- Nuestra empresa Dingus acaba de recibir la certificación PCI Compliance Service Provider Level 1 avalada por los expertos en seguridad digital de A2SECURE, y garantiza así el cumplimiento del estándar a los hoteles con los que trabaja
Hace algo más de un año, cuando en el sector hotelero se empezaba a hablar del cumplimiento de la normativa privada impulsada por la industria de las tarjetas de pago (y a raíz de los movimientos realizados por grandes OTAs como Booking.com y Expedia), el proveedor de tecnología para la distribución comercial de hoteles y propiedades turísticas Dingus inició con A2SECURE el proceso de certificación en PCI-DSS. El trámite ha concluido ahora con el sello PCI Compliance Service Provider Level 1.
De esta forma continúa “la estrategia de cumplimiento del estándar, tanto para la empresa como para sus clientes, ofreciendo una solución novedosa –indica la consultora experta- que da soporte a los requisitos de la normativa bajo el prisma de mejorar su nivel de ciberseguridad y facilitar la vida a los hoteles mediante su plataforma de gestión de cobros”. Book&Payment recoge las tarjetas de las reservas y, antes de que estas pasen al hotel, son tokenizadas, entregando tokens pero, en ningún caso, datos de tarjetas bancarias… Además, B&P se encarga de custodiarlas acorde a PCI-DSS y permite que puedan procesarse pagos por vía directa con diversos payment gateways, sin que los sistemas de los hoteles o su personal manipulen los datos. De esta manera “ayuda a simplificar uno de los canales de entrada de las tarjetas en los hoteles y, por ende, el cumplimiento de la norma”.
PCI-DSS es una normativa de seguridad internacional, desarrollada por las principales marcas de pagos como son Visa, Mastercard y American Expresss, cuyo objetivo es mejorar la seguridad de todo el entorno relacionado con tarjetas, a fin de evitar y minimizar situaciones como las acontecidas recientemente importantes compañías del sector del turismo. Frente a otro tipo de actividades donde el cumplimiento se puede abordar de una manera más individualizada, como pueda ser por ejemplo el sector del e-commerce, en el turístico existen gran cantidad de players y, todos ellos, tienen su parcela de responsabilidad.
Según explica el cofundador de A2SECURE, Albert Morell, “un hotel debe cumplir con PCI-DSS. Es una realidad, y el motivo es sumamente sencillo: tienen contratos con entidades bancarias que hacen la función del banco adquiriente, donde solicitan códigos de comercio para cobrar sus servicios, principalmente, las estancias que pasamos en cada hotel”. Para afrontarlo, lo primero es analizar los flujos por los que circulan datos de tarjetas de sus clientes (venta propia a través de la web, asistida a través de Call Center, reservas procedentes de OTAs, pagos presenciales durante el Check In o Check Out, recuperación de tarjetas para procesar No-Show…) y “es aquí donde la situación frente a un clásico e-commerce empieza a complicarse, apareciendo los players –PMS, Channel Managers, pasarelas de pago…- que afectan a la cadena”.
Facilitar el cumplimiento al hotel
El hotel, a fin de garantizar el cumplimiento PCI-DSS, debe asegurar que los players con los que trabaja también cumplan, ya que las tarjetas con las que finalmente cobra sus estancias pueden pasar por cada una de estas empresas o, como se denomina en la normativa, proveedores de servicio. ¿Cuál sería la mejor estrategia de estos para hacerlo?. En opinión del certificador “lo ideal sería trabajar el cumplimiento ayudando al hotel y haciéndole la vida más fácil. Bajo esta premisa, hay dos actores que pueden realmente ayudar al sector hotelero a simplificar su cumplimiento. En concreto, estos son tanto los Channel Managers como los PMS y, entre los dos, muy especialmente los Channel Managers, ya que por su tipología de negocio han podido moverse antes al Cloud y ofrecer sus servicios de forma efectiva como servicio, antes que los PMS”.
El Channel Manager, al ser un concentrador de muchos canales de reserva, tiene circulando por él un tanto por ciento muy elevado de las tarjetas que debe gestionar un hotel. Así, el Channel Manager tiene la capacidad de interceptas estar tarjetas, guardarlas en delegación por el hotel, y evitar que estas entren en los sistemas del propio hotel, simplificando una parte del cumplimiento del PCI-DSS al establecimiento. Finalmente, a través de integraciones con PMS y pasarelas de pago, “es posible cerrar los procesos de cobro evitando, tanto que la tarjeta llegue al hotel, como que esta sea en muchas ocasiones visible para su personal”.
Es bastante fácil entender que no es lo mismo una única base de datos con tarjetas bancarias cifradas en todo un flujo, que el hecho de que el Channel Manager, -como Dingus- tenga su base de datos, el PMS la suya y la pasarela de pago también: son tres localizaciones distintas donde un hacker puede ir a buscar la misma información, multiplicando también por tres la posibilidad de cometer algún error y acabar exponiendo esta información sensible.
