Tal vez haya oído hablar de uno de los muchos hacks de datos recientes en empresas de todo el mundo. O tal vez uno de estos trucos te afectó personalmente. En los últimos años, los hoteles y las empresas hoteleras (como Sabre , Marriott y Omni Hotels ) se han visto afectados por un aluvión aparentemente interminable de violaciones de seguridad que resultan en el robo de información personal, números de tarjetas de crédito y otros datos confidenciales. datos.
En estos días, la seguridad cibernética y el cumplimiento normativo no son solo habilidades necesarias para el equipo de TI. Todos los gerentes de hoteles, incluso los que no son expertos en tecnología, deben comprender estos componentes cruciales de la protección de datos para proteger sus negocios. En este artículo, explicaremos el cumplimiento de PCI y PSD2 y describiremos los pasos prácticos que puede tomar hoy con sistemas como SHR Windsurfer Booking Engine para proteger su negocio hotelero de las amenazas en línea.
¿Qué es el cumplimiento de PCI?
Establecido en 2006, PCI significa Estándar de seguridad de datos de la industria de tarjetas de pago, que contiene pautas para aceptar, almacenar y procesar información de tarjetas de crédito. Una organización cumple con PCI cuando sigue estas regulaciones. PCI se implementó para proteger los datos confidenciales de los consumidores y, como resultado, todos los comerciantes que usan información de tarjetas de crédito deben seguir estas reglas, desde pequeñas empresas hasta grandes corporaciones.
Los ejemplos de estas pautas incluyen el uso de una página de pago/pago en línea controlada por un proveedor de servicios de terceros con licencia, el almacenamiento de datos de tarjetas de crédito a través de un proveedor de "bóveda" de terceros en lugar de en su propio sistema, y enmascarar el número completo de la tarjeta de crédito en recibos, mostrando solo los últimos 4 dígitos en su lugar.
¿Qué significa el cumplimiento de PCI para su negocio hotelero?
En una industria que procesa miles de millones de dólares en transacciones por día, tiene sentido que los hoteles sean objetivos atractivos para los piratas informáticos. Además, un hotel típico utiliza varios sistemas de gestión y pago diferentes a los que pueden acceder muchos empleados, lo que puede aumentar la probabilidad de una infracción. Ningún hotelero quiere sufrir la pérdida de dinero y confianza que conlleva un ciberataque.
Por estas razones, es crucial que cada hotelero mantenga el cumplimiento de PCI no solo en la recepción, sino en todos los sistemas que acceden o usan los datos de los huéspedes. Algunas reglas generales incluyen el uso de proveedores de POS y PMS compatibles con PCI, almacenar datos digitales y en papel de forma segura y limitar el acceso a datos confidenciales solo a los empleados que realmente los necesitan. La capacitación de cumplimiento de PCI está disponible en línea y muchos hoteleros requieren que los nuevos empleados tomen un curso de cumplimiento de PCI antes de manejar la información de pago de los huéspedes. Tomarse el tiempo para adherirse a las pautas de PCI ahora puede evitar costosas infracciones de seguridad en el futuro.
?El ataque a Marriott fue desafortunado y todavía tiene muchos vacíos que llenar sobre lo que realmente sucedió. Un punto de entrada popular para los adversarios es a través de la suplantación de identidad por correo electrónico. Esta táctica se usa en el phishing para introducir malware en una red de destino y luego moverse lateralmente a través de todos los sistemas?, Ryan Cornateanu , ingeniero de seguridad de aplicaciones de CrowdStrike.
Únase a más de 100.000 ejecutivos de las principales marcas hoteleras del mundo y reciba las últimas novedades en su bandeja de entrada una vez por semana.
La próxima evolución de PCI: ¿Qué es PSD2?
A medida que se realizan más y más transacciones en línea y la tecnología de pago evoluciona, las regulaciones de PCI-DSS descritas en 2006 necesitaban una actualización. En septiembre de 2019, entró en vigor la Directiva de servicios de pago 2 (PSD2) y se aplica a cualquier empresa que pueda interactuar con clientes europeos. Incluso las empresas con pocos negocios internacionales deben seguir cumpliendo, ya que las regulaciones como estas a menudo se reflejan en los Estados Unidos y otros países poco después.
Aquí en Hotel Tech Report usamos Stripe para procesar pagos e incluso con este proveedor de primer nivel, tuvimos que reinventar toda nuestra infraestructura de pagos para cumplir con esta regulación y algunas de sus complejidades en torno a la autenticación de pagos.
PSD2 incluye pautas mejoradas para pagos en línea y el manejo de datos confidenciales para reducir el riesgo de robo de crédito, fraude e infracciones de seguridad. Un cambio importante es el requisito de autenticación fuerte de clientes (SCA) para transacciones en línea. Con SCA, en lugar de simplemente escribir un número de tarjeta de crédito y hacer clic en "pagar", los consumidores deberán proporcionar una segunda capa de autenticación, que podría ser un código PIN o un código de verificación de SMS, antes de que se pueda realizar el pago.
