PCI Compliance para hoteles: cómo afectan al sector las normas de seguridad para tarjetas de pago?

Como un fenómeno global que genera más de 550 mil millones de dólares anualmente, la industria de hospitalidad y viajes parece uno de los segmentos más atractivos para brechas y robos de datos de tarjeta. Según el HTFP Journal, esta fue la vertical más afectada en los últimos años, sufriendo un 40% de todas las brechas que ocurren globalmente.

Profundizando en el segmento hotelero de la industria de hospitalidad, podemos ver fácilmente por qué resulta tan atractivo para los cibercriminales. En España, uno de los líderes de turismo a nivel mundial, los hoteles generaron ingresos de 2,995 millones de dólares en 2017, revelando un crecimiento anual de 6.0%. En Francia, este segmento generó 4,946 millones de dólares, y el Reino Unido registró alrededor de $5,746 el mismo año.

La contribución creciente del segmento hotelero al PIB de muchos países globalmente, a proporción con el incremento de los robos de datos, aumentó significativamente las preocupaciones por la seguridad. Como resultado, el estándar PCI-DSS para la gestión de tarjetas de crédito y débito se convirtió en una consideración esencial para todos los hoteles, siendo obligatorio a partir del 2018.

¿Qué es PCI-DSS y cómo mejora la seguridad de tarjetas de pago?

PCI-DSS, o el Payment Card Industry Data Security Standard, es un estándar de seguridad creado por la asociación de tarjetas de pago para proteger los datos de los consumidores.

Este estándar define las mejores prácticas para la protección de tarjetas de crédito y débito, y afecta a todos los hoteles independientemente de su tamaño o ubicación. El objetivo es reducir al máximo el riesgo de fraude, robo de datos, robo de identidad, y otras ciberamenazas.

¿Cuáles son los estándares de PCI Compliance para hoteles? ¿Cómo van a impactar mis actividades actuales?

PCI-DSS cubre una variedad de requisitos para la gestión segura de tarjetas de pago, afectando a todas las industrias y negocios. El segmento hotelero no es una excepción, así que tendrás que prepararte para los cambios específicos en la industria de hospitalidad.

Estas regulaciones inevitablemente impactaran en las actividades, sistemas y procedimientos actuales de tu hotel. Prepárate para los siguientes cambios:

TPV Compliance - si actualmente estás utilizando un TPV, independientemente si es físico o virtual, que no cumple con los requisitos de seguridad, tendrás que cambiarlo. No todos los TPVs en el mercado cumplen con PCI, lo que puede requerir un cambio en todos los sistemas de tu hotel para proporcionar una protección completa.

PMS Compliance - lo mismo va a ocurrir con tu Property Management System y Channel Manager. Si estás utilizando un PMS para almacenar los datos de tarjeta de tus consumidores, tendrás que adaptar la arquitectura entera de tu red para cumplir con las regulaciones. Algo extraordinariamente costoso de mantener en el tiempo...

Acceso - como resultado de PCI, tendrás que restringir el acceso que tienen tus empleados para ver la información de pago completa de los clientes. Únicamente los que necesitan estos datos para gestionar las habitaciones reservadas.

Almacenamiento de datos - muchos gerentes hoteleros están bajo la impresión errónea que solo los datos de pago almacenados de forma digital deben ser protegidos, pero eso no es cierto. En realidad, bajo PCI Compliance y las leyes de privacidad, todos los documentos en papel que contienen datos personales deben ser físicamente protegidos y con acceso limitado en todo momento.

CVV2 - si no estás cumpliendo con los estándares de seguridad PCI-DSS, está absolutamente prohibido pedir esta información a tus clientes. Especialmente si tu hotel utiliza un TPV Virtual para permitir reservas y pagos digitales, necesitarás proporcionar un ambiente seguro antes de pedir estos datos.

IDs únicos de usuario \- para tener un mayor control sobre los incidentes específicos con tarjetas, debes asignar un ID único de usuario a cada miembro del personal que tenga acceso a esta información.

Área de Seguridad - todos los formularios, documentos, carpetas, y máquinas que contienen datos personales, y son fácilmente accesibles en la recepción, deben moverse a un área con acceso restringido y cámaras de seguridad. Toda la información de tarjetas de pago tiene que ser protegida y fuera de alcance externo.

Notas y papeles físicos - mira alrededor de ti en la mesa de recepción. ¿Ves notas adhesivas, papeles arrancados, o cualquier otro tipo de anotación en cuadernos que contiene datos de tus clientes o de sus pagos? PCI Compliance no regula únicamente documentación oficial. Almacenamiento de información sensible en cualquier forma escrita sin protección está prohibido.

Almacenamiento digital de datos - los datos de pago de cualquier sistema electrónico, como un TPV Virtual o sistemas de catering, tienen que ser encriptados. En el caso contrario, se hacen altamente vulnerables a hackers y cibercriminales.

Estos son solo algunos de los cambios que van a ocurrir bajo los estándares PCI Compliance para hoteles. Con la obligatoriedad de estas normas desde 2018, asegúrate siempre de utilizar proveedores de soluciones de pago en cumplimiento con el nivel más alto de PCI-DSS, cómo MYMOID. En caso contrario, corres el riesgo de sufrir las consecuencias negativas de brechas y robo de datos entre otras vulnerabilidades de seguridad.