Estabelecido em 2006, PCI significa Payment Card Industry Data Security Standard, que contém diretrizes para aceitar, armazenar e processar informações de cartão de crédito. Uma organização é compatível com PCI quando segue esses regulamentos. O PCI foi criado para proteger os dados confidenciais dos consumidores e, como resultado, todo comerciante que usa informações de cartão de crédito deve seguir essas regras, desde pequenas empresas até grandes corporações.

Exemplos dessas diretrizes incluem o uso de uma página de pagamento/checkout on-line controlada por um provedor de serviços terceirizado licenciado, armazenamento de dados de cartão de crédito por meio de um provedor "cofre" de terceiros em vez de em seu próprio sistema e mascaramento do número completo do cartão de crédito em recibos, mostrando apenas os últimos 4 dígitos.

Em uma indústria que processa bilhões de dólares em transações por dia, faz sentido que os hotéis sejam alvos atraentes para hackers. Além disso, um hotel típico usa vários sistemas de pagamento e gerenciamento diferentes que muitos funcionários podem acessar, o que pode aumentar a probabilidade de uma violação. Nenhum hoteleiro quer sofrer a perda de dinheiro e confiança que vem com um ataque cibernético.

Por esses motivos, é crucial que todos os hoteleiros mantenham a conformidade com PCI não apenas na recepção, mas em todos os sistemas que acessam ou usam os dados dos hóspedes. Algumas regras práticas incluem o uso de provedores POS e PMS compatíveis com PCI, armazenamento seguro de dados digitais e em papel e limitação do acesso a dados confidenciais apenas aos funcionários que realmente precisam deles. O treinamento de conformidade com o PCI está prontamente disponível on-line e muitos hoteleiros exigem que os novos funcionários façam um curso de conformidade com o PCI antes de lidar com as informações de pagamento dos hóspedes. Reservar um tempo para aderir às diretrizes do PCI agora pode evitar brechas de segurança dispendiosas mais tarde.

“O ataque ao Marriott foi infeliz e ainda tem muitas lacunas a serem preenchidas sobre o que realmente aconteceu. Um ponto de entrada popular para os adversários é através da falsificação de e-mail. Essa tática é usada em phishing para colocar malware em uma rede de destino para depois se mover lateralmente em todos os sistemas”, Ryan Cornateanu , engenheiro de segurança de aplicativos da CrowdStrike.

À medida que mais e mais transações ocorrem on-line e à medida que a tecnologia de pagamento evolui, os regulamentos PCI-DSS descritos em 2006 precisavam ser atualizados. Em setembro de 2019, a Diretiva de Serviços de Pagamento 2 (PSD2) entrou em vigor e se aplica a todas as empresas que possam se envolver com clientes europeus. Mesmo as empresas com poucos negócios internacionais ainda devem cumprir, uma vez que regulamentações como essas geralmente são espelhadas nos Estados Unidos e em outros países logo depois.

Aqui no Hotel Tech Report, usamos o Stripe para processar pagamentos e, mesmo com esse provedor de primeira linha, tivemos que reinventar toda a nossa infraestrutura de pagamentos para cumprir esse regulamento e alguns de seus meandros em torno da autenticação de pagamentos.

O PSD2 inclui diretrizes aprimoradas para pagamentos online e tratamento de dados confidenciais para reduzir o risco de roubo de crédito, fraude e violações de segurança. Uma mudança importante é a exigência de autenticação forte do cliente (SCA) para transações online. Com o SCA, em vez de simplesmente digitar um número de cartão de crédito e clicar em “pagar”, os consumidores precisarão fornecer uma segunda camada de autenticação, que pode ser um código PIN ou um código de verificação por SMS, antes que o pagamento possa ser concluído.

Os hóspedes reservam quase três quartos das reservas de hotéis on-line, portanto, o PSD2 provavelmente afetará todos os hoteleiros, pois a autenticação forte do cliente (SCA) se torna um requisito para o processamento de pagamentos. Os hoteleiros devem fazer as seguintes perguntas para determinar se as alterações são necessárias:

• O site do meu hotel tem um sistema de pagamento que permite SCA , como códigos de verificação de mensagens de texto ou dados biométricos (como Face ID em um iPhone)?

