تأسست في عام 2006 ، PCI تعني معيار أمان بيانات صناعة بطاقات الدفع ، والذي يحتوي على إرشادات لقبول معلومات بطاقة الائتمان وتخزينها ومعالجتها. تكون المؤسسة متوافقة مع PCI عندما تتبع هذه اللوائح. تم وضع PCI لحماية البيانات الحساسة للمستهلكين ، ونتيجة لذلك ، يجب على كل تاجر يستخدم معلومات بطاقة الائتمان اتباع هذه القواعد ، من الشركات الصغيرة إلى الشركات الكبيرة.

تتضمن أمثلة هذه الإرشادات استخدام صفحة دفع / سداد عبر الإنترنت يتحكم فيها موفر خدمة خارجي مرخص ، وتخزين بيانات بطاقة الائتمان عبر موفر "خزنة" تابع لجهة خارجية بدلاً من نظامك الخاص ، وإخفاء رقم بطاقة الائتمان الكامل على الإيصالات ، مع إظهار آخر 4 أرقام فقط بدلاً من ذلك.

في صناعة تعالج معاملات بمليارات الدولارات يوميًا ، من المنطقي أن تكون الفنادق أهدافًا جذابة للقراصنة. علاوة على ذلك ، يستخدم فندق نموذجي العديد من أنظمة الدفع والإدارة المختلفة التي يمكن للعديد من الموظفين الوصول إليها ، مما يزيد من احتمالية حدوث خرق. لا يريد أي صاحب فندق أن يتكبد خسارة الأموال والثقة المصاحبة لهجوم إلكتروني.

لهذه الأسباب ، من الأهمية بمكان أن يحافظ كل صاحب فندق على امتثال PCI ليس فقط في مكتب الاستقبال ، ولكن في جميع الأنظمة التي تصل إلى بيانات الضيف أو تستخدمها. تتضمن بعض القواعد الأساسية استخدام موفري POS و PMS المتوافقين مع PCI ، وتخزين البيانات الرقمية والورقية بشكل آمن ، وتقييد الوصول إلى البيانات الحساسة للموظفين الذين يحتاجون إليها حقًا. يتوفر التدريب على الامتثال لـ PCI بسهولة عبر الإنترنت ، ويطلب العديد من أصحاب الفنادق من الموظفين الجدد حضور دورة امتثال PCI قبل التعامل مع معلومات الدفع الخاصة بالضيف. إن أخذ الوقت الكافي للالتزام بإرشادات PCI الآن يمكن أن يمنع الانتهاكات الأمنية المكلفة لاحقًا.

"كان الهجوم على ماريوت مؤسفًا ولا يزال هناك العديد من الثغرات لملء ما حدث بالفعل. نقطة الدخول الشائعة للخصوم هي من خلال انتحال البريد الإلكتروني. يستخدم هذا التكتيك في التصيد الاحتيالي من أجل الحصول على برامج ضارة على شبكة مستهدفة ثم التحرك بشكل أفقي عبر جميع الأنظمة ، " Ryan Cornateanu ، Application Security Engineer @ CrowdStrike.

مع حدوث المزيد والمزيد من المعاملات عبر الإنترنت ، ومع تطور تكنولوجيا الدفع ، احتاجت لوائح PCI-DSS الموضحة في عام 2006 إلى بعض التحديث. في سبتمبر 2019 ، دخل توجيه خدمات الدفع 2 (PSD2) حيز التنفيذ وطبق أي أعمال يمكن أن تتفاعل مع العملاء الأوروبيين. حتى الشركات التي لديها القليل من الأعمال التجارية الدولية يجب أن تظل ملتزمة ، لأن مثل هذه اللوائح غالبًا ما تنعكس في الولايات المتحدة ودول أخرى بعد فترة وجيزة.

هنا في Hotel Tech Report ، نستخدم Stripe لمعالجة المدفوعات وحتى مع هذا المزود من الدرجة الأولى ، كان علينا إعادة اختراع البنية التحتية للمدفوعات بالكامل للامتثال لهذه اللائحة وبعض تعقيداتها حول مصادقة الدفع.

تتضمن PSD2 إرشادات محسّنة للمدفوعات عبر الإنترنت ومعالجة البيانات الحساسة لتقليل مخاطر سرقة الائتمان والاحتيال والانتهاكات الأمنية. أحد التغييرات الرئيسية هو شرط المصادقة القوية للعملاء (SCA) للمعاملات عبر الإنترنت. مع SCA ، بدلاً من مجرد كتابة رقم بطاقة الائتمان والنقر على "دفع" ، سيحتاج المستهلكون إلى توفير طبقة ثانية من المصادقة ، والتي يمكن أن تكون رمز PIN أو رمز التحقق عبر الرسائل القصيرة ، قبل أن تتم عملية الدفع.

