Sektor turystyczny jest jednym z najbardziej złożonych z perspektywy PCI DSS: płatności za loty, hotele, wycieczki i usługi dodatkowe przepływają przez sieci agentów, systemów GDS (Global Distribution System), OTA (Online Travel Agency) i dostawców. Każde ogniwo tego łańcucha, które przetwarza dane kart, wchodzi w zakres PCI DSS. Ten artykuł wyjaśnia obowiązki kluczowych graczy sektora turystycznego.
Agencje podróży offline: płatności MOTO i terminale POS
Tradycyjna agencja podróży przyjmuje płatności przez: terminale POS (klient fizycznie obecny w biurze), telefon i e-mail (MOTO – Mail Order / Telephone Order), przedpłaty przelewem (nie PCI DSS, ale inne przepisy). Terminale POS generują zakres PCI DSS dla fizycznego środowiska agencji. MOTO generuje specyficzne wymagania: brak przechowywania CVV, ostrożność z nagrywaniem rozmów, DTMF tokenization jako optymalne rozwiązanie dla płatności telefonicznych.
OTA i platformy rezerwacji online: e-commerce z wysokim wolumenem
Online Travel Agency (Booking.com, Expedia, i polskie platformy turystyczne) to sprzedawcy e-commerce z typowo wysokim wolumenem transakcji – klasyfikujący się jako Level 1 lub Level 2. Obowiązki to: coroczny audyt QSA lub SAQ (zależnie od poziomu), kwartalne skany ASV, ochrona płatności online przez hosted forms lub PCI-certyfikowane bramki, zarządzanie danymi kart przechowywanymi dla stornowania i modyfikacji rezerwacji (card-on-file).
GDS i agregatory: łańcuch odpowiedzialności
Systemy dystrybucji globalnej (GDS) jak Amadeus, Sabre, Travelport tworzą złożony łańcuch odpowiedzialności PCI DSS. GDS przetwarza dane kart przy transakcjach między agentami, liniami lotniczymi i hotelami – i jest certyfikowany jako service provider PCI DSS Level 1. Agencje korzystające z GDS muszą jednak zapewnić, że ich własna integracja z GDS jest bezpieczna: połączenia szyfrowane, brak lokalnego przechowywania PAN, dokumentacja relacji z GDS jako service provider.
Gwarancje kart i wirtualne karty korporacyjne w turystyce
Sektor turystyczny intensywnie używa virtual credit cards (VCC): OTA i agencje wystawiają wirtualne karty korporacyjne dla hoteli i dostawców usług zamiast przekazywać rzeczywiste karty klientów. Każda VCC ma unikalny numer, limit kwotowy i datę ważności. Hotele i dostawcy usług muszą zarządzać VCC zgodnie z PCI DSS – przechowywanie VCC jako card-on-file do późniejszego obciążenia musi być tokenizowane. PCI Proxy EU obsługuje tokenizację VCC i ich bezpieczne przechowywanie w vault.
Refundy i storna w turystyce: wyzwania PCI DSS
Wysoka częstotliwość refundacji i anulacji w turystyce (szczególnie po COVID-19) stwarza specyficzne wyzwania: refund wymaga dostępu do danych karty klienta (token musi być ważny do momentu zakończenia podróży), przechowywanie kart na czas potencjalnego storno musi spełniać PCI DSS, polityki przechowywania danych muszą uwzględniać terminy storno (często 30-90 dni po podróży). Tokenizacja card-on-file PCI Proxy EU rozwiązuje wszystkie te scenariusze: token pozostaje ważny przez zdefiniowany okres, umożliwiając storno i refundy bez przechowywania PAN.
Rozwiązania PCI DSS dla sektora turystycznego
PCI Proxy EU obsługuje tokenizację card-on-file, DTMF/MOTO i wirtualne karty korporacyjne dla branży turystycznej.
Porozmawiaj z ekspertem