也许您听说过最近发生在世界各地企业中的众多数据黑客事件之一。或者也许这些黑客之一影响了你个人。在过去几年中,酒店和酒店公司(例如Sabre 、 Marriott和Omni Hotels )遭受了看似永无止境的安全漏洞攻击,导致个人信息、信用卡号码和其他敏感信息被盗数据。
如今,网络安全和法规遵从性不仅仅是 IT 团队的必要技能。每个酒店经理——即使是“非技术专家”——都必须了解数据保护的这些关键组成部分,以保护他们的业务。在本文中,我们将解释 PCI 和 PSD2 合规性,并描述您现在可以使用 SHR Windsurfer Booking Engine 等系统采取的可行步骤,以保护您的酒店业务免受在线威胁。
什么是 PCI 合规性?
PCI 成立于 2006 年,代表支付卡行业数据安全标准,其中包含接受、存储和处理信用卡信息的指南。当一个组织遵循这些法规时,它就符合 PCI 标准。实施 PCI 是为了保护消费者的敏感数据,因此,每个使用信用卡信息的商家都必须遵守这些规则,从小企业到大公司。
这些指南的示例包括使用由获得许可的第 3 方服务提供商控制的在线结帐/支付页面,通过第 3 方“保险库”提供商而非您自己的系统存储信用卡数据,以及在收据,只显示最后 4 位数字。
PCI 合规性对您的酒店业务意味着什么?
在一个每天处理数十亿美元交易的行业中,酒店将成为黑客的有吸引力的目标是有道理的。此外,一家典型的酒店使用许多员工可以访问的多种不同的支付和管理系统,这可能会增加违规的可能性。没有酒店经营者愿意遭受网络攻击带来的金钱和信任损失。
由于这些原因,每个酒店经营者不仅要在前台,而且要在所有访问或使用客人数据的系统中保持 PCI 合规性,这一点至关重要。一些经验法则包括使用符合 PCI 的 POS 和 PMS 提供商,安全地存储数字和纸质数据,以及将敏感数据的访问权限限制在真正需要的员工。 PCI 合规培训在网上很容易获得,许多酒店经营者要求新员工在处理客人付款信息之前参加 PCI 合规课程。现在花时间遵守 PCI 指南可以防止以后发生代价高昂的安全漏洞。
“对万豪的袭击是不幸的,但实际发生的事情仍有许多空白要填补。攻击者的一个流行切入点是通过电子邮件欺骗。这种策略用于网络钓鱼,目的是让恶意软件进入目标网络,然后在所有系统中横向移动,”CrowdStrike 应用安全工程师Ryan Cornateanu 。
加入来自世界领先酒店品牌的 10 万多名高管,每周一次将最新见解发送到您的收件箱
PCI 的下一次演进:什么是 PSD2?
随着越来越多的在线交易以及支付技术的发展,2006 年概述的 PCI-DSS 法规需要进行一些更新。 2019 年 9 月,支付服务指令 2 (PSD2) 生效,适用于任何可能与欧洲客户接触的企业。即使是很少有国际业务的企业也应该遵守,因为类似的规定很快就会在美国和其他国家出现。
在 Hotel Tech Report 中,我们使用 Stripe 来处理支付,即使与这家顶级供应商合作,我们也必须重新改造我们的整个支付基础设施,以遵守该法规及其与支付身份验证相关的一些复杂问题。
PSD2 包括针对在线支付和敏感数据处理的增强指南,以降低信用盗窃、欺诈和安全漏洞的风险。一项重大变化是对在线交易的强客户身份验证 (SCA) 的要求。使用 SCA,消费者将需要提供第二层身份验证,而不是简单地输入信用卡号并单击“支付”,这可能是 PIN 码或 SMS 验证码,然后才能进行支付。
PSD2 对您的酒店业务意味着什么?
客人在线预订了近四分之三的酒店预订,因此 PSD2 可能会影响每一位酒店经营者,因为强客户身份验证 (SCA) 成为支付处理的一项要求。酒店经营者应询问以下问题以确定是否需要进行更改:
我的酒店网站是否有支持SCA的支付系统,例如短信验证码或生物特征数据(例如 iPhone 上的 Face ID)?
与我合作的 OTA 在接受客人付款时是否需要 SCA?
我的酒店是否会收到来自 OTA 的虚拟信用卡号?如果是这样,虚拟信用卡无法满足 SCA 要求,因此 OTA 支付可能需要转为银行转账。
前台工作人员或夜间审计员是否在预订和抵达之间的某个时间处理付款?例如,如果 50% 的预订付款在预订时支付,剩余的 50% 应在抵达前 7 天支付。客人可以在预订时完成 SCA,但不能针对酒店在不同时间发起的收费。
客人退房后是否会处理任何费用,例如迷你吧充电器?为防止退房后付款出现问题,请在客人的信用卡上收取全额杂费,并在客人入住时让客人亲自提供双因素身份验证,例如芯片和密码。
这里的关键要点是,酒店在客人不在时发起的交易不符合 PSD2 要求。客人必须能够为每次付款完成两因素验证步骤,例如在预订时或退房时,因此如果付款发生在这些时间之外,酒店经营者可能需要修改其付款流程。在所有这些变化中,有一线希望:由于支付安全性的提高,退款金额可能会大大降低,这是所有酒店经营者都可以庆祝的事情。
如何保护您的酒店免受潜在的破坏
对于许多酒店经营者来说,遵守这些新规定可能听起来令人生畏。此外,虽然使用 SCA 的客人数据会更加安全,但支付过程确实会变得更加繁琐,这可能会导致转化率下降,而客人则习惯了额外的步骤。您如何在确保一流数据安全的同时保持客人满意度?
大多数酒店没有大型 IT 团队、现场网络安全专家或用于数据安全的大量预算。但是,这些都不是为您酒店的敏感数据维护安全环境所必需的。防止潜在网络威胁的最佳方法之一是与具有 PCI 和 PSD2 合规性专业知识的技术系统合作。
与伟大的科技公司合作,实现知识共享和合规
伟大的科技公司将充当您的合规合作伙伴,并根据当地和全球法规建立自己的平台,以减轻酒店经营者的一些负担。例如,Siteminder 的 Booking Button预订引擎完全符合 SCA 标准,并以不破坏客户体验的方式无缝集成了多因素身份验证。 Siteminder 的付款系统符合 SCA 标准,因此您可以放心,付款将无故障处理。 Siteminder 的团队也精通数据安全策略,因此在这个过渡时期,他们可以成为酒店经营者的宝贵资源。
从软件的角度来看,Siteminder 不仅符合当今的数据安全准则,而且他们的团队也在不断地致力于开发更好、更安全的技术。通过不断的创新,他们的系统是“面向未来的”,并将随着其他安全措施的推出而发展。
现在,通过与值得信赖的技术解决方案合作并投资于 PCI 和 PSD2 合规性,酒店经营者可以防止敏感数据被盗可能带来的潜在灾难。您的酒店提供优质的宾客服务,但您希望确保黑客和网络犯罪分子知道您的酒店不欢迎他们。
