Forse hai sentito parlare di uno dei tanti recenti hack di dati nelle aziende di tutto il mondo. O forse uno di questi hack ti ha colpito personalmente. Negli ultimi anni, gli hotel e le società di ospitalità (come Sabre , Marriott e Omni Hotels ) sono stati colpiti da una raffica apparentemente infinita di violazioni della sicurezza che si traducono nel furto di informazioni personali, numeri di carte di credito e altri dati sensibili dati.
Al giorno d'oggi, la sicurezza informatica e la conformità normativa non sono solo competenze necessarie per il team IT. Tutti i gestori di hotel, anche quelli "non esperti di tecnologia", devono comprendere questi componenti cruciali della protezione dei dati per proteggere le proprie attività. In questo articolo, spiegheremo la conformità PCI e PSD2 e descriveremo i passaggi attuabili che puoi intraprendere oggi con sistemi come SHR Windsurfer Booking Engine per proteggere la tua attività alberghiera dalle minacce online.
Che cos'è la conformità PCI?
Istituito nel 2006, PCI è l'acronimo di Payment Card Industry Data Security Standard, che contiene le linee guida per l'accettazione, l'archiviazione e l'elaborazione dei dati delle carte di credito. Un'organizzazione è conforme allo standard PCI quando segue queste normative. PCI è stato messo in atto per proteggere i dati sensibili dei consumatori e, di conseguenza, ogni commerciante che utilizza i dati delle carte di credito deve seguire queste regole, dalle piccole imprese alle grandi società.
Esempi di queste linee guida includono l'utilizzo di una pagina di pagamento/pagamento online controllata da un fornitore di servizi di terze parti autorizzato, la memorizzazione dei dati della carta di credito tramite un fornitore di "caveau" di terze parti anziché nel proprio sistema e il mascheramento del numero completo della carta di credito su ricevute, mostrando invece solo le ultime 4 cifre.
Cosa significa conformità PCI per la tua attività alberghiera?
In un settore che elabora miliardi di dollari in transazioni al giorno, ha senso che gli hotel siano bersagli attraenti per gli hacker. Inoltre, un tipico hotel utilizza diversi sistemi di pagamento e gestione a cui possono accedere molti dipendenti, il che può aumentare la probabilità di una violazione. Nessun albergatore vuole subire la perdita di denaro e di fiducia che deriva da un attacco informatico.
Per questi motivi, è fondamentale che ogni albergatore mantenga la conformità PCI non solo alla reception, ma in tutti i sistemi che accedono o utilizzano i dati degli ospiti. Alcune regole pratiche includono l'utilizzo di provider POS e PMS conformi allo standard PCI, l'archiviazione sicura dei dati digitali e cartacei e la limitazione dell'accesso ai dati sensibili solo ai dipendenti che ne hanno veramente bisogno. La formazione sulla conformità PCI è prontamente disponibile online e molti albergatori richiedono ai nuovi dipendenti di seguire un corso sulla conformità PCI prima di gestire le informazioni di pagamento degli ospiti. Prendersi del tempo per aderire alle linee guida PCI ora può prevenire costose violazioni della sicurezza in un secondo momento.
?L'attacco a Marriott è stato sfortunato e ha ancora molte lacune da colmare su ciò che è realmente accaduto. Un punto di ingresso popolare per gli avversari è attraverso lo spoofing e-mail. Questa tattica viene utilizzata nel phishing per portare il malware su una rete di destinazione per poi spostarsi lateralmente su tutti i sistemi", Ryan Cornateanu , Application Security Engineer @ CrowdStrike.
Unisciti a oltre 100.000 dirigenti dei principali marchi alberghieri del mondo e ricevi le ultime novità nella tua casella di posta una volta alla settimana
La prossima evoluzione del PCI: cos'è la PSD2?
Poiché sempre più transazioni avvengono online e con l'evoluzione della tecnologia di pagamento, le normative PCI-DSS delineate nel 2006 necessitavano di alcuni aggiornamenti. A settembre 2019 è entrata in vigore la Payment Services Directive 2 (PSD2) che si applica a tutte le attività che potrebbero potenzialmente interagire con i clienti europei. Anche le aziende con pochi affari internazionali dovrebbero comunque rispettare, poiché normative come queste sono spesso rispecchiate negli Stati Uniti e in altri paesi subito dopo.
Qui a Hotel Tech Report utilizziamo Stripe per elaborare i pagamenti e anche con questo fornitore di alto livello, abbiamo dovuto reinventare la nostra intera infrastruttura di pagamento per rispettare questo regolamento e alcune delle sue complessità relative all'autenticazione dei pagamenti.
PSD2 include linee guida avanzate per i pagamenti online e la gestione dei dati sensibili per ridurre il rischio di furto di crediti, frode e violazioni della sicurezza. Un cambiamento importante è il requisito della Strong Customer Authentication (SCA) per le transazioni online. Con SCA, anziché semplicemente digitare il numero di una carta di credito e fare clic su "paga", i consumatori dovranno fornire un secondo livello di autenticazione, che potrebbe essere un codice PIN o un codice di verifica SMS, prima che il pagamento possa essere effettuato.
