Le secteur hôtelier est l'un des plus exposés aux risques PCI DSS en Europe, et pourtant l'un des moins bien informés sur ses obligations. La réception d'un hôtel est un environnement de paiement à multiples canaux — terminal physique, réservations téléphoniques, OTAs, site web — chacun avec ses propres risques PCI. Les garanties de no-show, les pré-autorisations et les réservations MOTO sont autant de zones grises que les hôteliers gèrent souvent de manière non conforme sans le savoir.
Les réservations MOTO : le risque PCI le plus sous-estimé de l'hôtellerie
MOTO signifie Mail Order / Telephone Order : toute transaction où les données de carte sont communiquées par téléphone ou par email, sans présence physique de la carte. Dans l'hôtellerie, les réservations par téléphone avec données de carte représentent encore une part significative des ventes directes, notamment pour les groupes, les séminaires d'entreprise et les clients professionnels qui préfèrent ce canal.
Le risque PCI des transactions MOTO est double. Premièrement, le réceptionniste qui saisit les données de carte entendues par téléphone crée un CDE au niveau de son poste de travail et potentiellement de son réseau local. Deuxièmement, si les données de carte sont transmises par email ou par fax (encore courant dans le secteur), elles transitent par des systèmes de messagerie qui entrent automatiquement dans le périmètre PCI.
La solution pour les réservations téléphoniques est la pause-reprise (pause and resume) : le système de prise d'appels met automatiquement la conversation en pause lorsque le client communique ses données de carte, qui sont capturées directement dans un système de tokenisation certifié PCI DSS. Le réceptionniste n'entend ni ne voit jamais les données de carte, et l'enregistrement de l'appel ne les contient pas.
Les garanties no-show et pré-autorisations : une gestion souvent non conforme
La garantie no-show est une pratique universelle dans l'hôtellerie : le client fournit ses données de carte lors de la réservation, et l'hôtel peut débiter une pénalité en cas d'annulation tardive ou de non-présentation. Cette pratique est légitime, mais sa mise en œuvre est souvent non conforme PCI DSS.
Le problème courant est le stockage des données de carte pour la garantie : de nombreux hôtels stockent encore le PAN complet, la date d'expiration et le CVV dans leur PMS (Property Management System) ou même dans des tableurs Excel. C'est une violation grave de PCI DSS — le CVV ne doit jamais être stocké après autorisation, et le PAN ne doit être stocké que sous forme chiffrée ou tokenisée. La solution correcte est de tokeniser lors de la réservation et de stocker uniquement le token pour les débits futurs.
Les OTAs et les données de carte virtuelles : une responsabilité partagée
Les agences de voyage en ligne (OTAs) comme Booking.com, Expedia ou Hotels.com utilisent des cartes virtuelles pour transmettre le paiement à l'hôtel. Ces cartes virtuelles — générées par les OTAs au moment de la réservation — sont transmises à l'hôtel par email ou via l'extranet de l'OTA. L'hôtel doit ensuite débiter cette carte pour encaisser le paiement.
La réception et le traitement de ces cartes virtuelles créent un périmètre PCI à l'hôtel. Si l'hôtel accède à ces données via l'extranet de l'OTA et les saisit manuellement dans son terminal, il effectue une transaction MOTO et son terminal entre dans le CDE. De plus, si les emails contenant les données de cartes virtuelles sont stockés dans la boîte mail de la réception, ces emails font également partie du CDE.
Le PMS (Property Management System) et son rôle dans le périmètre PCI
Le PMS est le cœur opérationnel d'un hôtel : il gère les réservations, le check-in/check-out, la facturation et souvent le traitement des paiements. Si votre PMS stocke des PANs ou est connecté à un système qui les stocke, l'ensemble du PMS et son infrastructure réseau entrent dans le périmètre PCI DSS. Cela peut inclure des serveurs on-premise vieillissants, des connexions vers des systèmes tiers (CRS, channel manager, revenue management) et des terminaux de réception.
La plupart des PMS modernes proposent une intégration native avec des solutions de tokenisation. Dans ce cas, le PMS stocke uniquement des tokens et n'entre pas dans le CDE pour la gestion des PANs. Lors d'une éventuelle compromission du PMS, les données de carte ne sont pas exposées car elles ne s'y trouvent tout simplement pas. Vérifiez avec votre fournisseur de PMS quelle est son niveau de certification PCI DSS et comment son intégration de tokenisation fonctionne.
Le Wi-Fi invité et la segmentation réseau : un piège fréquent
Un risque PCI souvent négligé dans l'hôtellerie est la segmentation entre le réseau Wi-Fi invité et le réseau interne sur lequel transitent les données de paiement. Dans de nombreux hôtels, surtout les établissements indépendants, le réseau interne et le réseau invité partagent la même infrastructure physique ou sont insuffisamment segmentés. Un client malveillant connecté au Wi-Fi de l'hôtel pourrait, dans ce cas, accéder au réseau interne et potentiellement aux systèmes de paiement.
PCI DSS exige une segmentation réseau stricte entre les réseaux qui traitent des données de carte et tous les autres réseaux (exigences 1.3.x). Pour un hôtel, cela signifie que les terminaux de paiement, le PMS et tout système gérant des tokens doivent être sur un réseau physiquement ou logiquement séparé du Wi-Fi invité, du réseau de gestion des bâtiments (contrôle d'accès, climatisation) et des autres systèmes opérationnels.
Comment PCI Proxy EU résout la conformité hôtelière
PCI Proxy EU propose une solution complète pour la conformité PCI des hôtels, couvrant tous les canaux de paiement spécifiques au secteur. Pour les réservations téléphoniques, la solution de tokenisation MOTO permet de capturer les données de carte directement dans le vault sans que le réceptionniste n'y ait accès. Pour les garanties no-show, les tokens persistent pour les débits futurs sans jamais stocker de PAN dans le PMS. Pour les cartes virtuelles OTA, des connecteurs spécialisés permettent de récupérer et tokeniser automatiquement les données sans intervention manuelle.
L'hôtel bénéficie d'un périmètre PCI réduit au minimum : seul le vault de PCI Proxy EU traite les vrais PANs, et votre infrastructure interne ne voit que des tokens. Votre SAQ annuel se simplifie considérablement, vos risques d'amendes PCI diminuent, et vos clients bénéficient d'une protection maximale de leurs données de paiement lors de leurs séjours dans votre établissement.
Hôteliers, sécurisez vos réservations téléphoniques, garanties no-show et données OTA avec la tokenisation hôtelière de PCI Proxy EU. Découvrir PCI Proxy EU.