En català, in English, en français.
La gestión de cobros y devoluciones es un gran quebradero de cabeza para la inmensa mayoría de los hoteles. Exige cada vez más tiempo, genera costes directos, es fuente de incidencias y reclamaciones de clientes y la devolución de cargos por parte de éstos resulta altamente frustrante.
El problema radica en la falta de herramientas y automatizaciones en la operativa hotelera al recibir reservas de pago directo garantizadas por tarjeta de crédito. Esto desemboca en procesos manuales, poco seguros y, en la mayoría de los casos, fuera de la normativa vigente de tratamiento de tarjetas PCI.
Pago seguro o 3D-Secure para evitar el retroceso de cargos
El disponer de la tarjeta del cliente, incluso el CVV2, como garantía ya no es suficiente para garantizar el cobro. El elevado fraude en los pagos por Internet junto con la picaresca de muchos clientes, han hecho que la devolución de cargos sea una operativa nada ajena al sector, lo que genera un gran sentimiento de indefensión. Hablamos siempre de reservas de pago directo donde:
- En tarifas no-reembolsables ¿cómo realizar el cargo de manera segura? Sólo te afecta, obviamente, si trabajas con estas tarifas, algo muy extendido por las muchas ventajas que ofrece, que ya explicamos: “Tarifas no reembolsables, todo lo que debes tener en cuenta”.
- En tarifas flexibles, ¿cómo cobrar la penalización en caso de cancelación fuera de plazo o no show de manera segura? Te afecta en el momento que aceptes una reserva de pago directo y cancelación flexible. Afecta por tanto a la mayoría de los hoteles.
El “pago seguro” o “3D Secure” es la única manera de realizar un cargo con tarjeta de crédito sin posibilidad de retroceso por parte del cliente. Un “pago seguro” implica la confirmación de la identidad del cliente mediante el uso de un PIN de validación que el cliente introduce siempre en la web del banco (nunca en la del comercio) y que a efectos legales es como si el cliente ha estado en el hotel, mostrado su identificación y firmado.
Por otro lado tenemos los “pagos no seguros”, donde el cliente no ha validado su identidad, y que pueden de ser retrocedidos sin demasiado esfuerzo, por ejemplo, una denuncia policial. El cliente dispone de un plazo de tiempo (suelen ser 120 días, pero depende de la casuística) que, hasta que no vence, no puedes estar tranquilo de que has cobrado.
Un problema añadido es que no todas las tarjetas de crédito son aptas para el “pago seguro” y sólo aceptan “pagos no seguros”. A la cola de la implantación de pagos seguros está casi toda América Latina así como Estados Unidos. En cambio en Europa o Japón, el pago seguro tiene una muy alta penetración. Por tanto, a la hora de configurar una pasarela de pago en tu web debes hacerlo con criterio de tal manera que exijas “pago seguro” si la tarjeta lo acepta pero permitiendo también “pago no seguro” para no perder reservas con tarjetas no habilitadas todavía. El sólo aceptar “pago seguro” hará que pierdas las ventas de todos los usuarios que utilizan las tarjetas que no estén todavía habilitadas.
Otros medios de pago alternativo como Paypal tampoco garantizan el “pago seguro” a no ser que se active la opción 3D Secure en el momento del pago. Si no lo haces, sus pagos serán “no seguros” y por tanto el cliente los podría cancelar también. En el caso de Amazon Pay, directamente no trabajan con 3D Secure y aplican algoritmos de riesgo propios con los que consiguen, según ellos, llevar los casos de fraudes a mínimos a la altura de la validación 3D Secure.
Apple Pay, por el contrario, sí es un medio alternativo de “pago seguro” al mismo nivel de 3D Secure, por lo que cualquier cobro por este medio no será retrocedible por parte del cliente. Hasta la fecha Google Pay no se considera pago seguro, aunque se espera que esto cambiará pronto.
Otra buena alternativa consiste en habilitar “transferencia bancaria” como forma de pago. Si bien, no es un medio muy habitual por clientes en internet, aunque tiene su nicho en ciertos mercados y para reservas de alto importe. En Mirai permitimos transferencia como forma de pago desde 2015.