Cosa significa PSD2 per la tua attività alberghiera?
Gli ospiti prenotano quasi tre quarti delle prenotazioni alberghiere online, quindi la PSD2 avrà probabilmente un impatto su ogni albergatore poiché la Strong Customer Authentication (SCA) diventa un requisito per l'elaborazione dei pagamenti. Gli albergatori dovrebbero porre le seguenti domande per determinare se sono necessarie modifiche:
Il sito Web del mio hotel dispone di un sistema di pagamento che consente SCA , come codici di verifica dei messaggi di testo o dati biometrici (come Face ID su un iPhone)?
Le OTA con cui lavoro richiedono SCA quando si accettano pagamenti dagli ospiti?
Il mio hotel riceve numeri di carte di credito virtuali dalle OTA? In tal caso, le carte di credito virtuali non possono soddisfare il requisito SCA, quindi i pagamenti OTA potrebbero dover passare ai bonifici bancari.
Il personale della reception o il revisore notturno elaborano i pagamenti tra la prenotazione e l'arrivo? Ad esempio, se il 50% del pagamento della prenotazione è dovuto al momento della prenotazione e il restante 50% è dovuto 7 giorni prima dell'arrivo. Gli ospiti possono completare SCA al momento della prenotazione, ma non per addebiti avviati dall'hotel in un momento diverso.
Vengono elaborati addebiti dopo il check-out dell'ospite, come i caricatori del minibar? Per evitare intoppi con il pagamento dopo il check-out, addebita un'autorizzazione sulla carta dell'ospite per l'intero importo aggiuntivo e chiedi all'ospite di fornire l'autenticazione a due fattori di persona, come chip e pin, quando l'ospite effettua il check-in.
Il punto chiave qui è che le transazioni avviate dall'hotel in un momento in cui l'ospite non è presente non saranno conformi ai requisiti PSD2. Gli ospiti devono essere in grado di completare un passaggio di verifica a due fattori per ogni pagamento, ad esempio al momento della prenotazione o al momento del check-out, quindi gli albergatori potrebbero dover modificare i processi di pagamento se i pagamenti vengono effettuati al di fuori di questi orari. In mezzo a tutti questi cambiamenti, c'è un lato positivo: a causa della maggiore sicurezza dei pagamenti, l'importo degli storni di addebito sarà probabilmente molto più basso, cosa che tutti gli albergatori possono festeggiare.
Come salvaguardare il tuo hotel da potenziali violazioni
Per molti albergatori, rispettare queste nuove normative può sembrare scoraggiante. Inoltre, sebbene i dati degli ospiti saranno più sicuri con SCA, il processo di pagamento diventa più macchinoso, il che potrebbe portare a una diminuzione della conversione mentre gli ospiti si abituano al passaggio aggiuntivo. Come puoi mantenere la soddisfazione degli ospiti garantendo al contempo una sicurezza dei dati di prim'ordine?
La maggior parte degli hotel non dispone di grandi team IT, esperti di sicurezza informatica in loco o enormi budget da spendere per la sicurezza dei dati. Tuttavia, nulla di tutto ciò è necessario per mantenere un ambiente sicuro per i dati sensibili del tuo hotel. Uno dei modi migliori per prevenire potenziali minacce informatiche è collaborare con un sistema tecnologico con esperienza nella conformità PCI e PSD2.
Collabora con grandi aziende tecnologiche per la condivisione delle conoscenze e la conformità
Le grandi aziende tecnologiche agiranno come partner per la conformità e hanno costruito le loro piattaforme in conformità con le normative locali e globali per alleggerire parte dell'onere degli albergatori. Il motore di prenotazione del pulsante di prenotazione di Siteminder, ad esempio, è completamente conforme a SCA e integra perfettamente l'autenticazione a più fattori in modo da non interrompere l'esperienza degli ospiti. Il sistema dei pagamenti di Siteminder soddisfa gli standard SCA, quindi puoi essere certo che i pagamenti verranno gestiti senza problemi. Il team di Siteminder è anche esperto nelle strategie di sicurezza dei dati, quindi possono essere risorse preziose per gli albergatori in questo periodo di transizione.
Siteminder non solo soddisfa le linee guida sulla sicurezza dei dati oggi dal punto di vista del software, ma i loro team lavorano costantemente per una tecnologia migliore e più sicura. Attraverso l'innovazione continua, il loro sistema è "a prova di futuro" e si evolverà man mano che saranno disponibili misure di sicurezza aggiuntive.
Collaborando con una soluzione tecnologica affidabile e investendo ora nella conformità PCI e PSD2, gli albergatori possono prevenire la potenziale catastrofe che potrebbe derivare dal furto di dati sensibili. Il tuo hotel offre un ottimo servizio per gli ospiti, ma vuoi assicurarti che hacker e criminali informatici sappiano che non sono i benvenuti nella tua proprietà.
