Hoe ga je om met de creditcardgegevens van de gasten in je hotel? Voor veel hoteliers is dit een taai en ingewikkeld onderwerp. In dit artikel zetten we de belangrijkste zaken omtrent veilig omgaan met creditcardgegevens op een gemakkelijke manier op een rijtje. Zo kun je checken of jouw zaken nog op orde zijn en je voldoet aan de PCI-DSS-regelgeving.
Waarom is het belangrijk om volledig PCI-DSS compliant te zijn?
Accepteert jouw hotel fysiek of digitaal credit- en/of debetkaartbetalingen? Dan ben je verantwoordelijk voor het veilig opslaan, verwerken en verzenden van de gegevens van de kaarthouder. Wat de term ‘veilig’ inhoudt, staat vastgelegd in de internationale PCI-DSS-regelgeving. Naast dat het je wettelijke verantwoordelijkheid is, heb je er zelf ook baat bij om deze zaken goed op orde te hebben. Als je bijvoorbeeld een zelfstandige ondernemer bent, kun je niet gebruik maken van de IT-faciliteiten en het dichtgetimmerde datanetwerk van een hotelketen. Datacriminelen weten dit, en dat maakt je een doelwit voor data-aanvallen. Wanneer je hotel slachtoffer is van een datalek loopt je merknaam veel schade op. Je zult dus hard moeten werken om het vertrouwen van je gasten weer terug te winnen. Daarnaast hangen er vaak ook financiële gevolgen aan, zoals boetes, rechtszaken of je verliest het recht op het aannemen van creditcards.
Zo ga je om met fysieke opslag van creditcardgegevens
Regel nummer één: heb je papieren documenten met gevoelige gegevens niet (meer) nodig? Sla het dan ook niet op. Vernietig de documenten met een versnipperaar en gooi het veilig weg. Als je het wel nodig hebt, markeer dan met een dikke zwarte stift de gevoelige kaartgegevens en sla het op in een kluis (of kast met slot) waar weinig mensen toegang tot hebben. Instrueer je medewerkers dat ze kaartgegevens van gasten niet zomaar ergens opschrijven, deze moeten gelijk op de beveiligde plek ingevoerd worden.
Let ook op de digitale opslag van creditcardgegevens
Naast papieren documenten is het ook belangrijk om te weten waar je digitaal creditcardgegevens (onbewust) opslaat, zoals je e-mail inbox. Als je creditcardgegevens ontvangt van een gast via de e-mail, zorg dan dat je deze na het verwerken de e-mail gelijk verwijdert. Als je wilt reageren op de e-mail, open dan een nieuwe e-mail of verwijder de creditcardgegevens in je reactie. Ook in je hotelsoftwaresystemen kunnen deze gegevens opgeslagen worden. Hoe je hier mee om moet gaan, komen we op terug onder het kopje over hotelsoftware.
Bescherm je kassa- en betaalsystemen
Zorg dat gasten niet zomaar bij je kassa of betaalsystemen (zoals pinapparaten) kunnen komen. Zorg dat ze op een veilige plek staan en dat er door anderen niet ongemerkt meegelezen kan worden van het scherm. Zo voorkom je dat criminelen je apparaten manipuleren voor bijvoorbeeld skimming.
Stel gebruikersniveaus in voor je medewerkers
Zorg dat zowel fysieke als digitale bestanden met creditcardgegevens alleen maar toegankelijk zijn voor de medewerkers die het nodig hebben om hun werk goed uit te voeren. Het is natuurlijk belangrijk om vertrouwen te hebben in je medewerkers, maar verkeerde omgang met gevoelige gegevens gebeurt niet altijd met opzet. Zorg daarom dat deze informatie niet zomaar toegankelijk is, en dat je gebruikersrechten instelt op basis van de benodigdheden van de werknemer. Zorg dat er sterke wachtwoorden worden ingesteld. Weet je niet hoe je gebruikersrechten moet instellen? Vraag je softwareleveranciers om hiermee te helpen.
