PCI DSS est la Payment Card Industry Data Security Standard que tout hôtel manipulant des données de titulaires de cartes doit respecter ; le niveau d'obligation dépend du volume de transactions du commerçant et de la manière dont les données de carte circulent dans les systèmes hôteliers.
La Payment Card Industry Data Security Standard, connue sous le nom de PCI DSS, est un cadre mondial maintenu par le PCI Security Standards Council et appliqué par les principaux réseaux de cartes. Elle définit un ensemble d'exigences techniques et opérationnelles que tout commerçant qui stocke, traite ou transmet des données de titulaires de cartes doit respecter. Pour les hôtels, le périmètre est particulièrement vaste : les terminaux de la réception, le système de gestion hôtelière, le moteur de réservation, le channel manager, les appels tiers pour les pré-autorisations et même les fiches d'enregistrement papier peuvent placer des systèmes dans le périmètre PCI. La non-conformité peut entraîner des amendes des banques acquéreuses, des pénalités des réseaux de cartes et, dans les cas graves, la perte du droit d'accepter les cartes.
Les hôtels réduisent généralement le périmètre en acheminant la saisie des cartes via un fournisseur de tokenisation, de sorte que les données de titulaires de cartes ne touchent jamais leurs propres systèmes. Le Self-Assessment Questionnaire applicable dépend de cette architecture. Le SAQ A couvre les flux de e-commerce entièrement externalisés où l'hôtel ne voit jamais une carte ; le SAQ A-EP couvre le e-commerce partiellement externalisé où le site web de l'hôtel influence la page de paiement ; le SAQ D est le plus large et s'applique dès que l'hôtel manipule directement des données de titulaires de cartes, par exemple en les saisissant dans un PMS ou en les stockant dans des folios. Une bonne conception de la sécurité des données dans l'hôtellerie oriente les établissements vers le SAQ A chaque fois que possible.
Les données de carte ne doivent jamais être saisies dans une conversation WhatsApp, un e-mail ou tout autre canal de messagerie. Les messages WhatsApp ne sont par construction pas dans le périmètre PCI, et y faire transiter des numéros de carte place la boîte de réception destinataire et les systèmes connectés dans le périmètre complet du SAQ D, souvent involontairement. Le bon schéma consiste à envoyer au client un lien de paiement tokenisé du PSP, ce qui maintient le canal de conversation hors périmètre tout en permettant des paiements à distance. Cela se combine naturellement avec une messagerie conforme au RGPD.
Viqal est conçu pour rester en dehors du périmètre PCI. La plateforme ne demande, ne stocke ni ne transmet jamais de données de carte brutes ; à la place, lorsqu'un paiement est requis pendant un parcours client, l'AI Operator passe la main au PSP choisi par l'hôtel via un lien de paiement hébergé. Cela maintient la couche de messagerie exempte de données de titulaires de cartes et soutient le périmètre SAQ retenu par l'hôtel. Combiné au contrat de sous-traitance des données de Viqal, les établissements peuvent étendre l'automatisation en toute confiance sur les phases pré-arrivée, sur place et post-séjour sans étendre leurs obligations PCI.
Cela dépend du circuit des données de carte. Les hôtels qui externalisent entièrement la saisie des cartes vers une page hébergée relèvent généralement du SAQ A. Ceux dont le site web influence la page de paiement peuvent relever du SAQ A-EP, et tout établissement qui saisit des cartes dans son propre PMS ou les conserve en dossier relève habituellement du SAQ D, plus large. La banque acquéreuse confirme le SAQ applicable selon le profil du commerçant.
Techniquement, un client peut saisir un numéro de carte sur n'importe quel canal, mais l'hôtel ne doit pas le demander de cette manière, ni stocker ou traiter les données depuis la conversation. L'approche conforme consiste à envoyer un lien de paiement depuis le PSP de l'hôtel, permettant au client de saisir les données de carte sur une page hébergée sécurisée. Cela maintient le canal WhatsApp hors du périmètre PCI.
Non. PCI DSS régit la sécurité des données de titulaires de cartes, tandis que le RGPD régit le traitement licite des données personnelles des résidents de l'UE. Les deux cadres se chevauchent car les données de carte sont aussi des données personnelles, mais ils ont des autorités d'application, des régimes d'audit et des sanctions différents. Les hôtels doivent généralement se conformer aux deux.
PCI DSS est appliqué contractuellement par la banque acquéreuse de l'hôtel et par les réseaux de cartes (Visa, Mastercard, American Express, Discover, JCB). Le PCI Security Standards Council rédige la norme, mais les preuves de conformité sont collectées par l'acquéreur via les SAQ ou, pour les commerçants à fort volume, par un Qualified Security Assessor.
La tokenisation réduit fortement le périmètre PCI mais ne l'élimine pas. L'hôtel doit toujours compléter le SAQ approprié, maintenir la sécurité du réseau, former le personnel et confirmer qu'aucune donnée de titulaire de carte ne fuit dans les e-mails, les enregistrements vocaux ou les outils de messagerie. La tokenisation est un contrôle puissant, et non un substitut à la norme complète.
Non. Viqal ne stocke, ne traite ni ne transmet de données de titulaires de cartes. Lorsqu'un paiement est nécessaire, Viqal déclenche un lien de paiement depuis le prestataire de services de paiement choisi par l'hôtel, en maintenant la couche de messagerie totalement hors du périmètre PCI.
.avif){kind=spacer}
