Da esperienza personale legata al lavoro so che molti "motori di prenotazione" memorizzano le informazioni CVV per le carte di credito dei clienti dal momento in cui viene effettuata la prenotazione fino al momento in cui l'ospite lascia l'hotel. Per le persone che prenotano le loro stanze con un anno di anticipo, ciò significa che i loro dati CVV sono nel motore di prenotazione per un anno completo !
Ne sono consapevole perché i miei compiti mi impongono di interfacciarsi regolarmente con diversi fornitori di questo servizio, e questo mi consente di avere accesso a una moltitudine di codici CVC / CVV / CVV2 dei clienti. Ho osservato personalmente il comportamento delle applicazioni nel raccogliere il codice al momento della prenotazione e conservarlo fino al check-out.
Alcuni motori di prenotazione limitano il numero di volte in cui è possibile visualizzare le informazioni della carta di credito (credo che in particolare mi limiti a 5), ma le informazioni sono ancora passate al Channel Manager e al PMS - e lavoro con tutti e tre.
Naturalmente ci sono determinati gateway di pagamento che non richiedono il codice CVV per elaborare una transazione. Tuttavia, molti degli albergatori con cui lavoro hanno gateway di pagamento che lo fanno.
Sono preoccupato che la conservazione di questi dati per un così lungo periodo sia contro gli standard PCI-DSS, o altri requisiti legali o best practice del settore. Ho letto le risposte a una domanda qui sull'argomento (link sotto), ma il problema mi è ancora un po 'oscuro in merito a come questo si applica a servizi come Booking Engines.
Conservazione di CVC / CVV / CVV2 fino all'elaborazione del pagamento