PCI DSS es el Payment Card Industry Data Security Standard que debe seguir todo hotel que maneje datos de titulares de tarjetas; el nivel de obligación depende del volumen de transacciones del comercio y de cómo fluyen los datos de tarjeta por los sistemas del hotel.
El Payment Card Industry Data Security Standard, conocido como PCI DSS, es un marco global mantenido por el PCI Security Standards Council y aplicado por las principales redes de tarjetas. Define un conjunto de requisitos técnicos y operativos que debe cumplir cualquier comercio que almacene, procese o transmita datos de titulares de tarjetas. Para los hoteles, ese alcance es inusualmente amplio: los terminales de recepción, el property management system, el motor de reservas, el channel manager, las llamadas de terceros para preautorizaciones e incluso las tarjetas de registro en papel pueden incorporar sistemas al alcance de PCI. El incumplimiento puede acarrear multas de los bancos adquirentes, sanciones de los esquemas de tarjetas y, en casos graves, la pérdida de los privilegios de aceptación de tarjetas.
Los hoteles suelen reducir el alcance enrutando la captura de tarjetas a través de un proveedor de tokenización, de modo que los datos de los titulares nunca tocan sus propios sistemas. El Self-Assessment Questionnaire aplicable depende de esta arquitectura. SAQ A cubre los flujos de comercio electrónico totalmente externalizados en los que el hotel nunca ve una tarjeta; SAQ A-EP cubre el comercio electrónico parcialmente externalizado en el que el sitio web del hotel afecta a la página de pago; SAQ D es el más amplio y se aplica siempre que el hotel maneje directamente datos del titular de la tarjeta, por ejemplo al teclearlos en un PMS o almacenarlos en folios. Un buen diseño de seguridad de datos en hostelería empuja a las propiedades hacia SAQ A siempre que sea posible.
Los datos de tarjeta nunca deben introducirse en un chat de WhatsApp, un correo electrónico ni ningún otro canal de mensajería. Los mensajes de WhatsApp no están en el alcance de PCI por diseño y reenviar números de tarjeta a través de ellos sitúa la bandeja de entrada receptora y cualquier sistema conectado en el alcance completo de SAQ D, a menudo de forma involuntaria. El patrón correcto es enviar al huésped un enlace de pago tokenizado del PSP, lo que mantiene el canal de conversación fuera del alcance permitiendo a la vez los pagos remotos. Esto encaja de forma natural con prácticas de mensajería conformes con el RGPD.
Viqal está diseñada para permanecer fuera del alcance de PCI. La plataforma nunca solicita, almacena ni transmite datos de tarjeta sin tokenizar; en su lugar, cuando se requiere un pago durante un guest journey, el AI Operator transfiere al PSP elegido por el hotel mediante un enlace de pago alojado. Esto mantiene la capa de mensajería libre de datos de titulares de tarjetas y respalda el alcance de SAQ preferido por el hotel. Combinada con el data processing agreement de Viqal, las propiedades pueden ampliar con confianza la automatización a los momentos previos a la llegada, durante la estancia y posteriores a la estancia sin ampliar sus obligaciones de PCI.
Depende de cómo fluyan los datos de tarjeta. Los hoteles que externalizan por completo la captura de tarjetas a una página alojada suelen encajar en SAQ A. Aquellos cuya web influye en la página de pago pueden necesitar SAQ A-EP, y cualquier propiedad que teclee tarjetas en su propio PMS o las guarde en ficha suele encajar en el más amplio SAQ D. El banco adquirente confirma el SAQ aplicable según el perfil del comercio.
Técnicamente, un huésped puede teclear un número de tarjeta en cualquier canal, pero el hotel no debe solicitarlo de ese modo y no debe almacenarlo ni procesarlo desde el chat. El enfoque conforme es enviar un enlace de pago del PSP del hotel, lo que permite al huésped introducir los datos de la tarjeta en una página alojada segura. Esto mantiene el canal de WhatsApp fuera del alcance de PCI.
No. PCI DSS regula la seguridad de los datos de los titulares de tarjetas, mientras que el RGPD regula el tratamiento lícito de los datos personales de los residentes en la UE. Ambos marcos se solapan porque los datos de tarjeta también son datos personales, pero tienen organismos de aplicación, regímenes de auditoría y sanciones diferentes. Los hoteles suelen necesitar cumplir con ambos.
PCI DSS lo hacen cumplir contractualmente el banco adquirente del hotel y los esquemas de tarjetas (Visa, Mastercard, American Express, Discover, JCB). El PCI Security Standards Council redacta el estándar, pero las pruebas de cumplimiento las recoge el adquirente mediante SAQ o, para los comercios de mayor volumen, mediante un Qualified Security Assessor.
La tokenización reduce notablemente el alcance de PCI, pero no lo elimina. El hotel sigue necesitando completar el SAQ correspondiente, mantener la seguridad de la red, formar al personal y confirmar que los datos de tarjeta no se filtran a correos, grabaciones de voz o herramientas de mensajería. La tokenización es un control potente, no un sustituto del estándar completo.
No. Viqal no almacena, procesa ni transmite datos de titulares de tarjetas. Cuando se necesita un pago, Viqal activa un enlace de pago del proveedor de servicios de pago elegido por el hotel, manteniendo la capa de mensajería completamente fuera del alcance de PCI.
-min.avif)
