L'Équipe de Mirai6 minutes de lecture
Tags de l'article:

La norme PCI-DSS guette les hôtels, êtes-vous prêt ?

Vous avez reçu un appel de votre banquier pour vous demander si votre hôtel répond aux normes de sécurité de PCI-DSS ? Si c’est le cas, vous saurez déjà de quoi il s’agit même si vous ne savez pas encore comment procéder. Dans le cas contraire, vous serez contacté prochainement. Cet article va vous être utile pour savoir de quoi il s’agit et comment prendre les devants.pci logo

Qu’est-ce que le PCI-DSS ?Est- ce que cela concerne mon hôtel ?

Il s’agit d’une norme de sécurité qui concerne les environnements où l’on travaille et où l’on stocke des cartes de crédit. Quelque chose qui concerne directement n’importe quel hôtel.

Ce n’est rien d’autre qu’un « manuel des bonnes pratiques » que toute entreprise concernée doit suivre à la lettre. Le PCI-DSS signifie Payment Card Industry Data Security Standard et a été créé par un consortium de cartes de crédit qui comprend Visa, Mastercard et American Express, entre autres.

Que recherche PCI ?

Il cherche à éviter ou à minimiser les très nombreuses fraudes aux cartes de crédit qui existent, un fait qui a explosé avec l’arrivée d’Internet et du e-commerce.

Est-il obligatoire d’être certifié PCI ?

Aucune loi ne vous y oblige. En revanche, c’est une condition essentielle pour les entités émettrices de cartes et les banques qui pourront réduire leurs services ou rompre les relations contractuelles si vous n’êtes pas certifié PCI. La menace la plus courante des banques actuellement est le retrait du service de TPE physiques.

Est-ce la raison pour laquelle les banques me mettent la pression avec la certification PCI ?

C’est l’effet domino. Face à une fraude à la carte, les entités émettrices comme Visa se tournent vers les banques, qui à leur tour se tournent vers le commerce (hôtel) qui lui-même se tourne vers ses fournisseurs (entreprises de PMS, channel managers, moteurs de réservations, etc.).

Jusqu’à présent, les banques demandaient à l’hôtel que tous ses fournisseurs répondent à la norme PCI. L’hôtel fait en sorte que ces derniers la remplissent (Mirai a la certification PCI-DSS). En revanche, d’ici peu de temps, cette exigence va s’étendre et obligera votre hôtel à répondre également à la norme. Êtes-vous prêt ?

En quoi le PCI va-t-il m’affecter ? Cela va-t-il changer mon quotidien ?

Le PCI vous obligera à un profond changement technologique mais également un changement de philosophie. Ce sont plusieurs conditions qu’il faudra revoir et vous devrez adapter votre procédure en conséquence. Nous n’entrerons pas dans les détails parce que ce n’est pas le sujet de ce post. Nous allons par contre vous donner quelques exemples simples qui illustrent bien la portée et la philosophie de PCI.

  • Utilisateurs uniques. Chaque réceptionniste ou personne de l’hôtel qui travaille ou a accès aux cartes bancaires de clients doit avoir un mode utilisateur unique afin de pouvoir surveiller et vérifier chaque accès individuel en cas d’incident avec une carte concrète. Cela impliquera d’avoir une grande quantité de comptes nominaux sur les ordinateurs, dans le PMS, sur l’extranet de Booking.com ou de Mirai, ce qui rend plus complexe la procédure à la réception, par exemple.
  • Fax de confirmation de réservations où figure le numéro de carte du client. Conserver cette forme de confirmation devient compliquée au point de ne plus être envisageable. Le fax qui arrive à la réception à la vue de tout le personnel et des clients n’existe plus. Il faudra déplacer l’appareil dans un endroit où l’accès est réduit, avec des caméras de sécurité et avec un registre de chaque personne qui entre et sort. L’importation automatique de réservations dans votre PMS sera votre meilleur allié pour résoudre ce problème.
  • CVV2. Il est formellement interdit de stocker cette donnée (condition 3.2 de la norme). Si vous ne pouvez pas le ranger et que vous n’allez pas l’utiliser en temps réel, pourquoi le demander ? En outre, il ne vous sert à rien pour les transactions avec le TPE physique et ne vous aide pas en cas de remboursements. Il est préférable de ne pas le demander à vos clients au moment de la réservation (excepté sur les tarifs avec TPE virtuel où la banque le demandera pour effectuer le débit) et vous évitez le problème.
  • Si votre hôtel est équipé d’un PMS et que vous y stockez les données des cartes, préparez-vous à un grand changement. Vous devrez adapter toute l’architecture de votre réseau pour répondre à la norme : séparer le serveur en le configurant dans un réseau différent avec contrôle physique d’accès, caméras de sécurité et registre des entrées et sorties. Vous devrez aussi ajouter un pare-feu qui contrôle et enregistre à la fois tous les accès dans un troisième environnement séparé des deux premiers. Un casse-tête dont vous ne voulez rien savoir. Il est préférable de vous en remettre à votre fabricant de PMS afin de trouver la meilleure solution. Évidemment des versions sur le nuage (cloud) sont davantage recommandées dans ce cas, puisque de cette manière, vous ne gardez aucune information de carte dans votre hôtel.
  • Formation, documentation et procédures. Préparez-vous à une avalanche de documents à remplir (il vaut mieux s’en remettre normalement à un consultant externe) mais dont il faudra ensuite faire le suivi. Votre façon de travailler en ce qui concerne l’utilisation et le traitement des cartes sera transformée. Vous aurez besoin d’une équipe interne responsable pour répondre réellement à la norme. Chaque nouvel employé ayant accès aux cartes devra suivre une formation.

