Vielleicht haben Sie schon von einem der vielen jüngsten Datenhacks in Unternehmen auf der ganzen Welt gehört. Oder vielleicht hat dich einer dieser Hacks persönlich beeinflusst. In den letzten Jahren wurden Hotels und Gastgewerbeunternehmen (wie Sabre , Marriott und Omni Hotels ) von einer scheinbar endlosen Flut von Sicherheitsverletzungen heimgesucht, die zum Diebstahl persönlicher Daten, Kreditkartennummern und anderer sensibler Daten führten Daten.
Heutzutage sind Cybersicherheit und die Einhaltung gesetzlicher Vorschriften nicht nur notwendige Fähigkeiten für das IT-Team. Jeder Hotelmanager ? auch der ?nicht technisch versierte? ? muss diese entscheidenden Komponenten des Datenschutzes verstehen, um sein Unternehmen zu schützen. In diesem Artikel erklären wir die PCI- und PSD2-Compliance und beschreiben umsetzbare Schritte, die Sie heute mit Systemen wie der SHR Windsurfer Booking Engine ergreifen können, um Ihr Hotelgeschäft vor Online-Bedrohungen zu schützen.
Was ist PCI-Compliance?
PCI wurde 2006 gegründet und steht für den Payment Card Industry Data Security Standard, der Richtlinien für die Annahme, Speicherung und Verarbeitung von Kreditkarteninformationen enthält. Eine Organisation ist PCI-konform, wenn sie diese Vorschriften befolgt. PCI wurde eingeführt, um die sensiblen Daten der Verbraucher zu schützen, und infolgedessen muss jeder Händler, der Kreditkarteninformationen verwendet, diese Regeln befolgen, von kleinen Unternehmen bis hin zu großen Konzernen.
Beispiele für diese Richtlinien sind die Verwendung einer Online-Checkout-/Zahlungsseite, die von einem lizenzierten Drittanbieter kontrolliert wird, das Speichern von Kreditkartendaten über einen ?Tresor?-Drittanbieter statt in Ihrem eigenen System und das Maskieren der vollständigen Kreditkartennummer Quittungen, die stattdessen nur die letzten 4 Ziffern anzeigen.
Was bedeutet PCI-Compliance für Ihr Hotelgeschäft?
In einer Branche, die täglich Transaktionen in Milliardenhöhe verarbeitet, macht es Sinn, dass Hotels attraktive Ziele für Hacker sind. Darüber hinaus verwendet ein typisches Hotel mehrere verschiedene Zahlungs- und Verwaltungssysteme, auf die viele Mitarbeiter zugreifen können, was die Wahrscheinlichkeit eines Verstoßes erhöhen kann. Kein Hotelier möchte den Verlust von Geld und Vertrauen erleiden, der mit einem Cyberangriff einhergeht.
Aus diesen Gründen ist es entscheidend, dass jeder Hotelier die PCI-Konformität nicht nur an der Rezeption, sondern in allen Systemen, die auf Gästedaten zugreifen oder diese verwenden, aufrechterhält. Einige Faustregeln beinhalten die Verwendung von PCI-konformen POS- und PMS-Anbietern, die sichere Speicherung von digitalen und Papierdaten und die Beschränkung des Zugriffs auf sensible Daten auf die Mitarbeiter, die sie wirklich benötigen. PCI-Compliance-Schulungen sind online verfügbar, und viele Hoteliers verlangen von neuen Mitarbeitern, dass sie einen PCI-Compliance-Kurs absolvieren, bevor sie mit Zahlungsinformationen für Gäste umgehen. Wenn Sie sich jetzt die Zeit nehmen, die PCI-Richtlinien einzuhalten, können spätere kostspielige Sicherheitsverletzungen vermieden werden.
