Creditcard fraude

[roelb]

Als het een prepaid boeking is, waarbij Expedia de betaling heeft afgewikkeld, dan heeft het hotel inderdaad niet de kaartgegevens en kan die ook niet inzien (immers, Expedia handelt de betaling af, dus er is geen noodzaak om de gegevens ook nog aan het hotel te geven).

Nu wil het hotel garantie voor extra diensten. Dat snap ik aan de ene kant, maar ze vragen dus te veel en op een verkeerde manier. En je kunt je ook afvragen of je als hotel dit soort garanties wel moet vragen. Hoop gedoe om niets. De kamer is immers al betaalt, dus die klant komt sowieso en je kunt het dan ook afhandelen bij aankomst.

[Njit]

Hotel is al compleet betaald via Expedia. Dit ging om een extra dienst. De extra dienst blijkt achteraf toch niet nodig te zijn dus er is verder geen probleem. Maar apart is het wel, zeker omdat dit hotel onderdeel is van een grote keten.

Betaling aan Expedia loopt overigens via een Virtuele bedrijfs-creditcard die slechts voor het afgesproken bedrag te belasten is. Dus extra's kunnen niet op dezelfde manier belast worden. Stukje ingebouwde veiligheid.

[Gast]

Aha, daar zit de crux in deze case waarschijnlijk.
Ze willen een garantie dat een kaart belast kan worden voor deze extra kosten, en de kaart waarmee jij via expedia boekt kan niet extra belast worden.

Dat werpt wel een ander licht op deze zaak. Immers, als jij incheckt in een hotel parafeer jij ook dat overtredingen (bv rook verbod, geen pets op de kamer etc.) kunnen worden geïncasseerd als het hotel nadat jij uitgecheckt bent nog deze dingen geconstateerd heeft.

Een auto verhuurbedrijf accepteert ook geen gesloten betaling (tenzij er een borg som is betaald) omdat zo eventuele boetes/in rekening gebrachte tol etc. achteraf te kunnen verhalen.

In deze case van @Njit vind ik het terecht dat het hotel om deze extra zaken vraagt...al kun je discussiëren over de manier waarop ze het vragen. Ze vragen imho hier in dit specifieke geval gewoon om een borgstelling, niets mis mee. Het hotel vraagt hier ook om een stukje ingebouwde veiligheid...

[Njit]

@Terpies : de meeste hotels vragen deze garantie gewoon ter plaatse, niet vooraf. En dan is het ook geen probleem, de klant geeft gewoon zijn creditcard af voor incidentals. Bij een prepaid autohuur wordt ook gewoon ter plaatse je creditcard belast voor de borg.

[Gast]

Jij vraagt om een extra dienst op basis van een cc die niet belast kan worden, terwijl de kamer wel geauthoriseerd wordt via je cc.

Ik zou ook extra borg vragen als ik hotel eigenaar was. maar in jouw geval kan dat dus niet met die cc, dus ze willen garantie dat jij betaalt.

[Gast]

Bij een prepaid autohuur wordt ook gewoon ter plaatse je creditcard belast voor de borg.

Dit is dus juist het punt...jij zegt dat de door jou gebruikte CC alleen goed is voor het afgesproken bedrag.
Dat zou dus in dit geval betekenen bedrag X ter hoogte van de autohuur, maar niet voor de extra borgstelling bedrag Y. De autohuurder wil ook garantie voor bedrag Y en dat is wat het hotel in dit geval ook vraagt.

Overigens voor mij ook een reden om geen prepaid autohuur te boeken....

[Njit]

@@Terpies : de meeste hotels belasten de klant toch echt ter plaatse voor dit soort extra's. Maar goed, deze discussie staat volgens mij los van de manier waarop ze om deze garantie vragen...

[Gast]

eens, de manier waarop ze het vragen zou voor mij reden zijn om een ander hotel te kiezen.

[SpaceAce]

In deze case van @ Njit vind ik het terecht dat het hotel om deze extra zaken vraagt...al kun je discussiëren over de manier waarop ze het vragen. Ze vragen imho hier in dit specifieke geval gewoon om een borgstelling, niets mis mee. Het hotel vraagt hier ook om een stukje ingebouwde veiligheid...

Toch raar dat de extra's (het gaat om het plaatsen van een extra bed) bij alle andere hotels die ik geboekt heb, wél gewoon ter plaatse met de CC van de klant betaald kan worden.

[Gast]

Daarom zei ik al: ander hotel boeken....ik zou de gegevens op deze manier niet willen verstrekken.

[Marcopstal]

Ik had het twee jaar gelden voor dat het bedrag plots substantieel hoger was in een restaurant. De tip bleek bijna zoveel als de maaltijd geworden. Nu kon het nog altijd te wijten zijn aan een vergissing. In ieder geval heb ik klacht ingediend. Ik had enkel mijn dubbeltje waarop de tip nog niet vermeld was, maar dat bleek voldoende aangezien het percentage van de tip onlogisch hoog zou zijn geweest. Netjes bedrag teruggekregen.

[Big Al]

Op de CVC2 na voldoet dit. Een imprint is geen kopie, omdat bij een imprint alleen de verhoogte letters en cijfers worden gekopieerd. Maar dan vragen ze daaronder wel weer om de CVC2, tja, degene die dit verzon heeft het niet begrepen.

Dit is toch echt een overtreding van de PCI-DSS, en niet alleen vanwege de CVV-code.

Q2: To whom does the PCI DSS apply?
A: The PCI DSS applies to ANY organization, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data.

Q15: What are the penalties for non-compliance?
A: The payment brands may, at their discretion, fine an acquiring bank $5,000 to $100,000 per month for PCI compliance violations. The banks will most likely pass this fine along until it eventually hits the merchant. Furthermore, the bank will also most likely either terminate your relationship or increase transaction fees. Penalties are not openly discussed nor widely publicized, but they can be catastrophic to a small business. It is important to be familiar with your merchant account agreement, which should outline your exposure.

Een selectie punten van de PCI-DSS (versie 3.2.1, mei 2018):

3.2 Do not store sensitive authentication
data after authorization (even if encrypted).
If sensitive authentication data is received,
render all data unrecoverable upon
completion of the authorization process.

3.2.2 Do not store the card verification
code or value (three-digit or four-digit
number printed on the front or back of a
payment card used to verify card-notpresent transactions) after authorization.

3.3 Mask PAN when displayed (the first six
and last four digits are the maximum
number of digits to be displayed), such that
only personnel with a legitimate business
need can see more than the first six/last
four digits of the PAN.

3.4 Render PAN unreadable anywhere it is
stored

4.1 Use strong cryptography and security
protocols to safeguard sensitive cardholder
data during transmission over open, public
networks

4.2 Never send unprotected PANs by enduser messaging technologies (for example, email, instant messaging, SMS, chat, etc.).

4.3 Ensure that security policies and
operational procedures for encrypting
transmissions of cardholder data are
documented, in use, and known to all
affected parties.

7.1 Limit access to system
components and cardholder data to
only those individuals whose job
requires such access.