Tout cela pour arriver à un scénario dans lequel tous les encaissements de la part de l’hôtel ou toute manière de garantir une réservation s’effectue par des moyens de paiement centralisés et externes à l’hôtel (entreprises comme Google, Apple ou PayPal ont déjà de l’avance dans cette optique), en éliminant le risque d’une brèche dans la sécurité de l’hôtel lui-même.

Que dois-je faire et combien cela coûte-t-il pour obtenir la certification PCI ?

L’hypothèse est longue et sinueuse. Nous n’en parlerons pas ici. Nous indiquerons seulement qu’il s’agit de 12 points qui vont de l’architecture des systèmes (séparation avec pare-feu, cryptage de cartes, etc.) jusqu’aux procédures de sécurité et à la documentation nécessaire. Un guide rapide (qui comporte déjà 40 pages) peut être consulté ici. Un travail coûteux, mais nécessaire, nous le craignons.

La certification est gratuite en elle-même. En revanche, le temps et les moyens dont vous aurez besoin pour l’obtenir vous coûteront cher. Nous vous recommandons d’engager une des nombreuses entreprises conseil et certificatrices PCI (un grand marché qui a émergé sous couvert de cette nouvelle norme) et de vous laisser guider (dans la plupart des cas, ce ne sera pas un choix mais une obligation).

Il vous en coûtera une dépense initiale de 10 000€ à 60 000€ selon votre niveau d’exigence (plus le volume de cartes de crédit traitées à l’année sera grand, plus le niveau de sécurité requis sera important). Les grandes chaînes de centaines d’hôtels où il y a foule supportent d’autres coûts, c’est évident. À partir de la certification initiale, vous devrez être re-certifié chaque année pour un coût inférieur, puisque la majeure partie du travail aura été faite.

Le délai varie également mais pourrait osciller entre 3 et 12 mois, également en fonction du volume de cartes que vous traitez.

Est-ce que la certification PCI-DSS garantit d’être exempt de fraude ?

Malheureusement non. Répondre à la norme PCI-DSS améliore vos systèmes et le niveau de sécurité en minimisant le risque d’incident mais ne garantit pas à 100% qu’il n’y en aura pas. De ce fait, chaque année, de nombreuses entreprises certifiées PCI subissent des attaques et des vols de cartes.

Conclusion

La sécurité et le contrôle de la fraude sont des éléments intangibles de plus en plus importants et être à la page en matière de norme et de bonnes pratiques vous évitera bon nombre de problèmes dans le futur. C’est pourquoi, c’est un bon investissement. Il est normal qu’en tant qu’entrepreneur, il soit difficile de déployer des moyens pour quelque chose qui ne vous rapporte pas financièrement à court ou moyen terme.

En revanche, les banques ont commencé à faire pression et cela semble maintenant inévitable. Les dominos sont en train de tomber et tôt ou tard (6 mois ? 1 an ? 2 ans ? Personne ne le sait …) ce sera le tour du domino des chaînes moyennes (celui des grandes est déjà tombé) puis plus tard, ce sera le tour des hôtels individuels. Connaître ce qui va probablement vous arriver est le moins que vous puissiez faire. Anticiper serait vraiment idéal.