يحجز الضيوف ما يقرب من ثلاثة أرباع حجوزات الفنادق عبر الإنترنت ، لذلك من المحتمل أن تؤثر PSD2 على كل صاحب فندق حيث تصبح المصادقة القوية للعملاء (SCA) شرطًا لمعالجة الدفع. يجب على أصحاب الفنادق طرح الأسئلة التالية لتحديد ما إذا كانت التغييرات ضرورية:

• هل يحتوي موقع فندقي على الويب على نظام دفع يسمح لـ SCA ، مثل رموز التحقق من الرسائل النصية أو البيانات البيومترية (مثل Face ID على iPhone)؟

• هل تتطلب OTAs التي أعمل معها SCA عند قبول الدفع من الضيوف؟

• هل يتلقى فندقي أرقام بطاقات ائتمان افتراضية من وكالات السفر عبر الإنترنت؟ إذا كان الأمر كذلك ، لا يمكن لبطاقات الائتمان الافتراضية تلبية متطلبات SCA ، لذلك قد تحتاج مدفوعات OTA إلى التحويل إلى التحويلات المصرفية.

• هل يقوم موظفو مكتب الاستقبال أو المدقق الليلي بمعالجة المدفوعات في وقت ما بين الحجز والوصول؟ على سبيل المثال ، إذا كان 50٪ من دفعة الحجز مستحقة الدفع في وقت الحجز ونسبة الـ 50٪ المتبقية مستحقة قبل 7 أيام من الوصول. يمكن للضيوف إكمال SCA عند قيامهم بالحجز ، ولكن ليس مقابل الرسوم التي بدأها الفندق في وقت مختلف.

• هل يتم معالجة أي رسوم بعد تسجيل المغادرة ، مثل شواحن الثلاجة الصغيرة؟ لمنع أي عوائق في الدفع بعد تسجيل المغادرة ، قم بخصم تفويض على بطاقة الضيف بالمبلغ العرضي الكامل واطلب من الضيف تقديم مصادقة ثنائية شخصيًا ، مثل الشريحة والرقم السري ، عندما يسجل الضيف الوصول.

الوجبات الرئيسية هنا هي أن المعاملات التي بدأها الفندق في وقت لا يكون فيه الضيف موجودًا لن تتوافق مع متطلبات PSD2. يجب أن يكون الضيوف قادرين على إكمال خطوة التحقق ذات العاملين لكل دفعة ، على سبيل المثال عند حجز الحجز أو عند تسجيل المغادرة ، لذلك قد يحتاج أصحاب الفنادق إلى تعديل عمليات الدفع الخاصة بهم إذا حدثت المدفوعات خارج هذه الأوقات. في خضم كل هذه التغييرات ، هناك جانب إيجابي: نظرًا لزيادة أمان الدفع ، من المرجح أن يصبح مقدار عمليات رد المبالغ المدفوعة أقل بكثير ، وهو أمر يمكن لجميع أصحاب الفنادق الاحتفال به.

بالنسبة للعديد من أصحاب الفنادق ، قد يبدو الامتثال لهذه اللوائح الجديدة أمرًا شاقًا. بالإضافة إلى ذلك ، على الرغم من أن بيانات الضيف ستكون أكثر أمانًا مع SCA ، فإن عملية الدفع تصبح أكثر تعقيدًا ، مما قد يؤدي إلى انخفاض في التحويل بينما يعتاد الضيوف على الخطوة الإضافية. كيف يمكنك الحفاظ على رضا الضيف مع ضمان أمن البيانات على أعلى مستوى؟

لا يوجد لدى معظم الفنادق فرق كبيرة لتكنولوجيا المعلومات أو خبراء في الأمن السيبراني في الموقع أو ميزانيات ضخمة للإنفاق على أمن البيانات. ومع ذلك ، لا يعد أيًا من ذلك ضروريًا للحفاظ على بيئة آمنة للبيانات الحساسة الخاصة بفندقك. تتمثل إحدى أفضل الطرق لمنع التهديدات السيبرانية المحتملة في الشراكة مع نظام تقني يتمتع بخبرة في التوافق مع PCI و PSD2.

ستعمل شركات التكنولوجيا العظيمة كشركاء امتثال لك وستقوم ببناء منصاتها وفقًا للوائح المحلية والعالمية لتخفيف بعض العبء عن أصحاب الفنادق. محرك حجز زر الحجز من Siteminder ، على سبيل المثال ، متوافق تمامًا مع SCA ويدمج المصادقة متعددة العوامل بسلاسة بطريقة لا تعطل تجربة الضيف. يفي نظام مدفوعات Siteminder بمعايير SCA لذا يمكنك أن تطمئن إلى أنه سيتم التعامل مع المدفوعات دون أي خلل. كما أن فريق Siteminder على دراية جيدة باستراتيجيات أمان البيانات ، لذا يمكن أن يكونوا موارد قيمة لأصحاب الفنادق في هذا الوقت الذي يمر فيه الانتقال.

لا يفي Siteminder بإرشادات أمان البيانات اليوم فقط من منظور برمجي ، ولكن فرقهم تعمل باستمرار نحو تكنولوجيا أفضل وأكثر أمانًا. من خلال الابتكار المستمر ، يكون نظامهم "دليلًا على المستقبل" وسوف يتطور مع توفر تدابير أمنية إضافية.

من خلال الشراكة مع حل تقني موثوق به والاستثمار في الامتثال لـ PCI و PSD2 الآن ، يمكن لأصحاب الفنادق منع الكارثة المحتملة التي يمكن أن تأتي مع سرقة البيانات الحساسة. يوفر فندقك خدمة ضيوف رائعة ، لكنك تريد التأكد من أن المتسللين ومجرمي الإنترنت يعرفون أنهم غير مرحب بهم في مكان الإقامة الخاص بك.