żądał na karcie meldunkowej danych karty płatniczej. Nawet w przypadku płatności gotówką. Co więcej oprócz numeru karty na formularzu podane były pola z datą ważności i kodem CVC2/CVV2!

Sytuacja, gdy gość zabezpiecza przyszłe wydatki lub obciążenia, kartą płatniczą jest normalna. Niestety należy pamiętać, że kod CVC2/CVV2 jest jak PIN - jest osobistym kodem użytkownika i jak wyraźnie odpisał Niebezpiecznikowi Mastercard: "Kod CVC2 jest kodem osobistym, którego klient nie powinien nikomu udostępniać ani nigdzie zapisywać - podobnie z resztą jak ma się to z kodem PIN do karty. Reguły MasterCard zabraniają też agentom rozliczeniowym czy sklepom gromadzenie kodów CVC".

W dzisiejszej dobie, gdy zagrożenia wyłudzeniami z pomocą internetu i szeroko pojętych sieci teleinformatycznych rosną, każda zbędna lub wrażliwa informacja jest problemem. W opisanym przypadku chodziło o hotel sieciowy (nie poruszono wątku jak jest w innych obiektach - na szczęście dla sieci) i niestety powiodła się socjotechniczna próba uzyskania informacji na e-mail. Klient poprosił recepcję o skan swojej karty meldunkowej "dla szefa" i skan ten otrzymał... (wyjaśniając: typowe zabezpieczenie, że wysyłamy skan tylko na e-mail gościa jest niewystarczające z uwagi na możliwość zrobienia podobnego e-maila np. jan.kolwalsk@poland.authorem-corp.com i jan.kolwalsk@poland-authorem-corp.com lub po prostu z uwagi na możliwość włamania na skrzynkę klienta).

Wszystkich zainteresowanych zachęcamy do lektury: niebezpiecznik.pl

Pamiętajmy, że "cyberprzestępstwa" zdarzają się zwykle tam, gdzie następuje złamanie reguł bezpieczeństwa i zgromadzi się wystarczający zysk do zgarnięcia. Samo łamanie reguł bezpieczeństwa jest niemalże wpisane w reguły życia codziennego i nie jest możliwe do wyeliminowania przy większej rotacji personelu i dużym natężeniu pracy. Dziś większość ludzi wie, że nie należy zatrzymywać, ani nie wykonywać kopii dokumentów klienta - kilka lat temu powszechny proceder z zostawianiem np. dowodu przy okazji wypożyczania różnego rodzaju sprzętu, musiał zostać wyeliminowany m.in. z uwagi na firmy oferujące "pożyczki/raty na dowód w 15 minut".

Follow @turinfopl

Komentarze

Tagi:

karta płatnicza gościa klienta dane CVV CVV2 CVC

Komentarze:

Uważaj na dane katy gościa
[2016-03-11 11:32 77.252.178.*]
Ciekawe co ta sieć ma ujęte w procedurze gromadzenia i przechowywania danych osobowych gości, którą zgłosiła do GIODO (a ma taki obowiązek). Swoją drogą, hotelowi nie jest do niczego potrzebne CVC - do obciążenia gościa po wyjeździe za ew. nieopłacone usługi wystarczy tylko numer karty i data ważności. odpowiedz »
Uważaj na dane katy gościa
[2016-03-15 17:19 217.70.54.*]
chodzi o NOVOTEL? sięc Accor? odpowiedz »
- Uważaj na dane katy gościa
  [2016-03-16 07:56 37.47.109.*]
  Qubus dziubeczku... tak pisa lo na niebzepieczniku odpowiedz »
Uważaj na dane katy gościa
[2016-03-17 18:39 176.111.24.*]
Zrozumiałe jest przyjmowanie przez hotel zabezpieczenia na poczet ewentualnych szkód wyrządzonych przez Gościa, czy przyszłych zakupów. A zdarzają się różne przypadki. Najlepszym dla obu stron jest preautoryzacja na karcie do kwoty uzgodnionej. Po stwierdzeniu szkody, czy dokonanych zakupów strony ustalają należność i pobieramy należna kwotę. Nic nie zapisujemy, wszystkie dane karty są pod kontrolą systemu. Niektórzy klienci z pewnością oburzą się na taki wymóg ale czasem lepiej stracić klienta niż naprawiać zdewastowany sprzęt, czy napił się i wyszedł. Z pewnością każdy przypadek jest inny i wymaga innego podejścia do sytuacji. Ale wymyślić zapisanie danych z karty to decyzja bez wyobraźni.
H3* odpowiedz »