10 phút để hiểu mô hình Booking.com: Vì sao công ty giá trị giao dịch hơn 10 tỷ USD, 1,5 triệu phòng được đặt/ngày, ứng dụng AI lại để lộ thông tin thẻ VISA khách hàng?

Mới đây, Booking.com đã thừa nhận đã chuyển toàn bộ thông tin thẻ VISA cho khách sạn đối với vụ việc của khách hàng Hiền Vũ.

Ông Hiền Vũ đặt phòng ở một khách sạn tại Phú Quốc thông qua trang Agoda.com, nhưng Agoda.com đã chuyển thông tin qua Booking.com. Khi đến nhận phòng, ông Hiền thấy tờ giấy do nhân viên in ra, trong đó có toàn bộ thông tin thẻ tín dụng, gồm họ tên, số thẻ, số CVC, ngày hết hạn thẻ - tức toàn bộ thông tin đầy đủ để kẻ xấu có thể lợi dụng để sử dụng tiền trong thẻ.

Booking.com hoạt động theo mô hình nào? Tại sao công ty có giá trị giao dịch hơn 10 tỷ USD, 1,5 triệu phòng được đặt mỗi ngày lại không lựa chọn phương thức Token để gửi thông tin thẻ của khách hàng cho khách sạn? Tại sao Booking.com đã ứng dụng AI trong đặt phòng, hoạt động trơn tru ở Châu Âu lại "có vấn đề" ở Việt Nam?

Dưới đây là những phân tích của ông Nguyễn Văn Phong – Cofounder kiêm CEO Atadi – công ty đang đầu tư nền tảng phân phối phòng khách sạn trực tuyến, đối tác của Booking.com về câu chuyện này. Ông Phong từng gọi vốn trên Shark Tank Việt Nam tập 5. Cũng nhắm tới thị trường phân phối phòng khách sạn trực tuyến, ông đã dành nhiều năm nghiên cứu về mô hình hoạt động của loại hình kinh doanh này trên thế giới và tại Việt Nam.

Q: Booking.com hoạt động theo mô hình như thế nào? Nhóm đối tượng nào là khách hàng chính của Booking?

Agoda, Booking, các trang online xuất phát điểm đều giống như nhau, phục vụ đối tượng khách hàng có thẻ. Thường thì khi khách hàng book phòng, chọn ngày check in – check out và tiến hành thanh toán bằng cách nhập thẻ, ngay lập tức khách hàng sẽ bị trừ hạn mức.

Cuộc chiến giữa các OTAs (Online Travel Agency – Đơn vị lữ hành online) ngày càng khốc liệt, Booking buộc phải thay đổi mô hình kinh doanh nhằm tạo lợi thế cạnh tranh nhất định.

Cách đây khoảng 2-3 năm, Booking đưa ra một mô hình kinh doanh mới mà theo đó, khách hàng sẽ không bị trừ hạn mức tại thời điểm book, mà chỉ thực sự bị trừ hạn mức tại thời điểm check out.

Hãy tưởng tượng bạn book phòng mà 1 tháng nữa mới đi du lịch, đối với tập khách hàng chính của Booking, chính sách thanh toán tại thời điểm nghỉ đã tạo hiệu ứng tâm lý rất tốt.

Tập khách hàng chính của Booking đa phần là người Châu Âu và người nước ngoài. Chính sách delay thanh toán là lợi thế cạnh tranh khá lớn của Booking và Agoda trên thị trường chính. Tuy nhiên, khi sang Việt Nam, mô hình kinh doanh kiểu trả sau này lại trở nên cực rủi ro và phức tạp khi tỷ lệ hủy phòng khá cao.

Trên trang chủ của mình, Booking.com cho biết họ "xử lý hàng trăm ngàn giao dịch qua nền tảng bảo mật của mình mỗi ngày và luôn tìm cách đảm bảo thông tin cá nhân của bạn theo những tiêu chuẩn cao nhất".

"Trừ khi thanh toán được thực hiện trong quá trình đặt phòng trên trang web của Booking.com, chúng tôi sẽ chuyển chi tiết thẻ tín dụng của bạn tới chỗ nghỉ bạn đã đặt để họ xử lý (với điều kiện bạn đã cung cấp cho chúng tôi những chi tiết này trong quá trình đặt phòng)".

Q: Booking xử lý câu chuyện hủy phòng như thế nào?

Để hạn chế rủi ro đó, Booking đưa ra tiếp đặc tính nữa: Thanh toán phí hủy phòng. Tức thay vì charge full phí đặt phòng , Booking sẽ charge một con số nào đó, hoặc một tỷ lệ % phí đặt phòng phù hợp.

Câu chuyện thu phí đấy lại nảy sinh vấn đề tiếp theo: Ai là người thu phí? Quay trở lại ví dụ khách đặt phòng từ 1 tháng trước, nếu khách đặt rồi hủy trong 2 – 3 ngày sau khi đặt, Booking có thể kiểm soát được, nhưng sát ngày nghỉ khách mới hủy thì rất khó.

Booking sau đó quyết định trao quyền Charge phí hủy cho Khách sạn – đối tượng kiểm soát tốt nhất việc khách đến hay không đến. Đó là khó khăn lớn nhất của mô hình mới. Để cạnh tranh trực tiếp với các đối thủ y chang mô hình của mình, họ bắt buộc phải đưa ra những quyết định rất rủi ro như vậy.

Họ muốn khách sạn sẽ là người kiểm soát việc Charge khách hàng nếu khách hàng không có mặt. Tức 2:00 – 3:00 giờ sáng, thẻ của bạn trong túi, tự dưng bạn sẽ bị trừ 20 - 30% tiền phòng. Để khách sạn làm được việc này, họ cần có thông tin thẻ khách hàng.

