¿Has recibido una llamada de tu banco para preguntarte si tu hotel cumple la normativa de seguridad PCI-DSS? Si es el caso, ya sabrás de qué se trata aunque quizás no sepas aún cómo cumplirla. En caso contrario, la recibirás próximamente. Este artículo te interesará para saber de qué se trata y cómo anticiparte.
¿Qué es PCI-DSS? ¿afecta a mi hotel?
Es un estándar de seguridad que afecta a los entornos donde se trabaja o almacenan tarjetas de crédito. Algo que afecta directamente a cualquier hotel.
No es más que un “manual de buenas prácticas” que toda empresa afectada debe seguir. PCI-DSS viene de Payment Card Industry Data Security Standard y fue creado por un consorcio de tarjetas de crédito que incluye a Visa, Mastercard y American Express, entre otras.
¿Qué busca PCI?
Evitar o minimizar los muchísimos fraudes de tarjetas de crédito que existen, algo que se ha disparado con la llegada de internet y el e-commerce.
¿Es obligatorio certificarse PCI?
No hay ninguna ley que obligue a su cumplimiento. En cambio, es un requisito esencial para las entidades emisoras de tarjetas y los propios bancos que podrán reducir sus servicios o romper relaciones contractuales en caso de no tener la certificación PCI. La amenaza más habitual de los bancos por ahora es retirarte el servicio de TPV físicos (datáfonos).
¿Por eso me presionan los bancos con la certificación PCI?
Es un efecto dominó. Ante un fraude de tarjeta, las entidades emisoras como Visa miran hacia los bancos, que a su vez miran al comercio (hotel) que a su vez mira a sus proveedores (empresas de PMS, channel managers, motor de reservas, etc.).
Hasta ahora el requisito de los bancos al hotel era que todos sus proveedores cumplan la normativa PCI. El hotel hace bien exigiendo que éstos cumplan (Mirai tiene la certificación PCI-DSS). En cambio, en muy poco tiempo el requerimiento se ampliará y obligará a tu hotel a cumplir también con la normativa, ¿estás preparado?
¿En qué me afectará el cumplimiento de PCI? ¿cambiará mi día a día?
PCI te obligará a un profundo cambio tecnológico pero también de filosofía. Son varios requisitos que deberás revisar y adecuar tu operativa en consecuencia. No entramos en detalles porque no es el punto de este post. Sí en cambio aportamos algunos ejemplos sencillos que ilustran bien el alcance y la filosofía de PCI.
- Usuarios únicos. Cada recepcionista o persona del hotel que tenga acceso o trabaje con datos de tarjetas de clientes debe tener un usuario único con el fin de poder monitorizar el acceso de manera individual en caso de un incidente con una tarjeta concreta. Esto implicará tener muchas cuentas nominales en los ordenadores, el PMS, en la extranet de Booking.com o de Mirai, lo que complica mucho la operativa de recepción, por ejemplo.
- Faxes de confirmación de reservas que llevan la numeración de tarjeta del cliente. Mantener esta forma de confirmación se complica mucho hasta el punto de hacerla inviable. Se acabó el tener el fax en recepción al alcance de todo el personal y de los clientes. Deberás mover la máquina de fax a un área con acceso restringido, con cámaras de seguridad y con registro de cada persona que entra y sale. La importación automática de reservas en tu PMS será tu gran aliado para resolver este problema.
- CVV2. Este dato está terminantemente prohibido almacenarlo (requisito 3.2 de la norma). Si no lo puedes guardar y no lo vas a usar en tiempo real, ¿para qué pedirlo? Además no te sirve de nada para transacciones con el TPV físico y no te ayuda en caso de devoluciones. Mejor no lo pidas a tus clientes a la hora de hacer reservas (salvo en tarifas con TPV virtual donde el banco sí lo pedirá para ejecutar el cargo) y te quitas el problema.
- Si tienes el PMS en el hotel y almacenas ahí los datos de tarjeta prepárate para un gran cambio. Deberás adaptar toda tu arquitectura de red para cumplir la normativa: separar el servidor en una red diferente con control físico de acceso, cámaras de seguridad y registro de entrada y salida. También deberás añadir un cortafuegos que controle y registre todos los accesos a su vez en un tercer entorno también separado de los dos primeros. Un follón del que no quieres saber. Mejor apoyarte en tu fabricante de PMS para buscar la mejor solución. Desde luego versiones en la nube (cloud) son más recomendables para estos casos porque así no guardas ninguna tarjeta en tu hotel.
