Le secteur du voyage est l'un des plus exposés aux risques liés aux données de carte. Entre les réservations multi-canaux, les prépaiements, les garanties de réservation et les politiques d'annulation, les données de cartes circulent dans des flux particulièrement complexes. PCI DSS impose des obligations spécifiques que toute agence, OTA ou plateforme de réservation doit maîtriser.
Pourquoi le tourisme est particulièrement exposé aux risques PCI DSS
Le secteur du voyage présente des caractéristiques qui le rendent intrinsèquement complexe du point de vue PCI DSS. Les réservations sont souvent effectuées des semaines ou des mois à l'avance, ce qui crée un besoin de conserver les données de garantie pendant de longues périodes. Les annulations et modifications tardives nécessitent de débiter des cartes enregistrées bien après la transaction initiale. Et les chaînes de distribution impliquent souvent de nombreux intermédiaires — OTA, GDS, tour-opérateurs, hôtels — entre le client final et l'encaissement.
Cette complexité opérationnelle pousse de nombreux acteurs à conserver des données de carte dans leurs systèmes internes — parfois dans des fichiers Excel, des bases de données non sécurisées, ou transmises par e-mail — pratiques qui constituent des violations PCI graves. Un acteur du voyage qui stocke des données de carte brutes sans les protections adéquates s'expose à des sanctions sévères en cas d'incident.
Les obligations PCI DSS pour les agences de voyage traditionnelles
Une agence de voyage qui reçoit des numéros de carte par téléphone (mode MOTO — Mail Order/Telephone Order) ou par e-mail pour garantir des réservations est soumise aux exigences PCI DSS les plus strictes. Chaque canal de réception de données de carte étend le périmètre et peut nécessiter l'application du SAQ D, le questionnaire le plus complet avec plus de 300 exigences.
Pour les agences qui opèrent principalement en MOTO, la solution la plus efficace est d'utiliser une solution de tokenisation qui capture les données de carte via un serveur vocal interactif (IVR) certifié PCI ou un portail de saisie sécurisé, de sorte que l'agent n'entend jamais ou ne voit jamais le numéro de carte complet. Le token résultant peut ensuite être utilisé pour les débits ultérieurs sans élargir le périmètre.
Les GDS (Global Distribution Systems) comme Amadeus, Sabre ou Travelport ont leurs propres mécanismes de stockage sécurisé des formes de paiement. Les agences qui utilisent ces systèmes doivent néanmoins vérifier que leur propre environnement (les terminaux, les systèmes back-office) ne stocke pas de données de carte en dehors de ces systèmes certifiés.
PCI DSS pour les OTA et plateformes de réservation en ligne
Les OTA (Online Travel Agencies) comme les méta-moteurs de recherche sont des marchands au sens PCI DSS. Une OTA qui traite directement les paiements est soumise aux mêmes exigences qu'un e-commerçant, avec la complexité additionnelle de devoir transférer des fonds ou des garanties à des hôtels, compagnies aériennes et autres fournisseurs. Ce flux de reversement implique souvent de stocker temporairement des informations de paiement qui doivent être protégées.
Pour les OTA qui fonctionnent en modèle d'agence (facturation directe par l'hôtel) mais qui collectent des garanties de carte, la tokenisation est la solution de référence. Les tokens peuvent être transmis aux fournisseurs pour débit ultérieur sans que les données de carte brutes ne transitent par les systèmes de l'OTA. Certaines plateformes comme PCI Proxy EU permettent précisément de proxifier ces flux de manière transparente.
La gestion des garanties de carte et des no-show
La problématique des garanties de carte est centrale dans l'hôtellerie et les transports. Un hôtel ou une agence qui collecte une garantie de carte pour couvrir un éventuel no-show doit pouvoir débiter cette carte des semaines après la réservation, parfois en l'absence du client. Ce besoin de conservation crée un périmètre PCI étendu si les données ne sont pas tokenisées.
La solution réglementaire est d'utiliser des tokens persistants : lors de la réservation, la carte est tokenisée et le token est stocké ; en cas de no-show, le token est utilisé pour initier le débit via la passerelle de paiement. Le marchand n'a jamais besoin de stocker le PAN (numéro de compte principal) ni le CVV — qui d'ailleurs ne peut légalement jamais être stocké après autorisation selon les règles PCI DSS.
Conformité PCI DSS et réglementation européenne du voyage
En Europe, le secteur du voyage est soumis à des réglementations spécifiques comme la directive sur les voyages à forfait (2015/2302/UE) et les règles de protection des consommateurs. Ces cadres imposent des garanties financières et des protections en cas d'insolvabilité de l'opérateur. Bien qu'elles ne traitent pas directement de sécurité des paiements, elles créent un environnement réglementaire où la confiance et la protection du client sont centrales.
La conformité PCI DSS s'inscrit naturellement dans cette logique de protection du consommateur européen. Un opérateur de voyage qui peut démontrer sa conformité PCI DSS — et qui peut afficher les certifications de ses prestataires de paiement — renforce la confiance de ses clients et se différencie sur un marché compétitif où la sécurité des transactions est un critère de choix de plus en plus important.
Stratégie de réduction du périmètre pour les acteurs du voyage
La réduction du périmètre PCI DSS passe par une cartographie précise de tous les flux de données de carte dans l'organisation. Pour un acteur du voyage, cela signifie recenser tous les canaux de réservation (web, téléphone, e-mail, API partenaires), tous les systèmes qui reçoivent ou transmettent des données de carte, et tous les prestataires tiers impliqués dans la chaîne de traitement.
Une fois cette cartographie établie, la stratégie consiste à remplacer chaque occurrence de données de carte brutes par des tokens. Les solutions de tokenisation modernes permettent de gérer des tokens multi-usages (débit, remboursement, autorisation différée) tout en maintenant une compatibilité avec les principaux systèmes GDS, PMS (Property Management System) et CRS (Central Reservation System) du secteur.
Vous opérez dans le secteur du voyage et souhaitez sécuriser vos flux de données de carte ? Découvrir PCI Proxy EU.