Đầu tiên, nếu bạn chưa biết thì Agoda và Booking.com là hai trong số những website đặt phòng khách sạn được ưa chuộng nhất trên thế giới. Mô hình này gọi là Online Travel Agency (OTA), tức đơn vị du lịch lữ hành trên mạng. Ngoài hai công ty này còn rất nhiều đơn vị khác cũng có mô hình kinh doanh tương tự, trong đó bạn sẽ chọn nơi đến, chọn khách sạn mong muốn, chọn phòng và họ sẽ tự liên hệ với khách sạn để giữ phòng cho bạn. Một số dịch vụ còn tính luôn cả phí trước khi bạn đến nơi.
Quay trở lại vấn đề của anh Hiền Vũ, vì sao anh đặt phòng ở Agoda mà giấy xác nhận phòng của anh lại do Booking.com gửi tới khách sạn? Liệu có sự rò rỉ thông tin nào ở đây không? Thật ra là không, vì Booking.com và Agoda đều là các công ty con trực thuộc công ty mẹ tên là Priceline Group. Ngoài Booking.com + Agoda, Priceline còn sở hữu thêm Kayak.com, Cheapflights, Rentalcars.com, Momondo, và OpenTable, đều là những web "có số má" và nổi tiếng trong giới kinh doanh du lịch trực tuyến.
Theo giải thích của nhân viên chăm sóc khách hàng của Agoda, Agoda và Booking.com chia sẻ với nhau các phòng trống của những khách sạn có trong hệ thống, nên thông tin về đặt phòng của anh Hiền được chia sẻ qua lại là có thể hiểu được. Việc này cũng không vi phạm gì vì họ đã đề cập nó trong những điều khoản sử dụng (mà ít bao giờ chúng ta đọc).
Giờ đến phần quan trọng: thẻ tín dụng (debit hoặc credit nói chung, mình dùng 1 chữ cho ngắn gọn nhé). Ở đa số các web đặt phòng online, bạn bắt buộc phải nhập thông tin thẻ vào ở khâu hoàn tất đặt phòng. Chính sách tính tiền thì tùy dịch vụ, tùy khách sạn, thậm chí tùy từng loại phòng mà bạn đặt. Một số trường hợp thường thấy đó là:
- Phòng cho đặt không cần thẻ tín dụng, không cần trả tiền trước, nghỉ xong ra làm thủ tục mới tính (post-paid): hồi trước nhiều, giờ khá hiếm, chủ yếu là những nhà nghỉ và khách sạn nhỏ
- Phòng cho đặt yêu cầu phải có thẻ tín dụng nhưng không cần trả tiền trước bất kì khoản nào: khá phổ biến
- Phòng cần thẻ tín dụng, giữ lại "tiền cọc" (deposit, hay còn gọi là on hold): khách sạn sẽ trừ tiền vào thẻ tín dụng của bạn một khoản tiền bằng đêm đầu tiên, hoặc bằng 50% tùy chính sách của khách sạn. Số tiền này chỉ được ngân hàng "đóng băng" lại để đó, nó đã bay khỏi tài khoản của bạn nhưng không vào tài khoản của khách sạn. Số tiền này sẽ được trả cho khách sạn trong trường hợp bạn đặt phòng nhưng không đến
- Phòng cần thẻ tín dụng, tính ngay tất cả mọi loại phí: khác với deposit là tiền của bạn sẽ được niêm phong, ở hình thức này khách sạn sẽ tính phí tất cả các đêm nghỉ của bạn luôn. Nếu bạn không đến nghỉ xem như mất trắng, hoặc thương thảo với khách sạn để họ gửi lại bạn một phần
Như bạn có thể thấy, trong số 4 cách thanh toán phổ biến ở trên, hết 3 cách cần thẻ. Đứng ở góc độ của người chủ khách sạn, điều này là hợp lý vì họ cần thông thẻ để tính tiền trong trường hợp khách không đến ở mà chẳng thèm báo trước, cũng như để tránh những vụ phá rối. Với các resort / khách sạn 4-5 sao, họ thậm chí còn tính luôn tiền của khách cho chắc ăn vì mỗi đêm nghỉ rất đắt tiền, họ không thể chấp nhận rủi ro mất vài triệu đến chục triệu đồng được.
Rồi, câu hỏi bây giờ đó là khách sạn sẽ thanh toán thẻ của bạn như thế nào? Ngoại trừ các trường hợp mà Agoda tự tính tiền rồi xử lý sau với khách sạn, trong nhiều tình huống, Agoda sẽ gửi thông tin thẻ của bạn đến nơi nghỉ để nhân viên khách sạn tự thực hiện deposit hoặc thanh toán. Thông tin được gửi bao gồm số thẻ, tên in trên thẻ và mã bảo mật CVV đến khách sạn.
Hình crop lại từ Facebook của bạn Hiền Vũ
Nói cách khác, thông tin của bạn sẽ được in ra tờ giấy hoặc lưu trong email hay trong một hệ thống nội bộ nào đó mà Adoga, Booking và các đơn vị OTA thường sử dụng để liên lạc với khách sạn. Những dữ liệu nói trên sẽ được phơi bày đầy đủ và không mã hóa, vì mã hóa thì làm sao mắt người đọc được mà thực hiện thanh toán. Các hãng có nói là khi gửi thông tin thì họ dùng SSL để mã hóa, nhưng nó chỉ dùng khi gửi mà thôi, còn tới lúc hiển thị lên hay in ra cho bạn đọc thì bảo mật đằng trời với mắt người.
Rủi ro ở đây là thông tin thẻ của bạn ngoài dùng tính tiền khách sạn thì có bị lợi dụng làm chuyện xấu khác hay không? Ví dụ, nhân viên tiếp tân "nhám tay", họ chép hoặc chụp lại thông tin của bạn, sau đó về lén mua đồ online, lén nạp tiền điện thoại trên mạng v.v thì sao? Tên, số thẻ và CVV là đủ để thực hiện một giao dịch rồi. Rồi giả sử nhân viên không "nhám tay", nhưng vì lý do nào đó mà hồ sơ nghỉ của bạn bị lộ ra ngoài, người nào đấy không thuộc khách sạn sử dụng trái phép thì ai sẽ là người chịu trách nhiệm?
Ờ thì đúng là khách sạn, Agoda và Booking.com có cam kết "không dùng trái phép thẻ" hay "đảm bảo bảo mật thông tin rồi", nhưng đời khó tránh khỏi những tình huống như thế này và cũng không thể biết hết mọi người xấu được. Khi bạn bị trừ tiền rồi thì những đơn vị này không giúp được nhiều, bạn phải tự làm việc với ngân hàng. Rồi bạn cũng lấy lại được tiền thôi, nhưng rất phiền và mất thời gian. Mình từng bị mất tiền do ai đó lén xài thẻ, phải 1-2 tháng mới thu hồi lại được.
Tóm lại, câu chuyện của bạn Hiền Vũ nghiêm trọng nhất là khâu các đơn vị OTA cung cấp thẳng thông tin thẻ của khách hàng cho khách sạn / resort, dẫn tới rủi ro bị lén sử dụng thẻ mà không có sự đồng ý của bạn (trừ việc trả tiền phòng). Một giải pháp tạm thời đó là bạn có thể không sử dụng các dịch vụ này mà tự liên hệ với khách sạn để đặt phòng, nhưng khí đó hoặc bạn phải chuyển khoản thủ công cho nơi nghỉ, hoặc bạn vẫn phải cung cấp thẻ để họ tính tiền. Còn anh em thì sao?