Q: Booking chuyển thông tin thẻ khách hàng cho khách sạn bằng cách nào?

Để chuyển thông tin thẻ khách hàng cho khách sạn có 2 phương án:

1- Giao dịch theo Token: Tại thời điểm khách hàng book, thay vì lưu trữ toàn bộ thông tin thẻ, hệ thống sẽ mã hóa toàn bộ thông tin. Booking sẽ gửi chuỗi mã hóa đó sang cho khách sạn. Tại thời điểm khách không đến, khách sạn chỉ cần nhập chuỗi mã hóa đó gửi request trừ tiền. Cách này cực an toàn.

2 - Gửi nguyên toàn bộ thông tin thẻ đó qua khách sạn.

Q: Booking chọn cách thứ 1 – gửi bằng Token?

Không. Booking chọn cách thứ 2.

Với mô hình hiện tại của Booking hiện nay, chế độ hủy phòng rất linh hoạt: Có phòng cho miễn, có phòng 50%, có phòng 100%, có phòng tính phí hủy là 1 ngày, lại có kiểu hủy trước 3 ngày charge phí hủy là 1 ngày đêm đặt phòng nhưng báo hủy trước 7 ngày chỉ tính 50% phí hủy đó... Cực phức tạp!

Với mô hình linh hoạt như vậy, phương pháp Token an toàn nhưng trở nên cứng nhắc quá, không cho khách sạn một độ mềm dẻo nhất định trong việc charge phí hủy, nhằm tạo lợi thế cạnh tranh giữa các khách sạn với nhau.

Cuối cùng, Booking buộc phải lựa chọn phương án thứ 2 – gửi toàn bộ thông tin thẻ qua khách sạn, bao gồm họ tên khách hàng, số thẻ, số CVC, ngày hết hạn thẻ…

Với việc bảo mật thông tin, Booking tiến hành song song 2 biện pháp:

1) Trong hợp đồng với khách sạn phải có cam kết rõ ràng về việc không tiết lộ thông tin.

2) Biện pháp kỹ thuật: Chỉ cho phép nhân viên khách sạn thấy được thông tin đó 3 lần. Có nghĩa sau lần thứ 3 nhân viên khách sạn sẽ không nhìn được nữa.

Biện pháp "nhìn 3 lần" phù hợp với con người toàn cầu, khi mỗi cá nhân hiểu hậu quả để lộ thông tin thẻ nghiêm trọng như thế nào. Trong khi đó ở Việt Nam, nhân viên KS có thể lấy điện thoại chụp lại, hoặc ghi tạm ra giấy để hết 3 lần chưa làm xong thì có thể nhìn lần thứ 4, 5, 6, thậm chí lần 10.

Q: Vậy tại sao lại có bản in chi tiết thông tin thẻ của khách hàng Hiền Vũ trong khách sạn tại Phú Quốc sau khi đặt phòng trực tuyến?

Tôi là dân chuyên ngành nên tìm hiểu cả câu chuyện ở nước ngoài và Việt Nam, phát hiện ra rằng có 2 vấn đề:

- Về hợp đồng: Đối với người nước ngoài, hợp đồng không chỉ mang tính cam kết mà còn mang tính pháp lý về mặt hình sự. Trong hợp đồng đã ghi anh không được phép tiết lộ, nếu sau này bị điều tra ra anh là người tiết lộ dù cố ý hay vô tình, anh cũng phải chịu trách nhiệm về mặt hình sự. Với mindset như thế, tôi đánh giá mô hình kinh doanh của Booking hoàn toàn hợp lý.

- Thói quen tiêu dùng ở Việt Nam: Ở Việt Nam, bạn có thể mang thẻ đi ăn, sau đó đưa cho nhân viên quẹt – chuyện này KHÔNG BAO GIỜ có ở nước ngoài. Tất cả chủ thẻ và các thành tố trong nền kinh tế nước họ hiểu tầm nghiêm trọng đối với an ninh thẻ là như thế nào. Trong khi đó ở Việt Nam, một cô nhân viên phòng có thể rất dễ dàng chụp lại thông tin thẻ khách hàng, ghi lại ra giấy và coi chuyện đó rất bình thường.

Q: Tức vấn đề ở đây là con người, chứ không phải quy trình của Booking?

Đúng. Khi Booking đưa ra biện pháp kỹ thuật nhân viên khách sạn chỉ được nhìn 3 lần – điều này phù hợp với con người toàn cầu, khi mỗi cá nhân hiểu hậu quả để lộ thông tin thẻ nghiêm trọng như thế nào. Trong khi đó, ở Việt Nam, nhân viên khách sạn có thể lấy điện thoại chụp lại, hoặc ghi tạm ra giấy để hết 3 lần chưa làm xong thì có thể nhìn lần thứ 4, 5, 6, thậm chí lần 10.

"3 năm trước, khi làm Partner với Booking.con, tôi đã thấy mô hình kinh doanh của họ rất hay nhưng không phù hợp ở thị trường Việt Nam, vậy nên tôi đã xây một mô hình kinh doanh riêng là Atadi - vừa học tập được lợi thế của những người đi trước như Booking, Agoda, đồng thời phù hợp với khách hàng ở thị trường Việt Nam. Đấy là cái Atadi đã và đang làm rất tốt với mảng máy bay và sẽ áp dụng chuyển qua mảng khách sạn.

Quay trở lại câu chuyện của Booking, rất có thể chuyện này có bàn tay của đối thủ nhằm khai thác yếu điểm của mô hình kinh doanh đó ở thị trường Châu Á" – Cofounder kiêm CEO Atadi.