2006年に設立されたPCIは、Payment Card Industry Data Security Standardの略で、クレジットカード情報の受け入れ、保存、および処理に関するガイドラインが含まれています。組織がこれらの規制に準拠している場合、組織はPCIに準拠しています。 PCIは、消費者の機密データを保護するために導入されたため、クレジットカード情報を使用するすべての加盟店は、中小企業から大企業まで、これらの規則に従う必要があります。

これらのガイドラインの例には、ライセンスを受けたサードパーティのサービスプロバイダーが管理するオンラインチェックアウト/支払いページの使用、独自のシステムではなくサードパーティの「ボールト」プロバイダーを介したクレジットカードデータの保存、クレジットカード番号全体のマスキングなどがあります。領収書。代わりに最後の4桁のみが表示されます。

1日に数十億ドルのトランザクションを処理する業界では、ホテルがハッカーにとって魅力的なターゲットになることは理にかなっています。さらに、一般的なホテルでは、多くの従業員がアクセスできるいくつかの異なる支払いおよび管理システムを使用しているため、違反の可能性が高くなる可能性があります。ホテル経営者は、サイバー攻撃に伴う金銭と信頼の損失に苦しむことを望んでいません。

これらの理由から、すべてのホテル経営者がフロントデスクだけでなく、ゲストデータにアクセスまたは使用するすべてのシステムでPCIコンプライアンスを維持することが重要です。経験則として、PCI準拠のPOSおよびPMSプロバイダーの使用、デジタルデータと紙のデータの両方を安全に保存すること、機密データへのアクセスを本当に必要とする従業員のみに制限することが含まれます。 PCIコンプライアンストレーニングはオンラインですぐに利用でき、多くのホテル経営者は、新入社員がゲストの支払い情報を処理する前にPCIコンプライアンスコースを受講する必要があります。時間をかけてPCIガイドラインを順守することで、後でコストのかかるセキュリティ侵害を防ぐことができます。

「マリオットへの攻撃は不幸であり、実際に起こったことを埋めるにはまだ多くのギャップがあります。攻撃者に人気のあるエントリポイントは、電子メールのなりすましです。この戦術は、マルウェアをターゲットネットワークに侵入させ、すべてのシステム間を横方向に移動するためにフィッシングで使用されます」と、アプリケーションセキュリティエンジニア@CrowdStrikeのRyanCornateanu氏は述べています。

ますます多くのトランザクションがオンラインで発生し、支払いテクノロジーが進化するにつれて、2006年に概説されたPCI-DSS規制はいくつかの更新を必要としました。 2019年9月に、決済サービス指令2（PSD2）が発効し、ヨーロッパの顧客と関わる可能性のあるすべてのビジネスに適用されます。このような規制は、直後に米国や他の国で反映されることが多いため、国際的なビジネスがほとんどない企業でも準拠する必要があります。

ここHotelTechReportでは、Stripeを使用して支払いを処理しています。この一流のプロバイダーでも、この規制と支払い認証に関する複雑さの一部に準拠するために、支払いインフラストラクチャ全体を再発明する必要がありました。

PSD2には、クレジットの盗難、詐欺、セキュリティ違反のリスクを軽減するための、オンライン決済と機密データの処理に関する強化されたガイドラインが含まれています。大きな変更の1つは、オンライントランザクションでのStrong Customer Authentication（SCA）の要件です。 SCAを使用すると、クレジットカード番号を入力して[支払い]をクリックするのではなく、支払いを行う前に、消費者はPINコードまたはSMS確認コードなどの認証の第2層を提供する必要があります。

ゲストはホテル予約のほぼ4分の3をオンラインで予約します。そのため、強力な顧客認証（SCA）が支払い処理の要件になるため、PSD2はすべてのホテル経営者に影響を与える可能性があります。ホテル経営者は、変更が必要かどうかを判断するために次の質問をする必要があります。

