Il settore del pci dss travel industry è uno dei contesti in cui la conformità PCI DSS è più spesso ignorata o sottovalutata. Le agenzie viaggi pci dss e le Online Travel Agency gestiscono dati carta in decine di punti di contatto diversi, dalla prenotazione iniziale alla garanzia dell'hotel, fino al rimborso in caso di cancellazione. Molte di queste aziende sono in scope PCI completo senza averne piena consapevolezza, e senza aver mai compilato un SAQ.
Agenzie viaggi e OTA: perché sono in scope PCI senza saperlo
Una agenzia viaggi che raccoglie i dati carta del cliente per prenotare un volo o un hotel tramite GDS (Global Distribution System) tratta PAN in chiaro, anche se non li elabora direttamente. Se il numero carta viene digitato su un form web dell'agenzia, trasmesso via email o telefono a un operatore, o conservato in un gestionale, l'agenzia è a pieno titolo dentro il CDE (Cardholder Data Environment) e soggetta ai requisiti PCI DSS.
Le OTA si trovano in una posizione ancora più complessa. Da un lato fungono da intermediari tra il cliente e la struttura ricettiva, dall'altro spesso conservano i dati carta per garantire la prenotazione, addebitare il no-show o effettuare rimborsi. Ogni funzione aggiuntiva aumenta il perimetro PCI. E poiche queste operazioni avvengono su sistemi distribuiti, il rischio di trattare dati carta in ambienti non certificati è elevato.
Prenotazioni, garanzie e riprenotazioni: ogni touchpoint è un rischio
Nel ciclo di vita di una prenotazione turistica, i punti in cui il dato carta viene trattato sono numerosi. La raccolta iniziale durante la prenotazione online, la trasmissione alla struttura ricettiva per la garanzia, la conservazione per possibili addebiti post-soggiorno, il rimborso in caso di cancellazione: ognuno di questi momenti rappresenta un touchpoint che, se non gestito correttamente, crea un rischio PCI.
Un caso particolarmente critico è quello delle prenotazioni online pci dss con pagamento differito. Il cliente inserisce la carta per garantire la prenotazione, ma il pagamento avviene all'arrivo o al check-out. Nei giorni o settimane che intercorrono, il PAN deve essere conservato in modo sicuro. Molti sistemi gestionali del settore turistico non sono progettati per rispettare i requisiti PCI di cifratura e controllo degli accessi per lo storage di lungo periodo.
Come ridurre il scope PCI nel settore turistico
La strategia più efficace per le agenzie viaggi e le OTA è eliminare i PAN dai propri sistemi e sostituirli con token. Con PCI Proxy EU, il dato carta viene raccolto direttamente dal cliente tramite un form sicuro e convertito in token prima che transiti nei sistemi dell'agenzia. Il gestionale, il CRM e i sistemi di back-office lavorano solo con il token, senza mai ricevere il PAN in chiaro.
Questo approccio riduce drasticamente il perimetro PCI. L'agenzia o la OTA non deve più certificare i propri sistemi interni come parte del CDE, e può compilare un SAQ A o SAQ A-EP invece di un audit completo. La struttura ricettiva a valle riceve il token, che può usare per addebitare il soggiorno tramite l'acquirer senza che il dato carta transiti sui propri server.
Domande frequenti
Un'agenzia viaggi che usa solo GDS è in scope PCI?
Dipende da come il dato carta arriva al GDS. Se l'agenzia digita il PAN nel proprio terminale o nel software gestionale prima di trasmetterlo al GDS, è in scope PCI perché ha trattato il dato. Se invece usa un modulo di pagamento hosted del GDS in cui il cliente inserisce direttamente la carta, l'agenzia può essere fuori scope purche non tocchi mai il PAN.
Le OTA come Booking.com passano la responsabilità PCI all'hotel?
Le grandi OTA gestiscono il pagamento tramite i propri sistemi certificati PCI e trasmettono alla struttura ricettiva un virtual card number (VCN) o un token, non il PAN del cliente. L'hotel elabora il pagamento tramite il VCN. Tuttavia, quando l'hotel raccoglie una carta direttamente per servizi accessori, torna in scope PCI per quella specifica transazione.
Come gestisco i dati carta per le garanzie di prenotazione?
La soluzione corretta è tokenizzare il dato carta al momento della raccolta e conservare solo il token nel sistema di prenotazione. PCI Proxy EU permette di raccogliere il PAN tramite un hosted field, convertirlo in token e usare il token per addebitare la garanzia o il no-show quando necessario, senza mai conservare il PAN nei sistemi propri.
Vuoi rimuovere i dati carta dal tuo gestionale viaggi e ridurre il scope PCI? Parlaci della tua situazione. Scopri PCI Proxy EU.