- Formación, documentación y procedimientos. Prepárate para una avalancha de documentos que tendrás que hacer (lo normal es apoyarse en una consultora externa) pero que luego tendrás que seguir. Te cambiará la forma de trabajar en todo lo relacionado con el uso y tratamiento de tarjetas. Necesitarás un equipo interno responsable de que realmente se cumple la normativa. Cada nuevo empleado con acceso a tarjetas requerirá formación.
Todo esto hasta que lleguemos a un escenario donde todo cobro por parte del hotel o manera de garantizar una reserva se haga por medios de pago centralizados y externos al hotel (empresas como Google, Apple o Paypal ya están avanzando en esta línea), eliminando el riesgo de que haya una brecha de seguridad en el propio hotel.
¿Qué tengo que hacer y cuánto cuesta obtener la certificación PCI?
La teoría es larga y farragosa. No vamos a hablar de ella aquí. Tan sólo adelantar que son 12 puntos que van desde la arquitectura de los sistemas (separación con cortafuegos, encriptación de tarjetas, etc.) hasta los procedimientos de seguridad y documentación necesaria. Una guía rápida (y ya tiene 40 páginas) la puedes encontrar aquí. Un trabajo costoso pero, me temo, necesario.
La certificación en sí es gratuita. En cambio, el tiempo y recursos que necesitarás para ello te costará mucho. Nuestra recomendación es contratar a una de las muchas empresas consultoras y certificadoras PCI (gran negocio que ha emergido al amparo de esta nueva normativa) e ir de su mano (en muchos casos no será una opción sino una obligación de hecho).
Te costará un gasto inicial de 10.000€ hasta 60.000€ según el nivel de exigencia que tengas (a mayor volumen de tarjetas de crédito gestionadas anualmente mayor será el nivel de seguridad requerido). Grandes cadenas de cientos de hoteles en medio mundo manejan otros costes, claro está. A partir de la certificación inicial deberás re-certificarte cada año siendo el coste mucho menor porque gran parte del trabajo está hecho.
El plazo también varía pero podría oscilar entre 3 y 12 meses, de nuevo en función del volumen de tarjetas que manejes.
¿Tener la certificación PCI-DSS garantiza estar exento de fraude?
Lamentablemente no. Cumplir con la PCI-DSS mejora tus sistemas y nivel de seguridad haciendo más difícil tener un incidente pero no garantiza al 100% que no ocurra. De hecho cada año muchas empresas con la certificación PCI sufren ataques y robos de tarjetas.
Conclusión
La seguridad y el control del fraude es un intangible cada vez más importante y estar al día en normativa y buenas prácticas te evitará muchos problemas futuro. Es por tanto una buena inversión. Es normal que como empresario te cueste destinar recursos a algo que no ves la ganancia monetaria a corto o medio plazo.
En cambio los bancos han empezado a presionar y esto parece ya imparable. Van cayendo fichas del dominó y tarde o temprano (6 meses? 1 año? 2 años? Nadie sabe … ) llegará la ficha de las cadenas medianas (ya les ha llegado a las grandes) y luego a los hoteles individuales. Conocer lo que te viene encima es lo menos que puedes hacer. Anticiparse sería lo perfecto.
Hola, este standar solo afecta a hoteles, es decir si un bufete de abogados les hace el pago a través de targeta mediante el datafono, el bufete ha de pedir o ha de cumplir los standares del PCI-DSS?
Buenos días Aitor,
La normativa PCI DSS afecta a TODOS los negocios que manejen datos de tarjetas de crédito ya sea hotel, gran almacén o tienda de barrio.
Lo que ocurre es que la aplicación de la normativa, que viene impuesta por los diferentes bancos por imposición de Visa/Master/Amex, irá de negocios más grandes hacia negocios más pequeños ya que no tienen capacidad de exigir a todos sus clientes que cumplan la normativa (y por otro lado no les interesa penalizarles ya que pierden negocio). Así que será una imposición gradual hasta llegar al 100% de los comercios/negocios.
Dicho de otra manera, la tienda de barrio será la última a la que le exigirán el cumplimiento de PCI si bien algún día llegará. Lo más probable es que el cambio tecnológico en las formas de pago llegará antes (pago por móvil, tarjetas wireless, etc.) lo cual hará que de facto muchas tiendas dejen de manejar las tarjetas y sus numeraciones.