• ホテルのウェブサイトには、テキストメッセージの確認コードやバイオメトリックデータ（iPhoneのFace IDなど）などのSCAを可能にする支払いシステムがありますか？

• 一緒に仕事をしているOTAは、ゲストからの支払いを受け入れるときにSCAを必要としますか？

• 私のホテルはOTAから仮想クレジットカード番号を受け取りますか？その場合、仮想クレジットカードはSCA要件を満たすことができないため、OTAの支払いを銀行振込に切り替える必要がある場合があります。

• フロントデスクのスタッフまたはナイトオーディターは、予約から到着までの間に支払いを処理しますか？たとえば、予約の支払いの50％が予約時に支払われ、残りの50％が到着の7日前に支払われる場合です。予約時にSCAを完了することはできますが、ホテルが別の時間に開始した料金についてはできません。

• ミニバーの充電器など、ゲストがチェックアウトした後に処理される料金はありますか？チェックアウト後の支払いの問題を防ぐために、ゲストのカードに付随する全額の承認を請求し、ゲストがチェックインするときに、チップアンドピンなどの2要素認証をゲストに提供してもらいます。

ここで重要なポイントは、ゲストが不在のときにホテルによって開始されたトランザクションは、PSD2の要件に準拠しないということです。予約時やチェックアウト時など、支払いごとに2要素認証ステップを完了する必要があるため、ホテル経営者は、これらの時間外に支払いが行われる場合、支払いプロセスを変更する必要があります。これらすべての変化の真っ只中に、銀色の裏地があります。支払いのセキュリティが強化されているため、チャージバックの量ははるかに少なくなる可能性があります。これはすべてのホテル経営者が祝うことができることです。

多くのホテル経営者にとって、これらの新しい規制に準拠することは気が遠くなるように聞こえるかもしれません。さらに、SCAを使用するとゲストデータの安全性は高まりますが、支払いプロセスが煩雑になるため、ゲストが余分な手順に慣れるまでの間、コンバージョンが減少する可能性があります。一流のデータセキュリティを確保しながら、ゲストの満足度をどのように維持できますか？

ほとんどのホテルには、大規模なITチーム、オンサイトのサイバーセキュリティの専門家、またはデータセキュリティに費やす莫大な予算がありません。ただし、ホテルの機密データの安全な環境を維持するために、これは必要ありません。潜在的なサイバー脅威を防ぐための最良の方法の1つは、PCIおよびPSD2コンプライアンスの専門知識を持つテクノロジーシステムと提携することです。

優れたテクノロジー企業がコンプライアンスパートナーとして機能し、ホテル経営者の負担を軽減するために、ローカルおよびグローバルな規制に準拠したプラットフォームを構築します。たとえば、Siteminderの予約ボタン予約エンジンはSCAに完全に準拠しており、ゲストエクスペリエンスを妨げない方法で多要素認証をシームレスに統合します。 Siteminderの支払いシステムはSCA基準を満たしているため、支払いは問題なく処理されますのでご安心ください。 Siteminderのチームは、データセキュリティ戦略にも精通しているため、この移行期間中のホテル経営者にとって貴重なリソースになる可能性があります。

Siteminderは、ソフトウェアの観点から今日のデータセキュリティガイドラインを満たしているだけでなく、チームは常により優れた、より安全なテクノロジーに向けて取り組んでいます。継続的なイノベーションを通じて、彼らのシステムは「将来を見据えた」ものであり、追加のセキュリティ対策が利用可能になるにつれて進化していきます。

信頼できるテクノロジーソリューションと提携し、PCIおよびPSD2コンプライアンスに今すぐ投資することで、ホテル経営者は機密データの盗難に伴う潜在的な大惨事を防ぐことができます。あなたのホテルは素晴らしいゲストサービスを提供していますが、ハッカーやサイバー犯罪者があなたの施設に歓迎されていないことを確実に知ってもらいたいと考えています。