Normativa de seguridad PCI para evitar el riesgo de fraude en tu hotel
Pero la problemática no acaba ahí. Los cada vez más exigentes estándares de seguridad, como PCI, también obligan al sector a reevaluar y modificar su operativa de cobros al completo.
Los principales emisores de tarjetas, con Visa y Mastercard a la cabeza, imponen una creciente presión a los bancos para que exijan el cumplimiento de la normativa PCI a todos sus clientes. En el sector hotelero y de distribución, empezaron por los que más volumen de tarjetas de crédito gestionaban como grandes redes, agencias online y herramientas de e-commerce como channel managers y motores de reservas.
Curiosamente, a los hoteles no se les está exigiendo por ahora, salvo en algunos casos, el cumplimiento estricto de la normativa y los requerimientos se limitan a que todos los proveedores del hotel sí estén certificados. La realidad es que muy pocos hoteles cumplen la normativa PCI, algo que tendrá que cambiar más pronto que tarde. Es momento de que el sector se ponga manos a la obra, asigne los presupuestos necesarios y esté dispuesto a hacer muchos cambios en su operativa, algo que siempre supone un gran problema. Los hoteles, como casi todos los negocios, tienen sus inercias y rutinas distribuidas en su personal que, en muchos casos, lleva años trabajando igual. Cambiar herramientas es fácil. Cambiar procesos es posible. Cambiar las inercias y los hábitos de los equipos es siempre lo más complicado.
Tres alternativas para que puedas cumplir la normativa PCI:
- La primera es la más sencilla de entender pero donde menos hoteles encajan: Tener toda tu venta a través de canales a crédito (donde ellos cobran al cliente y luego te pagan a ti). En este caso no necesitas cumplir la normativa PCI al no manejar tarjeta alguna de clientes.
- Casos irreales aparte, la segunda alternativa es obtener la certificación PCI con las implicaciones que ello conlleva que son muchas, profundas, e inasumibles en muchos casos. Algunos ejemplos son la formación y reciclaje continuo del personal , la vigilancia permanente y guardado de un registro escrito de toda actividad relativa al acceso a una tarjeta (día, hora, quién lo usó y para qué, etc.), la exigencia de alertar de cualquier incidencia o brecha de seguridad a las entidades emisoras, la recertificación anual y auditoría pertinente y un sinfín más de requisitos que por la naturaleza y la operativa de los hoteles son de complicado cumplimiento.
- La tercera es no necesitar certificarse consiguiendo que toda la operativa del hotel esté libre del uso directo de tarjetas de crédito. Esto no quiere decir que el hotel no pueda guardar tarjetas de crédito de sus clientes. Puede y debe hacerlo, pero siempre vía un proveedor sí certificado PCI que le abstraiga de la complejidad que requiere este almacenamiento. Tampoco quiere decir que no pueda usar estas tarjetas para hacer cargos o devoluciones. Puede, pero siempre mediante herramientas adaptadas y certificadas que faciliten esa labor y nunca haciendo trabajo manual con la numeración de la tarjeta
¿Cómo consigo una operativa sin acceso en ningún momento a la tarjeta del cliente? Introduciendo una herramienta que automáticamente tokenice todas las tarjetas de tus clientes. Lo que hará esta herramienta es guardar todos los datos por ti, ocultándote el PAN (numeración de la tarjeta) a cambio de un número de referencia (o token) que podrás usar para hacer consultas, cargos y devoluciones.
La gran pregunta es ¿en qué nivel integramos esta tokenización?
Desde nuestro punto de vista el lugar natural es el PMS que es donde se descargan todas las reservas (y las tarjetas como garantía). Consulta con tu PMS para ver qué alternativas te ofrece.
Si en el PMS no puedes hacerlo, te tocará abordarlo “un poco más arriba”, en el channel manager, que es quien normalmente gestiona las reservas de todos los canales hacia el PMS. Consulta con tu channel manager a ver qué alternativas de tokenización te ofrece.
Si tu channel manager tampoco te da respuesta, tendrás que resolverlo “arriba del todo” e ir canal a canal, con la complejidad y desgaste que ello supone.
- En Booking.com y Expedia en la modalidad de “Hotel collect”, hasta la fecha sólo puedes resolver los cobros sin acceder a la tarjeta del cliente mediante “tarjetas virtuales”, lo que operativamente está muy bien, pero que añade un elevado coste, de hasta el 3% en algunos casos, cobrado por tu banco, que frena su adopción por parte de la mayoría de los hoteles.
