Il settore hospitality è uno dei più complessi dal punto di vista della PCI DSS hotel compliance. Un hotel raccoglie dati carta attraverso canali multipli: sito web, OTA, telefono, walk-in alla reception, fax e persino email. Ogni canale ha un profilo di rischio diverso e spesso il personale di front desk si trova a gestire manualmente numeri di carta in situazioni per cui non esiste una procedura sicura definita. Il risultato è un perimetro PCI esteso, difficile da controllare e con rischi operativi concreti.
I canali di raccolta dati carta in un hotel: dove si nascondono i rischi
Il check-in fisico con POS certificato è il canale più controllato. Il rischio si concentra sugli altri: prenotazioni telefoniche in cui il personale trascrive manualmente il numero di carta, email con allegati contenenti moduli di autorizzazione, fax con dati carta in chiaro (ancora diffusi in alcune fasce di mercato corporate), e sistemi di prenotazione che salvano i dati carta nel PMS (Property Management System) senza cifratura adeguata.
Il PMS è un punto di rischio critico: molti sistemi diffusi nell'hospitality italiano archiviavano storicamente dati carta nel database senza soddisfare i requisiti PCI. Una verifica della configurazione del PMS è spesso la prima cosa che un QSA chiede a un hotel. Se il PMS non è certificato PCI o non si integra con un sistema di tokenizzazione, tutto il sistema e i server su cui gira rientrano nel CDE, con i relativi obblighi di sicurezza infrastrutturale.
Prenotazioni telefoniche e carta di garanzia: il problema MOTO
Le prenotazioni con carta di garanzia acquisite telefonicamente rientrano nella categoria MOTO (Mail Order / Telephone Order). Questo canale è specificamente considerato ad alto rischio dal PCI DSS perché il personale ha accesso diretto al numero di carta durante la chiamata. Il Requisito 3.3 dello standard vieta esplicitamente la registrazione audio di sessioni in cui vengono trasmessi dati carta, anche se molti hotel registrano le chiamate per scopi di qualità senza verificare l'impatto sulla compliance.
La soluzione tecnica per il canale MOTO è l'uso di un sistema di IVR sicuro o di una pagina di pagamento via link che consente al cliente di inserire i dati carta in autonomia senza che l'operatore li veda. PCI Proxy EU permette di implementare questo flusso: l'operatore avvia la sessione di pagamento, il sistema invia un link sicuro al cliente che inserisce i dati direttamente nel vault, e l'operatore riceve solo il token di conferma. Il personale non vede mai il PAN.
Come PCI Proxy EU risolve il problema dell'hospitality
PCI Proxy EU centralizza la raccolta e l'archiviazione dei dati carta da tutti i canali in un unico vault certificato. Per il canale online, la payment page hosted raccoglie i dati direttamente senza che transitino nel backend dell'hotel. Per il canale telefonico, il sistema di link di pagamento elimina l'esposizione dell'operatore. Per le garanzie carta conservate per il no-show, il token sostituisce il PAN nel PMS: il PAN originale rimane nel vault e può essere recuperato solo per addebiti effettivi.
Il risultato è un CDE ridotto ai soli componenti che comunicano con le API del vault, invece che all'intera infrastruttura dell'hotel. Il PMS che vede solo token non è più in scope per la parte di archiviazione dati. Le prenotazioni telefoniche gestite tramite link sicuro escono dallo scope MOTO critico. Il perimetro da proteggere si riduce a pochi endpoint API con controlli di accesso documentati, gestibili con risorse IT normali senza specializzazione in sicurezza dei pagamenti.
Domande frequenti
L'hotel deve conservare i dati carta per le garanzie no-show?
L'hotel ha spesso un requisito di business legittimo per conservare una carta di garanzia fino al check-out o per un periodo prestabilito. Il PCI DSS permette l'archiviazione del PAN se protetto con cifratura o tokenizzazione, con una retention policy documentata. La soluzione corretta è archiviare il token nel PMS e il PAN nel vault certificato. Conservare il PAN in chiaro o in modo non adeguatamente protetto nel PMS per questo scopo non è conforme.
Le prenotazioni via OTA come Booking.com trasferiscono responsabilità PCI?
Dipende dal modello. Se la OTA incassa il pagamento e trasferisce all'hotel solo la commissione netta (modello agenzia), l'hotel non tocca dati carta e la responsabilità PCI per quella transazione è della OTA. Se invece la OTA trasmette i dati carta all'hotel per l'addebito diretto, l'hotel diventa in scope per quella carta. Molte OTA usano sistemi virtuali di pagamento (virtual credit card) per questo scopo, che hanno implicazioni PCI diverse da gestire caso per caso.
Un PMS certificato PCI riduce gli obblighi dell'hotel?
Sì, se il PMS è certificato PCI DSS come service provider e l'hotel usa correttamente le funzionalità certificate. L'AOC del fornitore PMS copre la sua infrastruttura, ma non automaticamente i sistemi dell'hotel che si integrano con il PMS. L'hotel deve verificare che la propria implementazione rientri nel perimetro coperto dalla certificazione del fornitore, il che richiede in genere un dialogo diretto con il vendor PMS e spesso il coinvolgimento di un QSA.
Zero rischio PCI dalla reception alla fatturazione: un vault per tutti i canali. Scopri PCI Proxy EU.