• As OTAs com as quais trabalho exigem SCA ao aceitar o pagamento dos hóspedes?

• Meu hotel recebe números de cartão de crédito virtual de OTAs? Nesse caso, os cartões de crédito virtuais não podem atender ao requisito SCA, portanto, os pagamentos OTA podem precisar mudar para transferências bancárias.

• A equipe da recepção ou o auditor noturno processam os pagamentos em algum momento entre a reserva e a chegada? Por exemplo, se 50% do pagamento da reserva for devido no momento da reserva e os 50% restantes forem devidos 7 dias antes da chegada. Os hóspedes podem preencher o SCA ao fazer a reserva, mas não para cobranças iniciadas pelo hotel em um horário diferente.

• Alguma cobrança é processada após o check-out do hóspede, como carregadores de frigobar? Para evitar quaisquer contratempos com o pagamento após o check-out, carregue uma autorização no cartão do hóspede no valor total para danos eventuais e faça com que o hóspede forneça a autenticação de dois fatores pessoalmente, como chip e pin, quando o hóspede fizer o check-in.

A principal conclusão aqui é que as transações iniciadas pelo hotel em um momento em que o hóspede não está presente não cumprirão os requisitos do PSD2. Os hóspedes devem ser capazes de concluir uma etapa de verificação de dois fatores para cada pagamento, como quando fazem a reserva ou quando fazem o check-out, para que os hoteleiros precisem modificar seus processos de pagamento se os pagamentos ocorrerem fora desses horários. Em meio a todas essas mudanças, há um lado positivo: devido ao aumento da segurança de pagamento, a quantidade de estornos provavelmente será muito menor, algo que todos os hoteleiros podem comemorar.

Para muitos hoteleiros, cumprir esses novos regulamentos pode parecer assustador. Além disso, embora os dados dos hóspedes sejam mais seguros com o SCA, o processo de pagamento se torna mais complicado, o que pode levar a uma diminuição na conversão enquanto os hóspedes se acostumam com a etapa extra. Como você pode manter a satisfação dos hóspedes enquanto garante segurança de dados de alto nível?

A maioria dos hotéis não possui grandes equipes de TI, especialistas em segurança cibernética no local ou grandes orçamentos para gastar em segurança de dados. No entanto, nada disso é necessário para manter um ambiente seguro para os dados confidenciais do seu hotel. Uma das melhores maneiras de evitar possíveis ameaças cibernéticas é fazer parceria com um sistema de tecnologia com experiência em conformidade com PCI e PSD2.

Grandes empresas de tecnologia atuarão como seus parceiros de conformidade e construíram suas plataformas em conformidade com os regulamentos locais e globais para aliviar parte do fardo dos hoteleiros. O mecanismo de reservas Booking Button do Siteminder, por exemplo, é totalmente compatível com SCA e integra perfeitamente a autenticação multifator de uma forma que não interrompe a experiência do hóspede. O sistema de pagamentos do Siteminder atende aos padrões SCA para que você possa ter certeza de que os pagamentos serão processados sem falhas. A equipe do Siteminder também é bem versada em estratégias de segurança de dados, de modo que podem ser recursos valiosos para hoteleiros neste momento de transição.

Atualmente, o Siteminder não apenas atende às diretrizes de segurança de dados do ponto de vista do software, mas suas equipes estão constantemente trabalhando para obter uma tecnologia melhor e mais segura. Por meio da inovação contínua, seu sistema é “à prova do futuro” e evoluirá à medida que medidas de segurança adicionais estiverem disponíveis.

Ao fazer parceria com uma solução de tecnologia confiável e investir agora em conformidade com PCI e PSD2, os hoteleiros podem evitar a potencial catástrofe que pode vir com o roubo de dados confidenciais. Seu hotel oferece um ótimo serviço aos hóspedes, mas você quer garantir que hackers e criminosos cibernéticos saibam que não são bem-vindos em sua propriedade.