Dingus

La complejidad del sector del turismo y el cumplimiento de la normativa

Frente a otro tipo de actividades donde el cumplimiento se puede abordar de una manera más individualizada, como pueda ser por ejemplo el sector del e-commerce, en el sector turístico existen gran cantidad de players que, todos ellos, tienen su parcela de responsabilidad. Vamos a verlo con el caso de un hotel y analizando los principales flujos.

Un hotel debe cumplir con PCI DSS. Es una realidad, y el motivo es sumamente sencillo: tienen contratos con entidades bancarias que hacen la función del banco adquiriente, donde solicitan códigos de comercio para cobrar sus servicios, principalmente, las estancias que pasamos en cada hotel.

Cuando el hotel debe afrontar la normativa PCI-DSS, lo primero es analizar los flujos por los que circulan datos de tarjetas de sus clientes. Y es aquí donde empieza a complicarse la situación frente a un clásico e-commerce.

Principales flujos de datos de tarjeta de un hotel​:

  • Venta propia a través de su web
  • Reservas procedentes de OTA’s por donde llega la tarjeta de crédito, ya sea para procesar el pago o para tener la tarjeta en garantía
  • Pago presencial en el hotel, cuando el huésped hace el proceso de Check In o de Check Out, en función de sus procedimientos
  • Venta asistida a través del Call Center
  • Recuperación de tarjetas para procesar No-Show…

El hotel, a fin de garantizar su cumplimiento, debe asegurar que los players con los que trabaja también cumplan, ya que las tarjetas con las que finalmente cobra sus estancias pueden pasar por cada una de estas empresas o, como se denomina en la normativa PCI-DSS, proveedor de servicio.

Entonces, si definitivamente hay que cumplir, ¿cuál sería la mejor estrategia de estos proveedores de servicio para hacerlo?. Con vocación de servicio, lo ideal sería trabajar el cumplimiento ayudando al hotel a hacerle la vida más fácil.

Bajo esta premisa, hay dos actores que pueden realmente ayudar al sector hotelero a simplificar su cumplimiento. En concreto, estos son tanto los Channel Managers como los PMS y, entre los dos, muy especialmente los Channel Managers, ya que por su tipología de negocio han podido moverse antes al Cloud y ofrecer sus servicios de forma efectiva como servicio, antes que los PMS.

El Channel Manager, al ser un concentrador de muchos canales de reserva, tiene circulando por él un tanto por ciento muy elevado de las tarjetas que debe gestionar un hotel. Así, el Channel Manager tiene la capacidad de interceptar estas tarjetas, guardarlas en delegación por el hotel, y evitar que estas entren en los sistemas del propio hotel, simplificando una parte del cumplimiento del PCI DSS al establecimiento.

Finalmente, a través de integraciones con PMS y pasarelas de pago, es posible cerrar los procesos de cobro evitando, tanto que la tarjeta llegue al hotel, como que esta sea en muchas ocasiones visible para su personal.

Precisamente, esta estrategia es la que ha elegido Hitt Group (Dingus) para afrontar el cumplimiento con PCI DSS: Book&Payment recoge las tarjetas de las reservas y, antes de que estas pasen al hotel, son tokenizadas, entregando tokens pero, en ningún caso, datos de tarjetas bancarias…

Book&Payment se encarga de custodiar las tarjetas de sus clientes acorde a PCI DSS y, a través del propio Book&Payment, pueden procesarse pagos por vía directa con diversos payment gateways, sin que los sistemas de los hoteles o su personal manipulen los datos. De esta manera ayuda a simplificar uno de los canales de entrada de las tarjetas en los hoteles y, por ende, el cumplimiento de la norma.

Por nuestra parte, creemos que esta es la vía a seguir. En lugar de afrontar la normativa de forma individualizada, lo cual puede parecer a priori más fácil, afrontarla con perspectiva de interrelacionar servicios y, de forma global, buscando soluciones que apoyen en todo el tránsito de la tarjeta. Esta visión, además de ayudar a alcanzar y mantener el cumplimiento por parte de diversos actores, supone también una importante mejora de la seguridad.

Es bastante fácil entender que no es lo mismo una única base de datos con tarjetas bancarias cifradas en todo un flujo, que el hecho de que el Channel Manager tenga su base de datos, el PMS la suya y la pasarela de pago también: son tres localizaciones distintas donde un hacker puede ir a buscar la misma información y multiplicando también por tres la posibilidad de cometer algún error y acabar exponiendo esta información sensible.