El sector de los viajes y el turismo es uno de los contextos en los que la conformidad PCI DSS se ignora o subestima con mayor frecuencia. Las agencias de viaje y las Online Travel Agency gestionan datos de tarjeta en decenas de puntos de contacto diferentes, desde la reserva inicial hasta la garantía del hotel, pasando por el reembolso en caso de cancelación. Muchas de estas empresas están en alcance PCI completo sin tener plena conciencia de ello, y sin haber completado nunca un SAQ.
Agencias de viaje y OTAs: por qué están en alcance PCI sin saberlo
Una agencia de viajes que recoge los datos de tarjeta del cliente para reservar un vuelo o un hotel a través de un GDS (Global Distribution System) trata PAN en claro, aunque no los procese directamente. Si el número de tarjeta es digitado en un formulario web de la agencia, transmitido por correo electrónico o teléfono a un operador, o conservado en un sistema de gestión, la agencia está plenamente dentro del CDE (Cardholder Data Environment) y sujeta a los requisitos PCI DSS.
Las OTAs se encuentran en una posición aún más compleja. Por un lado actúan de intermediarias entre el cliente y el establecimiento de alojamiento, por otro a menudo conservan los datos de tarjeta para garantizar la reserva, cobrar el no-show o efectuar reembolsos. Cada función adicional aumenta el perímetro PCI. Y como estas operaciones se producen en sistemas distribuidos, el riesgo de tratar datos de tarjeta en entornos no certificados es elevado.
Reservas, garantías y cambios de reserva: cada punto de contacto es un riesgo
En el ciclo de vida de una reserva turística, los puntos en los que el dato de tarjeta es tratado son numerosos. La recogida inicial durante la reserva online, la transmisión al establecimiento de alojamiento para la garantía, la conservación para posibles cargos posteriores a la estancia, el reembolso en caso de cancelación: cada uno de estos momentos representa un punto de contacto que, si no se gestiona correctamente, crea un riesgo PCI.
Un caso especialmente crítico es el de las reservas online con pago diferido. El cliente introduce la tarjeta para garantizar la reserva, pero el pago se produce a la llegada o al check-out. En los días o semanas que transcurren, el PAN debe conservarse de forma segura. Muchos sistemas de gestión del sector turístico no están diseñados para cumplir los requisitos PCI de cifrado y control de acceso para el almacenamiento a largo plazo.
Cómo reducir el alcance PCI en el sector turístico
La estrategia más eficaz para las agencias de viaje y las OTAs es eliminar los PAN de sus propios sistemas y sustituirlos por tokens. Con PCI Proxy EU, el dato de tarjeta es recogido directamente por el cliente a través de un formulario seguro y convertido en token antes de que transite por los sistemas de la agencia. El sistema de gestión, el CRM y los sistemas de back-office trabajan únicamente con el token, sin recibir nunca el PAN en claro.
Este enfoque reduce drásticamente el perímetro PCI. La agencia o la OTA no necesita certificar sus propios sistemas internos como parte del CDE, y puede completar un SAQ A o SAQ A-EP en lugar de una auditoría completa. El establecimiento de alojamiento receptor recibe el token, que puede utilizar para cargar la estancia a través del adquirente sin que el dato de tarjeta transite por sus propios servidores.
Preguntas frecuentes
¿Una agencia de viajes que usa solo GDS está en alcance PCI?
Depende de cómo el dato de tarjeta llega al GDS. Si la agencia digita el PAN en su propio terminal o en el software de gestión antes de transmitirlo al GDS, está en alcance PCI porque ha tratado el dato. Si, en cambio, utiliza un módulo de pago hospedado del GDS en el que el cliente introduce directamente la tarjeta, la agencia puede estar fuera del alcance siempre que nunca toque el PAN.
¿Las OTAs como Booking.com transfieren la responsabilidad PCI al hotel?
Las grandes OTAs gestionan el pago a través de sus propios sistemas certificados PCI y transmiten al establecimiento de alojamiento un número de tarjeta virtual (VCN) o un token, no el PAN del cliente. El hotel procesa el pago a través del VCN. Sin embargo, cuando el hotel recoge una tarjeta directamente para servicios adicionales, vuelve al alcance PCI para esa transacción específica.
¿Cómo gestiono los datos de tarjeta para las garantías de reserva?
La solución correcta es tokenizar el dato de tarjeta en el momento de la recogida y conservar únicamente el token en el sistema de reservas. PCI Proxy EU permite recoger el PAN a través de un hosted field, convertirlo en token y utilizar el token para cargar la garantía o el no-show cuando sea necesario, sin conservar nunca el PAN en los propios sistemas.
¿Quiere eliminar los datos de tarjeta de su sistema de gestión de viajes y reducir el alcance PCI? Háblenos de su situación. Descubra PCI Proxy EU.