- En tu web directa, deberás integrar una herramienta de tokenización en tu motor de reservas para que cada reserva que entre automáticamente te genere un token sobre el que operar posteriormente. Una buena alternativa sería Addon Payments de Comercia Global Payments y participada por CaixaBank, con quien Mirai se acaba de integrar.
- En las reservas telefónicas y por email la operativa debería cambiar por completo, redirigiendo al cliente en el momento del pago a un sistema robotizado de voz o una aplicación web segura para recoger y tokenizar las tarjetas automáticamente.
¿Cómo combinan la seguridad en el cobro y cumplimiento con la normativa PCI?
Son temas totalmente diferentes pero a la vez muy relacionados lo cual puede generar confusión. A día de hoy, la inmensa mayoría de los hoteles usan medios manuales para cobrar y, por tanto, no seguros ni compatibles PCI. Aún sin estar directamente relacionados, el cambio a pagos seguros y compatibles PCI debe ser abordado como un mismo proyecto y ejecutado con visión estratégica y a largo plazo.
En esta tabla resumimos las diferentes alternativas y cómo combinan entre ellas.
Nace un nuevo concepto: la paridad de “calidad y seguridad del cobro”
Estamos acostumbrados a hablar de paridad de inventario y precios entre canales, o, incluso, de condiciones de reserva (política de cancelación y forma de pago). Pero nunca se ha hablado de la diferencia entre canales del riesgo de retroceso de cobros o su compatibilidad PCI.
Dicho de otra manera, las OTA de pago directo (Booking.com y Expedia “hotel collect”) generan más costes y riesgos que la mera comisión.
- No aseguran la no retrocesión del cargo (al ser pago no seguro)
- No te facilitan el cumplimiento de la normativa PCI.
- Su alternativa para solucionar ambos problemas, el uso de “tarjetas virtuales”, incrementa sustancialmente los costes hasta el punto de no ser aceptable por los hoteles.
Si, en cambio en nuestro canal directo podemos automatizar los cobros (lo que además ahorraría mucho tiempo al personal), securizarlos mediante pasarelas de pago seguro, tokenizando todas las tarjetas y todo sin incrementar el coste … ¿no debería tener el canal directo una ventaja competitiva en precio respecto a las OTA? A fin de cuentas, las reservas de tu web son más seguras, más rentables y más PCI que si te entran por las OTA. ¿No deberías favorecerlas con un mejor precio para el cliente?
Es una mala práctica implementar una pasarela de pago segura en tu web dejando abierta esta misma tarifa en Booking.com (aunque sea no reembolsable ya que el cobro será “no seguro” y manual en el hotel) y manteniendo paridad de precios. De hacerlo, asegúrate que la tarifa publicada en la web es más competitiva que la de Booking.com, repercutiendo en el cliente final parte de los beneficios que te ofrece a ti que elija tu web sobre cualquier otro canal.
Conclusión
La operativa de cobros en los hoteles y el cumplimiento de las normativas de seguridad no es un tema atractivo, y menos para los equipos comerciales de los hoteles, pero sí es muy importante, en especial para los departamentos financieros y de operaciones.
Hay mucho trabajo por hacer y muchas herramientas que cambiar o incorporar. Es momento de empezar a pensar en cómo abordar toda esta transformación y aprovecharlo en beneficio de los intereses del hotel, antes de que las exigencias bancarias se eleven y las restricciones que impongan sean inasumibles.
El mundo está en plena revolución de medios de pago, en especial alrededor del móvil. Los grandes se están moviendo y los bancos tiemblan. Ahora mismo tienes la oportunidad de que tu venta directa vaya un paso por delante, de momento.
Para las reservas NR y las directas el Banco de Sabadell (no se si otros bancos lo tendrán) tiene una herramienta de pago seguro, en el que se le envía un link al cliente (por mail o sms al teléfono) para que haga el pago, sin tener que facilitar los datos bancarios al Hotel. Saludos.
Gracias Pablo, hay mucho que hacer, está claro. ¿te refieres a la cadena de bloques cuando hablas de tokenizacion?
Un abrazo