PCI, opgericht in 2006, staat voor de Payment Card Industry Data Security Standard, die richtlijnen bevat voor het accepteren, opslaan en verwerken van creditcardgegevens. Een organisatie is PCI-compatibel als ze zich aan deze regelgeving houdt. PCI is ingesteld om de gevoelige gegevens van consumenten te beschermen, en als gevolg daarvan moet elke handelaar die creditcardgegevens gebruikt deze regels volgen, van kleine bedrijven tot grote bedrijven.

Voorbeelden van deze richtlijnen zijn onder meer het gebruik van een online betaal-/betaalpagina die wordt beheerd door een gelicentieerde externe serviceprovider, het opslaan van creditcardgegevens via een externe "kluis"-provider in plaats van in uw eigen systeem en het maskeren van het volledige creditcardnummer op ontvangstbewijzen, waarbij in plaats daarvan alleen de laatste 4 cijfers worden weergegeven.

In een sector die miljarden dollars aan transacties per dag verwerkt, is het logisch dat hotels een aantrekkelijk doelwit zijn voor hackers. Bovendien gebruikt een typisch hotel verschillende betalings- en beheersystemen waartoe veel werknemers toegang hebben, wat de kans op een inbreuk kan vergroten. Geen hotelier wil het verlies van geld en vertrouwen lijden dat gepaard gaat met een cyberaanval.

Om deze redenen is het van cruciaal belang dat elke hotelier PCI-compliance handhaaft, niet alleen bij de receptie, maar in alle systemen die toegang krijgen tot of gebruik maken van gastgegevens. Enkele vuistregels zijn het gebruik van PCI-compatibele POS- en PMS-providers, het veilig opslaan van zowel digitale als papieren gegevens en het beperken van de toegang tot gevoelige gegevens tot alleen de werknemers die het echt nodig hebben. PCI-compliancetraining is direct online beschikbaar, en veel hoteliers eisen dat nieuwe medewerkers een PCI-compliancecursus volgen voordat ze betalingsgegevens van gasten verwerken. Door nu de tijd te nemen om aan de PCI-richtlijnen te voldoen, kunt u later kostbare beveiligingsinbreuken voorkomen.

“De aanval op Marriott was ongelukkig en heeft nog veel leemten om op te vullen wat er werkelijk is gebeurd. Een populair toegangspunt voor tegenstanders is e-mailspoofing. Deze tactiek wordt gebruikt bij phishing om malware op een doelnetwerk te krijgen en vervolgens zijwaarts over alle systemen te verplaatsen”, Ryan Cornateanu , Application Security Engineer bij CrowdStrike.

Naarmate meer en meer transacties online plaatsvinden en naarmate de betalingstechnologie evolueert, moesten de PCI-DSS-voorschriften die in 2006 werden uiteengezet, worden bijgewerkt. In september 2019 is de Payment Services Directive 2 (PSD2) in werking getreden en is van toepassing op alle bedrijven die mogelijk in contact kunnen komen met Europese klanten. Zelfs bedrijven met weinig internationale zaken zouden hieraan moeten voldoen, aangezien dergelijke voorschriften vaak kort daarna worden weerspiegeld in de Verenigde Staten en andere landen.

Hier bij Hotel Tech Report gebruiken we Stripe om betalingen te verwerken en zelfs met deze topaanbieder moesten we onze hele betalingsinfrastructuur opnieuw uitvinden om te voldoen aan deze regelgeving en enkele van de fijne kneepjes rond betalingsauthenticatie.

PSD2 bevat verbeterde richtlijnen voor online betalingen en de verwerking van gevoelige gegevens om het risico op kredietdiefstal, fraude en beveiligingsinbreuken te verminderen. Een belangrijke verandering is de eis van Strong Customer Authentication (SCA) voor online transacties. Met SCA moeten consumenten, in plaats van simpelweg een creditcardnummer in te typen en op 'betalen' te klikken, een tweede authenticatielaag verstrekken, wat een pincode of een sms-verificatiecode kan zijn, voordat de betaling kan doorgaan.

Gasten boeken bijna driekwart van de hotelreserveringen online, dus PSD2 zal waarschijnlijk van invloed zijn op elke hotelier, aangezien Strong Customer Authentication (SCA) een vereiste wordt voor betalingsverwerking. Hoteliers moeten de volgende vragen stellen om te bepalen of wijzigingen nodig zijn:

• Heeft de website van mijn hotel een betalingssysteem dat SCA mogelijk maakt, zoals verificatiecodes voor sms-berichten of biometrische gegevens (zoals Face ID op een iPhone)?

