Il PCI DSS è il Payment Card Industry Data Security Standard che ogni hotel che gestisce dati dei titolari di carta deve seguire; il livello di obbligo dipende dal volume di transazioni dell'esercente e dalle modalità con cui i dati delle carte fluiscono attraverso i sistemi alberghieri.
Il Payment Card Industry Data Security Standard, noto come PCI DSS, è un quadro normativo globale gestito dal PCI Security Standards Council e applicato dai principali circuiti di carte di pagamento. Definisce un insieme di requisiti tecnici e operativi che ogni esercente che memorizza, elabora o trasmette dati dei titolari di carta deve soddisfare. Per gli hotel, l'ambito è insolitamente ampio: i terminali del front desk, il property management system, il booking engine, il channel manager, le chiamate di terze parti per le pre-autorizzazioni e persino le schedine di registrazione cartacee possono tutti rientrare nello scope PCI. La non conformità può comportare sanzioni da parte delle banche acquirer, penali dei circuiti di carte e, nei casi più gravi, la perdita del privilegio di accettare carte di pagamento.
Gli hotel riducono tipicamente lo scope instradando l'acquisizione delle carte attraverso un fornitore di tokenizzazione, in modo che i dati dei titolari di carta non transitino mai nei propri sistemi. Il Self-Assessment Questionnaire applicabile dipende da questa architettura. SAQ A copre i flussi di e-commerce completamente esternalizzati in cui l'hotel non vede mai una carta; SAQ A-EP copre l'e-commerce parzialmente esternalizzato in cui il sito web dell'hotel influenza la pagina di pagamento; SAQ D è il più ampio e si applica ogni qualvolta l'hotel gestisce direttamente i dati dei titolari di carta, ad esempio digitandoli in un PMS o memorizzandoli nei conti. Una solida progettazione della sicurezza dei dati nell'ospitalità spinge le strutture verso il SAQ A ovunque possibile.
I dati delle carte non dovrebbero mai essere inseriti in una chat WhatsApp, in un'e-mail o in qualsiasi altro canale di messaggistica. Per progettazione, i messaggi WhatsApp non rientrano nello scope PCI e l'inoltro di numeri di carta attraverso di essi colloca la casella ricevente e qualsiasi sistema collegato nello scope completo SAQ D, spesso involontariamente. Il pattern corretto consiste nell'inviare all'ospite un link di pagamento tokenizzato dal PSP, mantenendo il canale di conversazione fuori dallo scope pur consentendo i pagamenti da remoto. Questo approccio si abbina naturalmente a pratiche di messaggistica conformi al GDPR.
Viqal è progettato per restare al di fuori dello scope PCI. La piattaforma non chiede mai, né memorizza né trasmette dati di carta in chiaro; al contrario, quando è richiesto un pagamento durante un guest journey, l'AI Operator passa la mano al PSP scelto dall'hotel tramite un link di pagamento ospitato. Ciò mantiene il livello di messaggistica privo di dati dei titolari di carta e supporta lo scope SAQ preferito dall'hotel. Combinato con il data processing agreement di Viqal, le strutture possono estendere con fiducia l'automazione ai momenti pre-arrivo, durante il soggiorno e post-soggiorno senza ampliare i propri obblighi PCI.
Dipende da come fluiscono i dati delle carte. Gli hotel che esternalizzano completamente l'acquisizione delle carte a una pagina ospitata rientrano tipicamente nel SAQ A. Quelli il cui sito web influenza la pagina di pagamento potrebbero necessitare del SAQ A-EP, e qualsiasi struttura che digita le carte nel proprio PMS o le conserva in archivio rientra solitamente nel più ampio SAQ D. La banca acquirer conferma il SAQ applicabile in base al profilo dell'esercente.
Tecnicamente un ospite può digitare un numero di carta in qualsiasi canale, ma l'hotel non deve richiederlo in quel modo e non deve memorizzarlo né elaborarlo dalla chat. L'approccio conforme è inviare un link di pagamento dal PSP dell'hotel, consentendo all'ospite di inserire i dati della carta su una pagina ospitata sicura. Ciò mantiene il canale WhatsApp fuori dallo scope PCI.
No. Il PCI DSS disciplina la sicurezza dei dati dei titolari di carta, mentre il GDPR disciplina il trattamento lecito dei dati personali dei residenti UE. I due quadri normativi si sovrappongono perché i dati dei titolari di carta sono anche dati personali, ma hanno enti di applicazione, regimi di audit e sanzioni differenti. Gli hotel devono solitamente conformarsi a entrambi.
Il PCI DSS è applicato contrattualmente dalla banca acquirer dell'hotel e dai circuiti di carte (Visa, Mastercard, American Express, Discover, JCB). Il PCI Security Standards Council redige lo standard, ma le evidenze di conformità vengono raccolte dall'acquirer tramite SAQ o, per gli esercenti con volumi più elevati, da un Qualified Security Assessor.
La tokenizzazione riduce notevolmente lo scope PCI ma non lo elimina. L'hotel deve comunque completare il SAQ appropriato, mantenere la sicurezza della rete, formare il personale e verificare che nessun dato dei titolari di carta sfugga in e-mail, registrazioni vocali o strumenti di messaggistica. La tokenizzazione è un controllo potente, non un sostituto dello standard completo.
No. Viqal non memorizza, non elabora e non trasmette dati dei titolari di carta. Quando è necessario un pagamento, Viqal attiva un link di pagamento dal payment service provider scelto dall'hotel, mantenendo il livello di messaggistica interamente fuori dallo scope PCI.
.avif){kind=spacer}
