El setor de los viajes e el turismo es uno de los contextos en los que la conformidade PCI DSS se ignora o subestima con mayor frecuencia. Las agencias de viaje e las Online Travel Agency gerem dados de cartão en decenas de puntos de contacto diferentes, desde la reserva inicial hasta la garantía del hotel, pasando por el reembolso en caso de cancelação. Muchas de estas empresas estão en âmbito PCI completo sin ter plena conciencia de ello, e sin haber completado nunca un SAQ.
Agencias de viaje e OTAs: por qué estão en âmbito PCI sin saberlo
Una agencia de viajes que recoge los dados de cartão del cliente para reservar un vuelo o un hotel através de un GDS (Global Distribution System) trata PAN en claro, embora no los procese directamente. Si el número de cartão es digitado en un formulário web de la agencia, transmitido por correo electrónico o telefone a un operador, o conservado en un sistema de gestão, la agencia está plenamente dentro del CDE (Cardholder Data Environment) e sujeta a los requisitos PCI DSS.
Las OTAs se encontram en una posição aún mais compleja. Por un lado actúan de intermediarias entre el cliente e el establecimiento de alojamiento, por otro a menudo conservan los dados de cartão para garantir la reserva, cobrar el no-show o efectuar reembolsos. Cada função adicional aumenta el perímetro PCI. Y como estas operaciones se producen en sistemas distribuidos, el riesgo de tratar dados de cartão en ambientes no certificados es elevado.
Reservas, garantías e cambios de reserva: cada punto de contacto es un riesgo
En el ciclo de vida de una reserva turística, los puntos en los que el dato de cartão es tratado são numerosos. La recogida inicial durante la reserva online, la transmisión al establecimiento de alojamiento para la garantía, la conservação para posibles cargos posteriores a la estancia, el reembolso en caso de cancelação: cada uno de estos momentos representa un punto de contacto que, si no se gere correctamente, crea un riesgo PCI.
Un caso especialmente crítico es el de las reservas online con pago diferido. El cliente introduce la cartão para garantir la reserva, mas el pago se produce a la llegada o al check-out. En los días o semanas que transcurren, el PAN deve conservarse de forma segura. Muchos sistemas de gestão del setor turístico no estão diseñados para cumprir los requisitos PCI de encriptação e control de acceso para el armazenamento a largo plazo.
Como reduzir el âmbito PCI en el setor turístico
La estratégia mais eficaz para las agencias de viaje e las OTAs es eliminar los PAN de sus propios sistemas e sustituirlos por tokens. Con PCI Proxy EU, el dato de cartão es recogido directamente por el cliente através de un formulário seguro e convertido en token antes de que transite por los sistemas de la agencia. El sistema de gestão, el CRM e los sistemas de back-office trabajan únicamente con el token, sin recibir nunca el PAN en claro.
Este enfoque reduz drásticamente el perímetro PCI. La agencia o la OTA no precisa certificar sus propios sistemas internos como parte del CDE, e pode completar un SAQ A o SAQ A-EP en lugar de una auditoría completa. El establecimiento de alojamiento receptor recibe el token, que pode utilizar para cobrar la estancia através del adquirente sin que el dato de cartão transite por sus propios servidores.
Preguntas frecuentes
Una agencia de viajes que usa apenas GDS está en âmbito PCI?
Depende de como el dato de cartão llega al GDS. Si la agencia digita el PAN en su propio terminal o en el software de gestão antes de transmitirlo al GDS, está en âmbito PCI porque ha tratado el dato. Si, en cambio, utiliza un módulo de pago hospedado del GDS en el que el cliente introduce directamente la cartão, la agencia pode estar fuera del âmbito sempre que nunca toque el PAN.
Las OTAs como Booking.com transfieren la responsabilidade PCI al hotel?
Las grandes OTAs gerem el pago através de sus propios sistemas certificados PCI e transmiten al establecimiento de alojamiento un número de cartão virtual (VCN) o un token, no el PAN del cliente. El hotel processa el pago através del VCN. Sin embargo, quando el hotel recoge una cartão directamente para serviços adicionales, vuelve al âmbito PCI para esa transação específica.
Como gestiono los dados de cartão para las garantías de reserva?
La solução correcta es tokenizar el dato de cartão en el momento de la recogida e conservar únicamente el token en el sistema de reservas. PCI Proxy EU permite recoger el PAN através de un hosted field, convertirlo en token e utilizar el token para cobrar la garantía o el no-show quando sea necesario, sin conservar nunca el PAN en los propios sistemas.
Quiere eliminar los dados de cartão de su sistema de gestão de viajes e reduzir el âmbito PCI? Háblenos de su situação. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos