De Reise- en Tourismussektor heeft een besonders komplexes Verhältnis te PCI DSS: Buchungen worden über mehrere Kanäle entgegengenommen (Online, Telefoon, Reisbureaus), Betalingen erfolgen oft met Zeitverzögerung tegenover het Kauf, Kaartgegevens worden tussen mehreren Parteien (OTA, Hotel, Airline, GDS) doorgestuurd en viele Transacties omvatten gespeicherte Kaartgegevens voor spätere Belastungen (z.B. Anzahlungen, Stornogebühren). Deze Komplexität maakt PCI DSS in het Reisebereich te een de anspruchsvollsten Naleving-Herausforderungen.
Waarom Reise- en Tourismusunternehmen besondere PCI DSS-Herausforderungen hebben
In het Gegensatz te een Eenvoudige E-Commerce-Handelaar, de Kaartgegevens alleen in het Moment van de Kaufs verwerkt, hebben Reiseunternehmen oft Szenarien, in deen Kaartgegevens tussen het Buchungszeitpunkt en de werkelijke Leistungserbringung opgeslagen worden moeten:
- Garantierte Reservierungen: Hotels opslaan Kaartgegevens, om bij No-Show Gebühren erheben te kunnen.
- Anzahlungen en Restzahlungen: Reisepakete worden oft met Anzahlung gebucht en de Rest wordt später belastet.
- OTA-te-Hotel-Übertragungen: Wanneer een OTA een Buchung naar een Hotel weiterleitet, kunnen Kaartgegevens via mehrere Systemen fließen.
- B2B-Reisebüro-Buchungen: Unternehmensbuchungen, bij denen de Reisende een Firmenkarte hinterlegt.
Hotels en Unterkunftsanbieter
Hotels zijn in een besonders komplexen PCI DSS-Situation: U ontvangen Buchungen über OTAs (de Kaartgegevens übertragen kunnen), directe Online-Buchungen, Telefonreservierungen en fysieke Check-ins. DePMS(Property Management Systemen) zijn oft ältere Software-Systemen, de Kaartgegevens in proprietären Formaten opslaan.
De Oplossing voor Hotels is een kombinierte Strategie: Tokenisatie voor Alle Nieuwe Buchungskanäle (Online, OTA-Verbindungen) en schrittweise Migratie van de PMS te tokenisierten Kaartgegevens. Wanneer het PMS geen echten PANs Meer slaat op, verlässt de CDE en de PCI DSS-Bereik verkleint zich erheblich.
OTAs en Online-Reisbureaus
Große OTAs (Booking.com, Expedia etc.) hebben eigene PCI DSS-Naleving-Teams en Level-1-Zertifizierungen. Kleinere OTAs en Online-Reisbureaus hingegen kämpfen oft met de Komplexität ihres Zahlungsmodells: U nehmen Kaartgegevens van het Klanten entgegen, moeten Deze naar Leveranciers (Hotels, Airlines, Transfers) weiterleiten en gleichzeitig Rückerstattungsrechte en späte Belastungen verwalten.
Tokenisatie löst Dit Probleem via het Konzept deweitergeleiteten Token: Wanneer de Klant een Kaart hinterlegt, wordt een Token generiert. De OTA kan deze Token naar De Leveranciers weiterleiten, de ihn naar de Charge naar De Vault übermitteln kan, zonder dat de PAN-Nummer via het OTA-Systeem fließt. Beide Parteien verlassen de CDE: De Kaartgegevens blijven in het Vault van de PCI-Anbieters.
Telefonische Buchungen en callcenter in het Reisebereich
De Telefonkanal is in het Reisebereich besonders präsent: Viele Klanten buchen complexe Reisen telefonisch, omdat u individuelle Advies wünschen. Het callcenter is damit oft de größte PCI DSS-Risikopunkt: Medewerker, de Kaartnummers manuell in Buchungssysteme invoeren, maken Deze Systemen CDE-pflichtig.
Oplossingen voor callcenter in het Reisebereich:
- MOTO-Tokenisierungslink: De Medewerker erstellt een Buchung zonder Kaartgegevens en stuurt het Klanten een veilige Zahlungslink. De Klant is Het de Kaart selbst een.
- Pause-and-Resume-Aufzeichnungssysteme: Anrufaufzeichnungssysteme, de de Opname automatisch unterbrechen, wanneer de Klant Kaartgegevens invoert (DTMF-Geluid-Maskierung).
- IVR-Zahlungsabwicklung: De Klant wordt voor de Karteneingabe naar een IVR-Systeem doorgestuurd, zonder dat de Medewerker de Betaling ziet.
Veelgestelde vragen
Wanneer wij alleen Anzahlungen über Stripe nehmen en geen PAN opslaan, zijn wij compliant?
Wanneer Alle Kaartgegevens ausschließlich über Stripes Hosted Payment Page of veilige API fließen, zonder dat Uw Server ooit De PAN zien, qualifizieren U zich in de Regel voor SAQ A. Het geldt echter alleen, wanneer Alle Kanäle (Online, Telefoon, wanneer vorhanden physisch) über dieselbe tokenisierte Architektur abgewickelt worden. Wanneer ook alleen een Kanaal directe PAN-Gegevens ontvangt, moeten U een anderen SAQ-Typ ausfüllen.
Zijn wij verantwortlich, wanneer onze OTA-Buchungen Kaartgegevens weitergeben?
De PCI DSS-Haftung liegt bij de Partei, de de Kaartgegevens verwerkt. Wanneer een OTA Kaartgegevens naar Uw Systeem stuurt en U Deze in Uw PMS opslaan, zijn U voor de Beveiliging Deze Gegevens verantwortlich. De OTA en U zijn Beide aan de Datenkette beteiligt en teilen potenziell de Haftung bij een Panne. De sicherste Oplossing is een API-Integratie, de Tokens anstelle van PANs überträgt: Beide Parteien verlassen de CDE.
De Reise- en Tourismussektor benötigt PCI DSS-Oplossingen, de complexe Zahlungsmodelle abbilden: PCI Proxy EU biedt Tokenisatie voor OTAs, Hotels en Reisbureaus.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op