Guias Práticos

PCI DSS no turismo: agências de viagens, OTAs e reservas online

10 de abril de 2025 5 min de leitura

O setor das viagens e do turismo é um dos contextos em que a conformidade PCI DSS é ignorada ou subestimada com maior frequência. As agências de viagem e as Online Travel Agencies gerem dados de cartão em dezenas de pontos de contacto diferentes, desde a reserva inicial até à garantia do hotel, passando pelo reembolso em caso de cancelação. Muitas destas empresas estão em âmbito PCI completo sem ter plena consciência disso, e sem nunca terem completado um SAQ.

PCI DSS no turismo: agências de viagens, OTAs e reservas online

Agências de viagem e OTAs: porquê estão em âmbito PCI sem o saber

Uma agência de viagens que recolhe os dados de cartão do cliente para reservar um voo ou um hotel através de um GDS (Global Distribution System) trata PAN em claro, ainda que não os processe diretamente. Se o número de cartão for introduzido num formulário web da agência, transmitido por e-mail ou telefone a um operador, ou conservado num sistema de gestão, a agência está plenamente dentro do CDE (Cardholder Data Environment) e sujeita aos requisitos PCI DSS.

As OTAs encontram-se numa posição ainda mais complexa. Por um lado, atuam como intermediárias entre o cliente e o estabelecimento de alojamento; por outro, conservam frequentemente os dados de cartão para garantir a reserva, cobrar o no-show ou efetuar reembolsos. Cada função adicional aumenta o perímetro PCI. E como estas operações se produzem em sistemas distribuídos, o risco de tratar dados de cartão em ambientes não certificados é elevado.

Reservas, garantias e alterações de reserva: cada ponto de contacto é um risco

No ciclo de vida de uma reserva turística, os pontos em que o dado de cartão é tratado são numerosos. A recolha inicial durante a reserva online, a transmissão ao estabelecimento de alojamento para a garantia, a conservação para possíveis cobranças posteriores à estada, o reembolso em caso de cancelação: cada um destes momentos representa um ponto de contacto que, se não for gerido corretamente, cria um risco PCI.

Um caso especialmente crítico é o das reservas online com pagamento diferido. O cliente introduz o cartão para garantir a reserva, mas o pagamento ocorre à chegada ou no check-out. Nos dias ou semanas que decorrem entretanto, o PAN deve ser conservado de forma segura. Muitos sistemas de gestão do setor turístico não foram concebidos para cumprir os requisitos PCI de cifragem e controlo de acesso para o armazenamento a longo prazo.

Como reduzir o âmbito PCI no setor turístico

A estratégia mais eficaz para as agências de viagem e as OTAs é eliminar os PAN dos seus próprios sistemas e substituí-los por tokens. Com o PCI Proxy EU, o dado de cartão é recolhido diretamente pelo cliente através de um formulário seguro e convertido em token antes de transitar pelos sistemas da agência. O sistema de gestão, o CRM e os sistemas de back-office trabalham unicamente com o token, sem nunca receber o PAN em claro.

Esta abordagem reduz drasticamente o perímetro PCI. A agência ou a OTA não precisa de certificar os seus próprios sistemas internos como parte do CDE, e pode completar um SAQ A ou SAQ A-EP em vez de uma auditoria completa. O estabelecimento de alojamento receptor recebe o token, que pode utilizar para cobrar a estada através do adquirente sem que o dado de cartão transite pelos seus próprios servidores.

Perguntas frequentes

Uma agência de viagens que utiliza apenas GDS está em âmbito PCI?

Depende de como o dado de cartão chega ao GDS. Se a agência introduzir o PAN no seu próprio terminal ou no software de gestão antes de o transmitir ao GDS, está em âmbito PCI porque tratou o dado. Se, em vez disso, utilizar um módulo de pagamento alojado do GDS no qual o cliente introduz diretamente o cartão, a agência pode estar fora do âmbito desde que nunca toque no PAN.

As OTAs como a Booking.com transferem a responsabilidade PCI para o hotel?

As grandes OTAs gerem o pagamento através dos seus próprios sistemas certificados PCI e transmitem ao estabelecimento de alojamento um número de cartão virtual (VCN) ou um token, não o PAN do cliente. O hotel processa o pagamento através do VCN. No entanto, quando o hotel recolhe um cartão diretamente para serviços adicionais, volta ao âmbito PCI para essa transação específica.

Como giro os dados de cartão para as garantias de reserva?

A solução correta é tokenizar o dado de cartão no momento da recolha e conservar apenas o token no sistema de reservas. O PCI Proxy EU permite recolher o PAN através de um hosted field, convertê-lo em token e utilizar o token para cobrar a garantia ou o no-show quando necessário, sem nunca conservar o PAN nos próprios sistemas.

Quer eliminar os dados de cartão do seu sistema de gestão de viagens e reduzir o âmbito PCI? Fale connosco sobre a sua situação. Descubra o PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.