PCI, שהוקם בשנת 2006, מייצג את תקן אבטחת המידע של תעשיית כרטיסי התשלום, המכיל הנחיות לקבלת, אחסון ועיבוד פרטי כרטיסי אשראי. ארגון תואם PCI כאשר הוא פועל לפי תקנות אלה. PCI הוקם כדי להגן על הנתונים הרגישים של הצרכנים, וכתוצאה מכך, כל סוחר שמשתמש במידע כרטיס אשראי חייב לציית לכללים האלה, מעסקים קטנים ועד תאגידים גדולים.

דוגמאות להנחיות אלו כוללות שימוש בדף קופה/תשלום מקוון הנשלט על ידי ספק שירות מורשה של צד שלישי, אחסון נתוני כרטיס אשראי באמצעות ספק "כספת" של צד שלישי ולא במערכת שלך, ומיסוך מספר כרטיס האשראי המלא ב קבלות, המציגות במקום זאת רק את 4 הספרות האחרונות.

בתעשייה שמעבדת מיליארדי דולרים בעסקאות ביום, הגיוני שמלונות יהיו יעדים אטרקטיביים עבור האקרים. יתר על כן, מלון טיפוסי משתמש בכמה מערכות תשלום וניהול שונות שעובדים רבים יכולים לגשת אליהן, מה שיכול להגביר את הסבירות להפרה. אף מלונאי לא רוצה לסבול מאובדן כסף ואמון שמגיע עם מתקפת סייבר.

מסיבות אלו, חיוני שכל מלונאי ישמור על תאימות PCI לא רק בדלפק הקבלה, אלא בכל המערכות שניגשות לנתוני אורחים או משתמשות בהם. כמה כללי אצבע כוללים שימוש בספקי POS ו-PMS תואמי PCI, אחסון נתונים דיגיטליים ונייר מאובטח, והגבלת הגישה לנתונים רגישים רק לעובדים שבאמת זקוקים להם. הכשרת ציות ל-PCI זמינה בקלות באינטרנט, ומלונאים רבים דורשים מעובדים חדשים לעבור קורס ציות ל-PCI לפני שהם מטפלים בפרטי תשלום אורחים. הקדשת הזמן לעמידה בהנחיות ה-PCI כעת יכולה למנוע פרצות אבטחה יקרות מאוחר יותר.

"ההתקפה על מריוט הייתה אומללה ועדיין יש הרבה פערים להשלים על מה שקרה בפועל. נקודת כניסה פופולרית עבור יריבים היא באמצעות זיוף דואר אלקטרוני. טקטיקה זו משמשת בדיוג על מנת להעביר תוכנות זדוניות לרשת יעד כדי לעבור לרוחב בכל המערכות", Ryan Cornateanu , מהנדס אבטחת יישומים @ CrowdStrike.

ככל שיותר ויותר עסקאות מתרחשות באינטרנט, וככל שטכנולוגיית התשלום מתפתחת, תקנות ה-PCI-DSS שפורטו ב-2006 נזקקו לעדכון מסוים. בספטמבר 2019 נכנסה לתוקף הוראת שירותי התשלום 2 (PSD2) ומחילה כל עסקים שיכולים ליצור קשר עם לקוחות אירופאים. אפילו עסקים עם מעט עסקים בינלאומיים עדיין צריכים לציית, שכן תקנות כמו אלה משתקפות לעתים קרובות בארצות הברית ובמדינות אחרות זמן קצר לאחר מכן.

כאן ב-Hotel Tech Report אנו משתמשים ב-Stripe כדי לעבד תשלומים ואפילו עם ספק ברמה הגבוהה ביותר, היינו צריכים להמציא מחדש את כל תשתית התשלומים שלנו כדי לעמוד בתקנה זו ובחלק מהמורכבויות שלה סביב אימות תשלומים.

PSD2 כולל הנחיות משופרות לתשלומים מקוונים וטיפול בנתונים רגישים כדי להפחית את הסיכון לגניבת אשראי, הונאה והפרות אבטחה. שינוי מרכזי אחד הוא הדרישה של אימות לקוחות חזק (SCA) עבור עסקאות מקוונות. עם SCA, במקום פשוט להקליד מספר כרטיס אשראי ולחיצה על "שלם", צרכנים יצטרכו לספק שכבה שנייה של אימות, שיכולה להיות קוד PIN או קוד אימות SMS, לפני שהתשלום יוכל לעבור.

אורחים מזמינים כמעט שלושה רבעים מההזמנות בבתי מלון באינטרנט, כך ש-PSD2 ישפיע ככל הנראה על כל מלונאי מכיוון שאימות לקוחות חזק (SCA) הופך לדרישה לעיבוד תשלום. המלונאים צריכים לשאול את השאלות הבאות כדי לקבוע אם יש צורך בשינויים:

• האם באתר האינטרנט של המלון שלי יש מערכת תשלום המאפשרת SCA , כגון קודי אימות של הודעת טקסט או נתונים ביומטריים (כמו Face ID באייפון)?

