Veiligheid online gebruik kredietkaart

[artemis]

De oorsprong van mijn vraag ligt in het buitenland maar is ook helemaal van toepassing op België.

Ik ben net terug van een zalige en deugddoende rondreis in een EU-land.
Bij het uitchecken van het laatste hotel schetst de vriendelijke dame aan de receptie de beste weg naar de oprit van de autostrade. Ze doet dit op een stuk kladpapier dat ze ons meegeeft.

Bij nader inzicht blijkt het kladpapier te gaan over een afgeprinte fax van een boeking van de grootste boekingssite mij bekend, ook ik gebruik die heel regelmatig.
Op het halve A4 blad staat:
Een naam
Een Visakaartnummer doorgekrast in stylo maar goed leesbaar als je het blad tegen het licht houdt
Land van uitgifte van de cc
Expiry date van de cc
Telefoonnummer doorgekrast maar ook weer leesbaar
en ook de CVC code van de kaarthouder die normaal als extra veiligheid moet ingegeven worden

In feite beschik ik nu over gegevens waarmee ik perfect misbruik zou kunnen maken van de kaarthouder op dat stuk kladpapier, en door die CVC code!
De boekingssite vermeldt verder nog It is your obligation to safeguard this fax and keep this guest's credit card information secure in accordance with your internal security procedures.

Dus natuurlijk is dit hotel zwaar in de fout gegaan door enkel wat door te krabben op hun afgeprinte faxen van booking die ze als kladpapier gebruiken, maar wat mij eigenlijk het meest stoort is dat booking de CVC code van hun klanten gewoon mee doorfaxt naar elk verbonden hotel of accommodatie. Elke baliemedewerker bonafide of malafide krijgt die veiligheidscode dus in handen.

Ik dacht tot nu toe dat de CVC code bij elke online transactie waarbij ernaar gevraagd wordt geheim zou blijven en niet zou vrijgegeven worden aan derden (lees: in dit geval de hoteluitbaters zelf die sowieso een back-up hebben door de boekingssite)

Mag de boekingsite in dit land zomaar CVC code doorgeven?

[Sirkii]

De CVC code wordt alleen gebruikt bij kaartbetalingen waarbij je géén PIN-code of géén per SMS verstuurde authorisatiecode moet ingeven. Dus typisch toepassingen waarbij de kredietkaart gebruikt wordt als waarborg zoals bij hotelreserveringen.

Door de CVC code op te vragen "bewijs" je dat je de kredietkaart effectief bezit doch deze beveiliging is vrij broos omdat er ook volop naar gephisted wordt.

De hotelmedewerker maakte idd een professionele fout door die fax niet door de papierversnipperaar gedraaid te hebben doch de probabiliteit dat het je zou lukken om met die gegevens jezelf te verrijken zijn minimaal omdat PINloze betalingen met uitzondering van typische toepassingen kwasi niet meer voorkomen. PINloos betalen in webshops, winkels, etc komt dé-facto (bijna) niet meer voor.

De boekingssite moest die CVC code doorgeven om de baliebediende toe te laten de eerste nacht aan te rekenen indien je niet kwam opdagen.

[artemis]

Klopt Sirkii maar nu ken ik toch minstens één serieuze webshop waar je nog steeds enkel de CVC code en geen PIN moet ingeven om te betalen, dus dat systeem komt toch nog wel voor. Verder koop ik beperkt online.

Dat een hotel de eerste nacht mag aanrekenen bij een no-show is mij welbekend maar ik ging er altijd van uit dat ze dat dan via de boekingssite deden, ze betalen daar immers genoeg commissie voor. Nu stuurt de boekingssite de CVC codes van al hun klanten heel de wereld rond en moet je al die baliemedewerkers van hotels groot en klein wereldwijd maar vertrouwen.

Ik vroeg me dus af of de boekingssite dat zomaar mag? Het blijft ten slotte een code die volstaat om een aantal betalingen mee uit te voeren en malafide baliemedewerkers zullen wel weten waar.

[artemis]

Maw het is verre van een beveiligde transactie. It is not a secure booking.

[WP002]

Klopt Sirkii maar nu ken ik toch minstens één serieuze webshop waar je nog steeds enkel de CVC code en geen PIN moet ingeven om te betalen, dus dat systeem komt toch nog wel voor. Verder koop ik beperkt online.

Begint die met een A?

[artemis]

Nee met Zoo****