Weet of je hotelsoftware (en -hardware) voldoet aan PCI-DSS-regelgeving
Welke hotelsoftware of hardwaresystemen gebruik je op dit moment die betalingen moeten communiceren of verwerken? Dit zijn niet alleen je kassa’s of betaalterminals. Denk bijvoorbeeld ook aan je reserveringssysteem, channel manager of online boekingsmodule. De leveranciers van je hotelsystemen hebben net als jij de verantwoordelijkheid om te voldoen aan de PCI-DSS-standaarden. Dit betekent niet dat je er zomaar vanuit moet gaan dat alles goed zit. Wees er zeker van dat je met betrouwbare partijen samenwerkt. Zorg dat je de volgende zaken weet:
- Welke van je hotelsystemen creditcardgegevens verwerken of opslaan
- Wat jouw leveranciers er aan doen om te voldoen aan de PCI-DSS-standaard
- Welke vragen je moet stellen om daar achter te komen
Dit zijn enkele vragen die je de softwareleverancier kan stellen om erachter te komen of ze verantwoord met de creditcardgegevens van je gasten omgaan:
- Is het product gevalideerd volgens de PCI-veiligheidsstandaard?
- Integreert het product andere systemen die gegevens van de kaarthouder bevatten?
- Als het product integreert en creditcarddata uitwisselt met andere systemen, wordt dit dan beschermt met encryptie?*
* Encryptie zorgt ervoor dat de creditcardgegevens tijdelijk ‘gecodeerd’ (verpakt) worden als een token (reeks cijfers of karakters) en daarmee onleesbaar wordt gemaakt. Wanneer de token op de juiste plek is, worden de gegevens weer gedecodeerd en bruikbaar.
Neem veilig afscheid van oude betaalsystemen
Stap je over naar een nieuw (betaal)systeem? Zorg ervoor dat je oude apparaten volledig schoon zijn van gevoelige creditcarddata voordat je deze verkoopt of weggooit, anders kunnen gegevens teruggehaald en misbruikt worden. Vraag aan je leverancier hoe je dit moet doen.
Beveilig je volledige IT-infrastructuur
Nu je weet welke systemen en applicaties creditcardgegevens verwerken en hoe zij dit beschermen, moet je ook zorgen dat je internet is beveiligd. Zorg dat het netwerk waar al deze systemen op draaien goed beschermd is tegen aanvallen. Laat antivirussoftware installeren en zorg ervoor dat automatische updates aan staan om de meest recente beveiliging te houden.
Maak het jezelf makkelijker
Je kunt het ook zo regelen dat je je helemaal geen zorgen meer hoeft te maken om de creditcardgegevens van je gasten. Dat kan bijvoorbeeld door het verzorgen van een directe integratie tussen je betalingsprovider en je reserveringssysteem. Zo’n integratie zorgt ervoor dat de gegevens van de betalingsprovider, zonder tussenkomst van een hotelmedewerker, direct in het reserveringssysteem terecht komt. Creditcardgegevens hoeven niet meer handmatig te worden overgetypt of worden uitgeprint, waardoor je jouw gasten meer veiligheid kunt bieden dan voorheen.
Meer weten over een betalingsintegratie via SmartHOTEL? Lees hier meer over onze nieuwste oplossing SmartCONNECT for Payment!
Dit blog is geschreven met behulp van de Informatiebronnen voor Kleine Handelaren van de PCI security standards council. Heb je vragen naar aanleiding van dit artikel? Stuur ons een bericht!
Over SmartHOTEL
SmartHOTEL helpt hoteliers wereldwijd om hun weg te vinden in de spannende en de soms verwarrende wereld van online distributie. Vanuit ons kantoor in Nederland en het Verenigd Koninkrijk bedient ons team meer dan 1500 hotels met de Smart Channel Manager en op maat gemaakte integraties. Als Hospitality experts weten we precies wat onze klanten nodig hebben en welke uitdagingen hoteliers van alle soorten en maten elke dag te wachten staan. Meer weten over ons of onze services? Je kunt contact met ons opnemen via sales@smarthotel.nl of bellen naar +31 (0)182 75 11 18.