• האם ה-OTAs שאני עובד איתם דורשים SCA בעת קבלת תשלום מאורחים?

• האם המלון שלי מקבל מספרי כרטיסי אשראי וירטואליים מ-OTA? אם כן, כרטיסי אשראי וירטואליים אינם יכולים לעמוד בדרישת SCA, כך שתשלומי OTA עשויים להידרש לעבור להעברות בנקאיות.

• האם צוות דלפק הקבלה או מבקר הלילה מעבדים תשלומים מתישהו בין ההזמנה להגעה? לדוגמה, אם יש לשלם 50% מההזמנה בעת ביצוע ההזמנה ו-50% הנותרים יש לשלם 7 ימים לפני ההגעה. האורחים יכולים להשלים SCA בעת ביצוע ההזמנה, אך לא עבור חיובים שיזמו המלון במועד אחר.

• האם חיובים כלשהם מעובדים לאחר שהאורח עזב, כגון מטענים למיני בר? כדי למנוע שיהוקים בתשלום לאחר ביצוע הצ'ק-אאוט, גבו אישור בכרטיס האורח עבור מלוא הסכום הנלווה ובקשו מהאורח לספק אימות דו-שלבי באופן אישי, כגון שבב וסיכה, כאשר האורח מבצע צ'ק-אין.

הנקודה העיקרית כאן היא שעסקאות שיוזמו על ידי המלון בזמן שהאורח אינו נוכח, לא יעמדו בדרישות PSD2. האורחים חייבים להיות מסוגלים להשלים שלב אימות דו-גורמי עבור כל תשלום, כגון בעת ביצוע ההזמנה או בעת צ'ק-אאוט, כך שמלונאים עשויים להצטרך לשנות את תהליכי התשלום שלהם אם תשלומים מתרחשים מחוץ לזמנים אלו. בעיצומם של כל השינויים הללו, יש מעטה כסופה: בגלל אבטחת תשלום מוגברת, סביר להניח שכמות החיובים האחוריים תהיה נמוכה בהרבה, וזה משהו שכל המלונאים יכולים לחגוג.

עבור מלונאים רבים, עמידה בתקנות החדשות הללו עשויה להישמע מרתיעה. בנוסף, למרות שנתוני האורחים יהיו מאובטחים יותר עם SCA, תהליך התשלום אכן הופך למסורבל יותר, מה שעלול להוביל לירידה בהמרה בזמן שהאורחים מתרגלים לשלב הנוסף. כיצד תוכל לשמור על שביעות רצון האורחים תוך הבטחת אבטחת מידע ברמה הגבוהה ביותר?

לרוב המלונות אין צוותי IT גדולים, מומחי אבטחת סייבר באתר או תקציבים אדירים לבזבזים על אבטחת מידע. עם זאת, כל זה לא נחוץ כדי לשמור על סביבה מאובטחת עבור הנתונים הרגישים של המלון שלך. אחת הדרכים הטובות ביותר למנוע איומי סייבר פוטנציאליים היא שיתוף פעולה עם מערכת טכנולוגית עם מומחיות בתאימות ל-PCI ו-PSD2.

חברות טכנולוגיה מעולות יפעלו כשותפי הציות שלכם ובנו את הפלטפורמות שלהן בהתאם לתקנות המקומיות והגלובליות כדי להוריד חלק מהנטל מהמלונאים. מנוע ההזמנות של כפתור ההזמנה של Siteminder, למשל, תואם לחלוטין SCA ומשלב בצורה חלקה אימות רב-גורמי באופן שאינו משבש את חווית האורח. מערכת התשלומים של Siteminder עומדת בתקני SCA כך שאתה יכול להיות סמוך ובטוח שהתשלומים יטופלו ללא תקלה. הצוות של Siteminder גם בקיא באסטרטגיות אבטחת מידע, כך שהם יכולים להוות משאבים יקרי ערך עבור מלונאים בתקופה זו של מעבר.

Siteminder לא רק עומד בהנחיות אבטחת מידע כיום מנקודת מבט של תוכנה, אלא שהצוותים שלהם עובדים כל הזמן לקראת טכנולוגיה טובה יותר ומאובטחת יותר. באמצעות חדשנות מתמשכת, המערכת שלהם היא "הוכחת עתיד" והיא תתפתח ככל שאמצעי אבטחה נוספים יהיו זמינים.

על ידי שיתוף פעולה עם פתרון טכנולוגי מהימן והשקעה כעת בתאימות ל-PCI ו-PSD2, מלונאים יכולים למנוע את האסון הפוטנציאלי שעלול לבוא עם גניבת נתונים רגישים. המלון שלך מספק שירות אורחים מעולה, אבל אתה רוצה להבטיח שהאקרים ופושעי סייבר ידעו שהם לא רצויים בנכס שלך.