Branża hotelarska to jeden z sektorów najbardziej narażonych na naruszenia danych kart płatniczych. Liczne punkty kontaktu z danymi kart – recepcja, restauracja, rezerwacje telefoniczne, systemy PMS – tworzą rozległy CDE i złożone wymagania PCI DSS. Jednocześnie wiele hoteli nie jest w pełni świadoma swoich obowiązków compliance, szczególnie w zakresie rezerwacji telefonicznych i gwarancji no-show.
Punkty kontaktu z danymi kart w hotelu
Typowy hotel przetwarza dane kart w wielu punktach: rezerwacje telefoniczne i przez e-mail (MOTO), check-in na recepcji (POS), restauracja i inne usługi (POS), gwarancja karty przy rezerwacji (card-on-file), pre-autoryzacja przy check-in, check-out i rozliczenie ostateczne, kiosk self-service (jeśli dostępny). Każdy z tych punktów generuje specyficzne wymagania PCI DSS i musi być uwzględniony w mapowaniu CDE.
Rezerwacje telefoniczne i MOTO: największe ryzyko
Rezerwacje telefoniczne – szczególnie te, przy których klient podaje dane karty jako gwarancję rezerwacji lub zaliczkę – to jeden z największych wyzwań PCI DSS w hotelarstwie. Nagrywanie rozmów telefonicznych zawierających numery kart jest wprost zakazane przez PCI DSS (Wymaganie 3.3.2). Rozwiązaniem jest DTMF tokenization: klient wprowadza dane karty przez klawiaturę telefonu, operator call center słyszy ‚bip' zamiast cyfr – PCI Proxy EU przechwytuje dane i generuje token.
System PMS a PCI DSS: integracja z zachowaniem zgodności
System zarządzania nieruchomością (PMS) jest centrum nerwowym hotelu i często integruje się z danymi kart. Nowoczesne PMS (Opera, Mews, Protel) oferują integracje z systemami tokenizacji – dane karty są przechowywane jako tokeny, nie PAN. Starsze systemy PMS mogą wymagać middleware tokenizacji, który przechwytuje dane karty przed ich wejściem do PMS i zastępuje je tokenami. PCI Proxy EU oferuje integracje z popularnymi systemami PMS.
Gwarancja no-show i card-on-file: jak bezpiecznie zarządzać
Gwarancja no-show wymaga przechowywania odniesienia do karty klienta przez dni lub tygodnie. Tradycyjnie wiązało się to z przechowywaniem PAN lub częściowych danych karty w systemie PMS – co narusza PCI DSS (zakaz przechowywania CVV, ograniczenia przechowywania PAN). Tokenizacja card-on-file PCI Proxy EU rozwiązuje problem: hotel przechowuje token, vault PCI Proxy EU przechowuje rzeczywiste dane. Możliwe jest obciążenie karty w przypadku no-show bez ponownego kontaktu z klientem.
OTA i partnerzy turystyczni: zarządzanie danymi kart z zewnątrz
Hotele współpracujące z OTA (Booking.com, Expedia) często otrzymują dane kart klientów od OTA jako tzw. virtual credit cards (VCC) lub bezpośrednie dane karty. Każdy z tych scenariuszy wymaga analizy przepływu danych i określenia zakresu PCI DSS. Tokenizacja VCC przez PCI Proxy EU pozwala na przechowywanie wirtualnych kart korporacyjnych OTA jako tokenów w systemie PMS, eliminując bezpośredni kontakt systemu hotelowego z danymi kart.
Rozwiązania PCI DSS dla branży hotelowej
PCI Proxy EU oferuje dedykowane rozwiązania tokenizacji dla hoteli, w tym integracje MOTO/DTMF i card-on-file dla gwarancji rezerwacji.
Porozmawiaj z ekspertem