"Korzystam z serwisów rezerwacyjnych za każdym razem jak wyjeżdżam i nigdy nie zastanawiałem się, jak są w nich chronione dane mojej karty płatniczej" – pisze pan Krzysztof, urzędnik z Warszawy. Nie on jeden nie ma pojęcia jak chronione są nasze dane przez portale rezerwacyjne. A często jest tak, że zabezpieczenia są mizerne i każdy z obsługi hotelu może zobaczyć nasz numer karty. Czytaj – opróżnić nam konto przy pierwszej lepszej okazji.
W sieci od kilku miesięcy wałkowany jest temat związany z RODO, czyli rozporządzeniem Unii Europejskiej dotyczącym ochrony danych osobowych w krajach członkowskich. Nowe prawo stawia na głowie wiele przepisów, ale mało kto zastanawia się jak to prawo wykonywane jest teraz. Weźmy na przykład takie portale rezerwacyjne jak Booking.com. Wielu z nas korzysta, ale niewielu zastanowiło się nad tym, jak wygląda tam ochrona naszych danych. I nie chodzi tutaj o imię czy nazwisko, bo to już dawno zostało sprzedane przez waszą firmę / administratora poczty internetowej itd. Dlatego wydzwaniają do was miłe panie zachęcając do udziału w pokazie garnków czy pościeli.
Chodzi tutaj o dane kart płatniczych lub kredytowych, gdy podczas rezerwacji hotelu nie płacimy bezpośrednio przez serwis, tylko zostawiamy swoje dane, żeby potem zapłacić bezpośrednio w hotelu. Sprawdził to jeden z internautów, który w sieci zamieścił post.
"Korzystam z Booking już od kilku lat i zrobiłem kilkadziesiąt rezerwacji, aż do ostatniego wyjazdu" – zaczyna swój wpis internauta. "Po rezerwacji pokoju musiałem podać numer karty i kod CVC w systemie Booking. Myślałem, że zostaje to w systemie i oprócz informatyków nikt nie ma do tego wglądu, ale w hotelu poprosiłem kobietę, żeby pokazała mi jak autoryzuje moją kartę i blokuje płatność" – pisze.
Okazało się, że pracowniczka hotelu weszła na portal i zalogowała się na konto hotelu (mając zapisany login i hasło w przeglądarce), a potem otworzyła rezerwację.
"De facto każdy kto chce może sobie tam wejść, a tam jak wół moje imię i nazwisko, numer karty, data jej ważności, kod CVC, czyli wszystko co potrzebne, żeby zwolnić się z pracy i wyczyścić mi konto w jakimś odległym, azjatyckim kraju" – kwituje to internauta.
Przeważnie nie wiemy kto i gdzie ma dostęp do naszych danych, dlatego nie dziwi reakcja tych, którzy z Booking korzystają regularnie. – Korzystam z serwisów rezerwacyjnych za każdym razem jak wyjeżdżam i nigdy nie zastanawiałem się, jak są w nich chronione dane mojej karty płatniczej, dlatego opowieść tego człowieka zdecydowanie odstraszyła mnie od takiego sposobu rezerwacji. Lepiej robić to przez Booking, żeby nikt nie miał dostępu do moich danych – komentuje sprawę opisaną przez internautę pan Krzysztof, urzędnik z Warszawy.
Dokładamy wszelkich starań
A co sądzi o sprawie samo źródło? Skontaktowaliśmy się z brytyjską siedzibą serwisu Booking i opisaliśmy sytuację ich klienta. W odpowiedzi dostaliśmy regułkę, w której serwis zapewnia, że odpowiednio chroni dane osobowe swoich klientów i odbija piłeczkę w stronę hoteli.
"Booking.com bardzo poważnie podchodzi do kwestii bezpieczeństwa i prywatności danych klientów. Obsługujemy wszystkie dane klientów zgodnie z najwyższymi standardami technicznymi, dzięki czemu nasi partnerzy otrzymują dane potrzebne do prowadzenia działalności w bezpieczny i niezawodny sposób.
Rezerwacja bezpiecznie przenosi informacje o kartach kredytowych do nieruchomości za pośrednictwem chronionej hasłem platformy, która wdraża silne uwierzytelnianie dwuskładnikowe, i to jest zadaniem hoteli, aby zapewnić przestrzeganie wysokich standardów bezpieczeństwa w celu ochrony informacji.
Wszyscy partnerzy Booking.com zgadzają się również na zasady, które wymagają, aby współpracujące z nami nieruchomości stosowały się do określonych procedur przetwarzania danych, aby chronić klientów, a jednocześnie skutecznie zarządzać firmą w odpowiedzialny sposób. W rzadkich przypadkach, gdy zdajemy sobie sprawę z niewłaściwego zachowania partnerów, natychmiast sprawdzamy to" – odpisała naTemat Lauren Cooper, rzeczniczka Booking na Europę.
Problemy są dwa
Zdaniem doktora inżyniera Marcina Niemca z Katedry Teleinformatyki Akademii Górniczo-Hutniczej w Krakowie, w sprawie, którą przytoczył internauta, są opisane dwa problemy.
– Po pierwsze chodzi o kwestie bezpieczeństwa pracownika hotelu i brak odpowiednich procedur bezpieczeństwa, które mówiłyby o tym, żeby nie zapisywać haseł w przeglądarce, lub o tym, że logować można się tylko ze swojego konta pracowniczego. Po drugie chodzi o kwestię przechowywania danych i ich ochrony przez Booking – wymienia Niemiec.
Nasz rozmówca twierdzi, że o ile rozwiązanie w hotelu jest proste, bo wystarczy zastosować odpowiednie zasady ochrony danych, o tyle z Bookingiem jest już trudniej.
Banki też nie pochwalają
Technicznie mamy rozwiązanie. Pozostaje jednak zaufanie w solidność i rzetelność pracowników hoteli. Bankowcy zalecają w tym przypadku zachowanie rozsądku i zasady ograniczonego zaufania.
– Jak mantrę ciągle powtarzamy, żeby nie podawać nigdzie, a przynajmniej tam gdzie tego nie potrzeba, danych swoich kart płatniczych i kredytowych. Jeżeli możemy, na przykład w tym wypadku, zapłacić wcześniej, zróbmy to, żeby uniknąć kłopotów. Musimy w tych kwestiach zachowywać zasadę ograniczonego zaufania – podsumowuje jeden z pracowników polskiego banku zajmujący się obsługą kart, który prosił nas o zachowanie anonimowości.
Oczywiście to wymagałoby przemyślenia całego systemu bezpieczeństwa, ale mógłby tutaj zostać zastosowany pewnego rodzaju kod weryfikacyjny. Booking weryfikowałby dane płatnika, czyli ten numer karty oraz kod CVC, w banku i generował specjalny kod, który byłby dostępny przy rezerwacji i był wysyłany do hotelu. Autoryzacja, czy to jest osoba, która zarezerwowała pokój w hotelu i ją na to stać, odbywałaby sie właśnie za pośrednictwem tego kodu.