Por introducir y centrar el tema: PCI-DSS es una normativa de seguridad internacional, desarrollada por las principales marcas de pagos como son Visa, Mastercard y American Expresss, cuyo objetivo es mejorar la seguridad de todo el entorno relacionado con tarjetas, a fin de evitar y minimizar situaciones como las acontecidas recientemente a Marriot o British Airways (ambas relacionadas con el sector del turismo). 

La complejidad del sector del turismo y el cumplimiento de la normativa 

Frente a otro tipo de actividades donde el cumplimiento se puede abordar de una manera más individualizada, como pueda ser por ejemplo el sector del e-commerce, en el sector turístico existen gran cantidad de players que, todos ellos, tienen su parcela de responsabilidad. Vamos a verlo con el caso de un hotel y analizando los principales flujos. 

Un hotel debe cumplir con PCI-DSS. Es una realidad, y el motivo es sumamente sencillo: tienen contratos con entidades bancarias que hacen la función del banco adquiriente, donde solicitan códigos de comercio para cobrar sus servicios, principalmente, las estancias que pasamos en cada hotel. 

Cuando el hotel debe afrontar la normativa PCI-DSS, lo primero es analizar los flujos por los que circulan datos de tarjetas de sus clientes. Y es aquí donde empieza a complicarla la situación frente a un clásico e-commerce. 

Principales flujos de datos de tarjeta de un hotel​: 

  • Venta propia a través de su web 
  • Reservas procedentes de OTA’s por donde llega la tarjeta de crédito, ya sea para procesar el pago o para tener la tarjeta en garantía 
  • Pago presencial en el hotel, cuando el huésped hace el proceso de Check In o de Check Out, en función de sus procedimientos 
  • Venta asistida a través del Call Center 
  • Recuperación de tarjetas para procesar No-Show…  

Si dibujamos cada uno de estos procesos, aparecen los players que antes hemos comentado, y que afectan a la cadena de cumplimiento. Por ejemplo: 

  • PMS 
  • Channel Managers 
  • Booking Engines 
A2Secure - Dingus

El hotel, a fin de garantizar su cumplimiento, debe asegurar que los players con los que trabaja también cumplan, ya que las tarjetas con las que finalmente cobra sus estancias pueden pasar por cada una de estas empresas o, como se denomina en la normativa PCI-DSS, proveedor de servicio. 

Entonces, si definitivamente hay que cumplir, ¿cuál sería la mejor estrategia de estos proveedores de servicio para hacerlo?. Con vocación de servicio, lo ideal sería trabajar el cumplimiento ayudando al hotel a hacerle la vida más fácil.  

Bajo esta premisa, hay dos actores que pueden realmente ayudar al sector hotelero a simplificar su cumplimiento. En concreto, estos son tanto los Channel Managers como los PMS y, entre los dos, muy especialmente los Channel Managers, ya que por su tipología de negocio han podido moverse antes al Cloud y ofrecer sus servicios de forma efectiva como servicio, antes que los PMS. 

El Channel Manager, al ser un concentrador de muchos canales de reserva, tiene circulando por él un tanto por ciento muy elevado de las tarjetas que debe gestionar un hotel. Así, el Channel Manager tiene la capacidad de interceptas estar tarjetas, guardarlas en delegación por el hotel, y evitar que estas entren en los sistemas del propio hotel, simplificando una parte del cumplimiento del PCI-DSS al establecimiento. 

Finalmente, a través de integraciones con PMS y pasarelas de pago, es posible cerrar los procesos de cobro evitando, tanto que la tarjeta llegue al hotel, como que esta sea en muchas ocasiones visible para su personal. 

Precisamente, esta estrategia es la que ha elegido Hitt Group para afrontar el cumplimiento con PCI-DSS: Book&Payment recoge las tarjetas de las reservas y, antes de que estas pasen al hotel, son tokenizadas, entregando tokens pero, en ningún caso, datos de tarjetas bancarias 

Book&Payment se encarga de custodiar las tarjetas de sus clientes acorde a PCI-DSS y, a través del propio Book&Payment, pueden procesarse pagos por vía directa con diversos payment gateways, sin que los sistemas de los hoteles o su personal manipulen los datosDe esta manera ayuda a simplificar uno de los canales de entrada de las tarjetas en los hoteles y, por ende, el cumplimiento de la norma. 

A2Secure - Dingus

Por nuestra parte, creemos que esta es la vía a seguir. En lugar de afrontar la normativa de forma individualizada, lo cual puede parecer a priori más fácil, afrontarla con perspectiva de interrelacionar servicios y, de forma global, buscando soluciones que apoyen en todo el tránsito de la tarjeta. Esta visión, además de ayudar a alcanzar y mantener el cumplimiento por parte de diversos actores, supone también una importante mejora de la seguridad.

Es bastante fácil entender que no es lo mismo una única base de datos con tarjetas bancarias cifradas en todo un flujo, que el hecho de que el Channel Manager tenga su base de datos, el PMS la suya y la pasarela de pago también: son tres localizaciones distintas donde un hacker puede ir a buscar la misma información y multiplicando también por tres la posibilidad de cometer algún error y acabar exponiendo esta información sensible.

Albert Morell

Albert Morell

Co-founder A2SECURE & Auditor QSA PCI-DSS

Con más de 12 años de experiencia en Ciberseguridad y una sólida formación técnica en ingeniería, comercio electrónico y criptografía, Morell abandonó la industria de las telecomunicaciones con en empleo empresarial de cofundar su empresa de Ciberseguridad, centrada en la seguridad digital y en la normativa PCI-DSS. Desde entonces, A2SECURE ha otorgado a algunas de las principales empresas europeas (especialmente de la industria de las pasarelas de pago y el sector turístico) un servicio destacado en información y seguridad corporativa, así como consultoría y auditoría de la normativa PCI-DSS.