¿Qué significa PSD2 para su negocio hotelero?
Los huéspedes reservan casi las tres cuartas partes de las reservas de hotel en línea, por lo que es probable que PSD2 afecte a todos los hoteleros, ya que la Autenticación fuerte de clientes (SCA) se convierte en un requisito para el procesamiento de pagos. Los hoteleros deben hacer las siguientes preguntas para determinar si los cambios son necesarios:
¿El sitio web de mi hotel tiene un sistema de pago que permite SCA , como códigos de verificación de mensajes de texto o datos biométricos (como Face ID en un iPhone)?
¿Las OTA con las que trabajo requieren SCA al aceptar el pago de los huéspedes?
¿Mi hotel recibe números de tarjetas de crédito virtuales de las OTA? Si es así, las tarjetas de crédito virtuales no pueden cumplir con el requisito de SCA, por lo que es posible que los pagos OTA deban cambiarse a transferencias bancarias.
¿El personal de recepción o el auditor nocturno procesa los pagos en algún momento entre la reserva y la llegada? Por ejemplo, si el 50 % del pago de la reserva se debe en el momento de la reserva y el 50 % restante se debe 7 días antes de la llegada. Los huéspedes pueden completar la SCA cuando hacen la reserva, pero no para cargos iniciados por el hotel en otro momento.
¿Se procesa algún cargo después de que el huésped haya realizado el check-out, como los cargadores del minibar? Para evitar contratiempos con el pago después del check-out, cargue una autorización en la tarjeta del huésped por el monto total incidental y haga que el huésped proporcione autenticación de dos factores en persona, como chip y pin, cuando se registre.
La conclusión clave aquí es que las transacciones iniciadas por el hotel en un momento en que el huésped no está presente no cumplirán con los requisitos de PSD2. Los huéspedes deben poder completar un paso de verificación de dos factores para cada pago, como cuando hacen la reserva o cuando se retiran, por lo que es posible que los hoteleros deban modificar sus procesos de pago si los pagos se realizan fuera de estos horarios. En medio de todos estos cambios, hay un resquicio de esperanza: debido a una mayor seguridad en los pagos, es probable que la cantidad de contracargos sea mucho menor, algo que todos los hoteleros pueden celebrar.
Cómo proteger su hotel contra posibles infracciones
Para muchos hoteleros, cumplir con estas nuevas regulaciones puede parecer desalentador. Además, aunque los datos de los huéspedes estarán más seguros con SCA, el proceso de pago se vuelve más engorroso, lo que podría conducir a una disminución en la conversión mientras los huéspedes se acostumbran al paso adicional. ¿Cómo puede mantener la satisfacción de los huéspedes al mismo tiempo que garantiza una seguridad de datos de primer nivel?
La mayoría de los hoteles no cuentan con grandes equipos de TI, expertos en seguridad cibernética en el sitio o presupuestos masivos para gastar en seguridad de datos. Sin embargo, nada de esto es necesario para mantener un entorno seguro para los datos confidenciales de su hotel. Una de las mejores formas de prevenir posibles amenazas cibernéticas es asociarse con un sistema de tecnología con experiencia en el cumplimiento de PCI y PSD2.
Asóciese con grandes empresas tecnológicas para compartir conocimientos y cumplimiento
Las grandes empresas de tecnología actuarán como sus socios de cumplimiento y han construido sus plataformas de acuerdo con las regulaciones locales y globales para aliviar parte de la carga de los hoteleros. El motor de reservas Booking Button de Siteminder, por ejemplo, es totalmente compatible con SCA e integra a la perfección la autenticación multifactor de una manera que no interrumpe la experiencia del huésped. El sistema de pagos de Siteminder cumple con los estándares de SCA, por lo que puede estar seguro de que los pagos se manejarán sin problemas. El equipo de Siteminder también está bien versado en estrategias de seguridad de datos, por lo que pueden ser recursos valiosos para los hoteleros en este momento de transición.
Siteminder no solo cumple con las pautas de seguridad de datos actuales desde una perspectiva de software, sino que sus equipos trabajan constantemente para lograr una tecnología mejor y más segura. A través de la innovación continua, su sistema es "a prueba de futuro" y evolucionará a medida que haya medidas de seguridad adicionales disponibles.
Al asociarse con una solución tecnológica confiable e invertir ahora en el cumplimiento de PCI y PSD2, los hoteleros pueden evitar la posible catástrofe que podría surgir con el robo de datos confidenciales. Su hotel brinda un excelente servicio al huésped, pero desea asegurarse de que los piratas informáticos y los ciberdelincuentes sepan que no son bienvenidos en su propiedad.