• Vereisen de OTA's waarmee ik werk SCA bij het accepteren van betalingen van gasten?

• Ontvangt mijn hotel virtuele creditcardnummers van OTA's? Als dit het geval is, kunnen virtuele creditcards niet voldoen aan de SCA-vereiste, dus OTA-uitbetalingen moeten mogelijk worden overgezet naar bankoverschrijvingen.

• Verwerkt het receptiepersoneel of de nachtcontroleur betalingen ergens tussen boeking en aankomst? Bijvoorbeeld als 50% van de reserveringsbetaling verschuldigd is op het moment van boeking en de resterende 50% 7 dagen voor aankomst. Gasten kunnen SCA invullen bij het maken van de reservering, maar niet voor kosten die door het hotel op een ander tijdstip worden geïnitieerd.

• Worden er kosten verwerkt nadat de gast heeft uitgecheckt, zoals opladers voor de minibar? Om problemen met de betaling na het uitchecken te voorkomen, brengt u een autorisatie op de kaart van de gast in rekening voor het volledige incidentele bedrag en laat u de gast persoonlijk twee-factor-authenticatie verstrekken, zoals chip-en-pin, wanneer de gast incheckt.

De belangrijkste conclusie hier is dat transacties die door het hotel worden gestart op een moment dat de gast niet aanwezig is, niet voldoen aan de PSD2-vereisten. Gasten moeten voor elke betaling een tweestapsverificatiestap kunnen uitvoeren, bijvoorbeeld wanneer ze de reservering boeken of wanneer ze uitchecken, dus hoteliers moeten mogelijk hun betalingsprocessen aanpassen als betalingen buiten deze tijden plaatsvinden. Te midden van al deze veranderingen is er een zilveren randje: vanwege de verhoogde betalingsbeveiliging zal het aantal terugboekingen waarschijnlijk veel lager worden, iets wat alle hoteliers kunnen vieren.

Voor veel hoteliers klinkt het voldoen aan deze nieuwe regelgeving misschien ontmoedigend. Bovendien, hoewel gastgegevens veiliger zijn met SCA, wordt het betalingsproces omslachtiger, wat kan leiden tot een afname van de conversie terwijl gasten wennen aan de extra stap. Hoe kunt u de tevredenheid van uw gasten behouden en tegelijkertijd eersteklas gegevensbeveiliging garanderen?

De meeste hotels hebben geen grote IT-teams, on-site cyberbeveiligingsexperts of enorme budgetten om te besteden aan gegevensbeveiliging. Dit alles is echter niet nodig om een veilige omgeving voor de gevoelige gegevens van uw hotel te behouden. Een van de beste manieren om potentiële cyberdreigingen te voorkomen, is door samen te werken met een technologiesysteem met expertise op het gebied van PCI- en PSD2-compliance.

Grote technologiebedrijven treden op als uw compliancepartners en hebben hun platforms gebouwd in overeenstemming met lokale en wereldwijde regelgeving om hoteliers een deel van de last te ontlasten. De boekingsmodule van Siteminder, bijvoorbeeld, is volledig SCA-compatibel en integreert naadloos multi-factor authenticatie op een manier die de gastervaring niet verstoort. Het betalingssysteem van Siteminder voldoet aan de SCA-normen, zodat u er zeker van kunt zijn dat betalingen probleemloos worden afgehandeld. Het team van Siteminder is ook goed thuis in strategieën voor gegevensbeveiliging, dus ze kunnen waardevolle bronnen zijn voor hoteliers in deze tijd van overgang.

Siteminder voldoet tegenwoordig niet alleen aan de richtlijnen voor gegevensbeveiliging vanuit softwareperspectief, maar hun teams werken voortdurend aan betere en veiligere technologie. Door voortdurende innovatie is hun systeem "toekomstbestendig" en zal het evolueren naarmate er aanvullende beveiligingsmaatregelen beschikbaar zijn.

Door samen te werken met een vertrouwde technologische oplossing en nu te investeren in PCI- en PSD2-compliance, kunnen hoteliers de potentiële ramp voorkomen die zou kunnen ontstaan door de diefstal van gevoelige gegevens. Uw hotel biedt geweldige gastenservice, maar u wilt er zeker van zijn dat hackers en cybercriminelen weten dat ze niet welkom zijn bij uw accommodatie.