?Der Angriff auf Marriott war glücklos und hat noch viele Lücken zu schließen, was tatsächlich passiert ist. Ein beliebter Einstiegspunkt für Angreifer ist E-Mail-Spoofing. Diese Taktik wird beim Phishing verwendet, um Malware in ein Zielnetzwerk zu bringen, um sich dann seitlich über alle Systeme zu bewegen?, Ryan Cornateanu , Application Security Engineer @ CrowdStrike.
Schließen Sie sich über 100.000 Führungskräften weltweit führender Hotelmarken an und erhalten Sie einmal pro Woche die neuesten Erkenntnisse in Ihren Posteingang.
Die nächste Evolution von PCI: Was ist PSD2?
Da immer mehr Transaktionen online stattfinden und sich die Zahlungstechnologie weiterentwickelt, mussten die 2006 skizzierten PCI-DSS-Vorschriften aktualisiert werden. Im September 2019 trat die Payment Services Directive 2 (PSD2) in Kraft und gilt für alle Unternehmen, die potenziell mit europäischen Kunden in Kontakt treten könnten. Auch Unternehmen mit wenig internationalen Geschäften sollten sich dennoch daran halten, da Vorschriften wie diese oft bald darauf in den Vereinigten Staaten und anderen Ländern gespiegelt werden.
Hier bei Hotel Tech Report verwenden wir Stripe zur Abwicklung von Zahlungen, und selbst bei diesem erstklassigen Anbieter mussten wir unsere gesamte Zahlungsinfrastruktur neu erfinden, um dieser Verordnung und einigen ihrer Feinheiten rund um die Zahlungsauthentifizierung zu entsprechen.
PSD2 enthält erweiterte Richtlinien für Online-Zahlungen und den Umgang mit sensiblen Daten, um das Risiko von Kreditdiebstahl, Betrug und Sicherheitsverletzungen zu verringern. Eine wesentliche Änderung ist die Anforderung einer starken Kundenauthentifizierung (SCA) für Online-Transaktionen. Mit SCA müssen die Verbraucher, anstatt einfach eine Kreditkartennummer einzugeben und auf ?Bezahlen? zu klicken, eine zweite Authentifizierungsebene bereitstellen, die ein PIN-Code oder ein SMS-Bestätigungscode sein kann, bevor die Zahlung durchgeführt werden kann.
Was bedeutet PSD2 für Ihren Hotelbetrieb?
Gäste buchen fast drei Viertel der Hotelreservierungen online, sodass die PSD2 wahrscheinlich jeden Hotelier betreffen wird, da eine starke Kundenauthentifizierung (SCA) zu einer Anforderung für die Zahlungsabwicklung wird. Hoteliers sollten die folgenden Fragen stellen, um festzustellen, ob Änderungen erforderlich sind:
Verfügt die Website meines Hotels über ein Zahlungssystem, das SCA zulässt, z. B. SMS-Bestätigungscodes oder biometrische Daten (wie Face ID auf einem iPhone)?
Benötigen die OTAs, mit denen ich arbeite, SCA, wenn sie Zahlungen von Gästen akzeptieren?
Erhält mein Hotel virtuelle Kreditkartennummern von OTAs? Wenn dies der Fall ist, können virtuelle Kreditkarten die SCA-Anforderung nicht erfüllen, sodass OTA-Auszahlungen möglicherweise auf Banküberweisungen umgestellt werden müssen.
Verarbeitet das Personal an der Rezeption oder der Nachtprüfer Zahlungen irgendwann zwischen der Buchung und der Ankunft? Zum Beispiel, wenn 50 % der Reservierungszahlung zum Zeitpunkt der Buchung und die restlichen 50 % 7 Tage vor Anreise fällig sind. Gäste können SCA bei der Reservierung abschließen, jedoch nicht für vom Hotel zu einem anderen Zeitpunkt veranlasste Gebühren.
Werden Gebühren abgerechnet, nachdem der Gast ausgecheckt hat, wie z. B. das Aufladen der Minibar? Um Schluckauf bei der Zahlung nach dem Check-out zu vermeiden, belasten Sie die Karte des Gastes mit einer Autorisierung für den vollen Nebenkostenbetrag und lassen Sie den Gast beim Check-in persönlich eine Zwei-Faktor-Authentifizierung wie Chip und PIN vorlegen.
