Engisoft

PMS y PCI DSS compliance: ¿Opción o requerimiento? ¿QUÉ ES PCI-DSS Y CUÁL ES SU OBJETIVO? PCI-DSS es un término que significa “Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago” (Payment Card Industry Data Security Standard en inglés)

¿QUÉ ES PCI-DSS Y CUÁL ES SU OBJETIVO?

PCI-DSS es un término que significa «Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago» (Payment Card Industry Data Security Standard en inglés). En definitiva, se trata de un estándar desarrollado por un comité formado por las principales compañías de tarjetas de crédito y débito (PCI-SSC) con el objetivo de evitar los fraudes que afectan a dicho soporte.

Los 12 requisitos indicados en PCI-DSS, no dejan de ser una guía que pretende ayudar a las organizaciones que procesan, almacenan y/o transmiten los datos de los titulares de las tarjetas. En el caso que nos ocupa: su PMS.

¿Es obligatorio certificarse en PCI-DSS?

La respuesta inmediata es: NO, se trata únicamente de una guía. Pero…

… pero puede ser exigida por las compañías de tarjetas a aquellos que tienen las licencias, franquicias o permisos para utilizarlas. Este hecho se convierte en una cadena de consecuencias que, inevitablemnete, acabará afectando a su hotel, al que podrían retirar, por ejemplo, los servicios de TPV físicos (datáfonos) en caso de no adaptarse al estándar.

Si imaginamos un escenario habitual, podemos ejemplificar gráficamente dicha cadena de requerimientos en caso de fraude con una tarjeta de pago (quién pedirá explicaciones a quién):

Pero, ¿en qué afectaría a su hotel la adaptación a PCI-DSS?

No es ningún secreto que en los últimos años están proliferando tanto los ataques maliciosos dirigidos a grandes empresas como el malware que se propaga afectando a cualquiera de nosotros. Uno de los objetivos más suculentos son sin duda las empresas que gestionan y tratan datos de tarjetas de crédito: como su hotel o channel manager.

Los diferentes requisitos indicados en PCI-DSS, implican inebitablemnte cambios. Esta adaptación pasa por aplicar medidas técnicas importantes, pero también por un cambio de filosofía de trabajo y gestión. Estos puntos son, además de importantes y requeridos por PCI-DSS, una gran oportunidad para crecer como empresa y ofrecer características que nos permitan ser más competitivos en nuestro sector —igual que ocurre con la adaptación obligatoria a partir de mayo de 2018 al nuevo reglamento europeo de tratamiento de datos personales RGPD (La nube y la RGPD. Dos aliados para tu negocio)—.

A continuación destacaremos alguno de los conceptos que debe cumplir todo PMS que quiera adaptarse a PCI-DSS, sin entrar en detalle en cada uno de ellos pues eso requeriría un estudio personalizado de cada caso  :

  • Perfiles y usuarios: deberán existir perfiles que permitan o bloqueen el acceso a la información de tarjetas de pago guardadas en el sistema. Además, cada usuario con acceso a información deberá estar correctamente identificado y cada una de sus operaciones sobre dichos datos (incluso de consulta) deberán ser registrados y mantenidos debidamente.
  • Confirmaciones de reserva: deberán estar igualmente protegidas de aquellas personas que no tengan un perfil adecuado para acceder a los datos de las tarjetas de pago que aparezcan en ellas. Por ejemplo, una confirmación de reserva que llega vía fax al hotel, con información de la tarjeta de crédito del cliente, no puede estar al alcance de todos los empleados. Esto implica que, quizás, el dispositivo de fax dedicado a este propósito deba estar en una sala aparte, bajo llave, video-vigilada y registro. Una solución recomendable en estos casos puede ser la automatización para la recepción de estas confirmaciones de reserva por parte del PMS del hotel.
  • ¿Qué datos guardamos?: debe ponerse en tela de juicio la utilidad real de los datos que se guardan o gestionan. Por ejemplo, el CVV2 puede no ser requerido por parte de un PMS. En tal caso, no se deberían correr riesgos inecesarios tratando dicho dato.
  • ¿Y los datos que sí son requeridos?: en este caso (también podría ser el propio CVV2), estamos frente a uno de los grandes cambios que afectarán de lleno al sistema completo. Si es el propio PMS el que guarda los datos de tarjetas de pago, será requerido adaptar toda la infraestructura y arquitectura de red con firewalls, separación de redes, cámaras de seguridad, control de accesos, formaciones periódicas demostrables, etc. En este punto, parece evidente que la mejor solución es un PMS en la nube con garantías de cumplir con PCI-DSS.

Conclusión

Está claro que la seguridad es un activo que potencialmente puede aportar mucho a su negocio. Si bien es cierto que se trata de un intangible que, de entrada, puede suponer una inversión en recursos que resulte poco atractiva desde el punto de vista empresarial, cumplir con normativas y estándares es y será, más temprano que tarde, requerido e imprescindible.

Los bancos han empezado a presionar y, como es habitual en estos casos, llegará a ser de obligado cumplimiento para cualquier hotel. Las grandes cadenas ya están adaptadas o en proceso avanzado de adaptación, las cadenas medianas serán las siguientes y poco después los hoteles individuales. Estar preparado marcará la diferencia y en su proveedor de PMS es donde tiene a su gran aliado.

En ENGISOFT le ofrecemos servicios integrados en el PMS y CRS en la nube para cumplir con PCI-DSS de una forma ágil y segura.