Estándares de Seguridad PCI

Uncategorized

Una certificación que los hoteles, spas y resorts ya no pueden ignorar.

Desde enero de 2005, más de 245 millones de bases de datos que contienen información sensible y personal han estado involucrados en violaciones de la seguridad. En 2007, el número de ataques contra el procesamiento de las tarjetas de pago se duplicó en comparación con 2006, una tendencia que ha ido en aumento. Y si usted creía que los resorts, hoteles o spas estaban exentos de esa mala práctica se equivoca: Más del 55% de los fraudes de tarjetas de crédito provienen de esta industria.


¿Cómo surge el PCI?

En 2006, las principales compañías de tarjetas de crédito se unieron para formar Estándar de Seguridad de Datos de la Industria de Pagos (Payment Card Industry Data Security Standard – PCI DSS o PCI), surgido como una herramienta para eliminar el riesgo y el maltrato de los datos del titular, mejorar la seguridad de los datos de las cuentas de pago y en última instancia, para proteger el titular de la tarjeta. A partir del 2007 el cumplimiento de PCI se convirtió en obligatorio.

¿Es necesario cumplir con el PCI?

Todas las operaciones comerciales que aceptan tarjetas de crédito y débito deben adoptar procesos para proteger la información sensible de las tarjetas de pago del cliente y no tienen más remedio que cumplir con el estándar PCI. El incumplimiento de esta práctica pone en riesgo la vulnerabilidad de los datos, tanto de la propiedad misma como de sus clientes; ocasionándole, además de las altas multas, la pérdida de la capacidad de aceptar tarjetas de pago, una mala publicidad, la devaluación de la marca e inclusive, hasta la clausura del negocio.

La responsabilidad de la industria hotelera:

Desafortunadamente, las operaciones generadas por los hoteles, spas y resorts van a la par de otras industrias, por lo que deben tomar las medidas necesarias para poder cumplir con los estándares establecidos por PCI, y aunque la responsabilidad de cumplir con esto no recae 100% en el software con el que administra su negocio, sin duda alguna éste juega un papel muy importante.

¿Cuál es la problemática actual de los softwares hoteleros?

Una debilidad de la mayoría de los sistemas utilizados en la industria de la hotelería es que no tienen la capacidad de cifrar correctamente y asegurar la información sensible del tarjetahabiente para transmitir adecuadamente la información cifrada a su procesador de tarjetas de crédito seleccionado. Y la causa son las limitaciones propias de dichos sistemas, ya que la estructura con la que fueron diseñados no permite realizar actualizaciones que permitan cumplir con las normas PCI.

¿Qué deben hacer los hoteles, spas y resorts?

El cumplimiento de PCI es la responsabilidad del negocio, por lo que debe averiguar si su solución de software cumple los requerimientos establecidos por PA DSS (Payment Application Data Security Standard), además puede realizar unas sencillas preguntas para evaluar rápidamente si el software está cumpliendo con los criterios más fundamentales de seguridad:

  • ¿Los usuarios son desconectados automáticamente al cabo de un máximo de 10 – 15 minutos (máximo) de inactividad?
  • Los datos sensibles del titular de la tarjeta que aparecen en los diferentes recibos y reportes que emite el sistema, ¿se enmascaran con un máximo de 4 – 6 dígitos?
  • ¿Los datos del titular de la tarjeta son codificados dentro de la base de datos?
  • ¿Los códigos de verificación de las tarjetas se manejan en forma encriptada dentro de la base de datos?

En conclusión, el hotel debe contar con una solución que asegure la integridad de los datos para el cumplimiento de sus propios niveles de seguridad para poder lograr su certificación PCI