Die wichtigste Erkenntnis hier ist, dass Transaktionen, die vom Hotel zu einem Zeitpunkt initiiert werden, an dem der Gast nicht anwesend ist, nicht den PSD2-Anforderungen entsprechen. Gäste müssen in der Lage sein, für jede Zahlung einen Zwei-Faktor-Verifizierungsschritt durchzuführen, z. B. bei der Buchung oder beim Check-out, sodass Hoteliers möglicherweise ihre Zahlungsvorgänge ändern müssen, wenn Zahlungen außerhalb dieser Zeiten erfolgen. Inmitten all dieser Änderungen gibt es einen Lichtblick: Aufgrund der erhöhten Zahlungssicherheit wird die Anzahl der Rückbuchungen wahrscheinlich viel geringer sein, was alle Hoteliers feiern können.
So schützen Sie Ihr Hotel vor möglichen Sicherheitsverletzungen
Für viele Hoteliers mag die Einhaltung dieser neuen Vorschriften entmutigend klingen. Darüber hinaus werden die Gästedaten mit SCA zwar sicherer, aber der Zahlungsprozess wird umständlicher, was zu einer Verringerung der Konversion führen kann, während sich die Gäste an den zusätzlichen Schritt gewöhnen. Wie können Sie die Gästezufriedenheit aufrechterhalten und gleichzeitig erstklassige Datensicherheit gewährleisten?
Die meisten Hotels haben keine großen IT-Teams, Cyber-Sicherheitsexperten vor Ort oder enorme Budgets für die Datensicherheit. Nichts davon ist jedoch erforderlich, um eine sichere Umgebung für die sensiblen Daten Ihres Hotels aufrechtzuerhalten. Eine der besten Möglichkeiten, potenzielle Cyber-Bedrohungen zu verhindern, ist die Partnerschaft mit einem Technologiesystem mit Fachkenntnissen in PCI- und PSD2-Compliance.
Arbeiten Sie mit großartigen Technologieunternehmen zusammen, um Wissen auszutauschen und Compliance zu gewährleisten
Großartige Technologieunternehmen fungieren als Ihre Compliance-Partner und haben ihre Plattformen in Übereinstimmung mit lokalen und globalen Vorschriften aufgebaut, um Hoteliers etwas zu entlasten. Die Booking Button- Buchungsmaschine von Siteminder zum Beispiel ist vollständig SCA-konform und integriert die Multi-Faktor-Authentifizierung nahtlos auf eine Weise, die das Gasterlebnis nicht stört. Das Zahlungssystem von Siteminder entspricht den SCA-Standards, sodass Sie sicher sein können, dass Zahlungen ohne Störungen abgewickelt werden. Das Team von Siteminder ist auch mit Datensicherheitsstrategien bestens vertraut, sodass es in dieser Zeit des Übergangs eine wertvolle Ressource für Hoteliers sein kann.
Siteminder erfüllt die heutigen Datensicherheitsrichtlinien nicht nur aus Softwaresicht, sondern ihre Teams arbeiten ständig an einer besseren und sichereren Technologie. Durch kontinuierliche Innovation ist ihr System ?zukunftssicher? und wird sich weiterentwickeln, wenn zusätzliche Sicherheitsmaßnahmen verfügbar sind.
Durch die Partnerschaft mit einer vertrauenswürdigen Technologielösung und die Investition in PCI- und PSD2-Compliance können Hoteliers die potenzielle Katastrophe verhindern, die mit dem Diebstahl sensibler Daten einhergehen könnte. Ihr Hotel bietet einen großartigen Gästeservice, aber Sie möchten sicherstellen, dass Hacker und Cyberkriminelle wissen, dass sie in Ihrem Hotel nicht willkommen sind.
