Pagamenti sicuri tramite carta nel settore alberghiero

Payment Services
Pagamenti sicuri tramite carta nel settore
alberghiero
Una guida SIX Payment Services
Indice
Premessa
3
Garanzia di prenotazione alberghiera mediante carta di credito 4
Prenotazione alberghiera mediante anticipo con carta di credito
(Hotel Advance Deposit)
6
Express Check-out
8
Addebiti a posteriori (Late Charges)
9
Protezione efficace dei dati con lo standard di sicurezza PCI DSS
10
Strumenti ausiliari
12
Lista di controllo PCI per alberghi
15
Autorizzazione della carta di credito (campione)
17
Accordo per la protezione dei dati (campione)
19
2
Premessa
Gentile cliente,
sono sempre di più le persone che apprezzano la flessibilità e la libertà legate ai pagamenti con carte di
credito o di debito. Cresce anche il numero delle
aziende come la sua che, accettando le carte di pagamento, vedono aumentare il proprio fatturato.
Per far sì che la soddisfazione rimanga tale è necessario osservare alcune norme di sicurezza. Il successo
dei pagamenti senza contanti infatti ha destato anche
l’interesse dei truffatori, soprattutto nel settore alberghiero. Negli ultimi anni alcuni hotel svizzeri hanno
subito il furto dei dati delle carte di credito. I rischi si
nascondono spesso in luoghi inaspettati.
Come azienda leader nel settore «acquiring» e «processing», SIX Payment Services si sente in dovere di
fornire tutto il supporto possibile in materia di sicurezza dei dati delle carte di credito. La presente guida
è appunto figlia di questo impegno.
Le indicazioni e i consigli contenuti nel manuale consentono di effettuare transazioni con carta di credito
semplici ed efficienti: dalla prenotazione alla registrazione fino al check-out.
Una parte della guida è dedicata alla protezione dei
dati e al cosiddetto «Payment Card Industry Data
Security Standard» (in breve PCI DSS) definito dalle
organizzazioni leader delle carte di credito – in particolare Visa e MasterCard – per il trattamento dei dati
sensibili. Il PCI DSS è riconosciuto a livello internazionale ed è rivolto a coloro che trasmettono, elaborano
o salvano i dati delle carte di credito.
La invitiamo a prendere conoscenza di queste istruzioni e a farsi un’idea di ciò che può essere implementato o ottimizzato anche nel suo albergo. In questo modo anche il pagamento sarà una componente
importante per la soddisfazione dei suoi ospiti, i quali
conserveranno un ricordo indelebile delle loro
vacanze.
Qualche domanda in merito agli argomenti affrontati in questo manuale? Il Team PCI di SIX Payment
Services è a sua disposizione: sarà sufficiente inviare
un’e-mail a [email protected].
Le auguriamo il massimo successo per la sua attività!
Il Team PCI di SIX Payment Services
3
Garanzia di prenotazione alberghiera mediante
carta di credito
Come procedere
I titolari di una carta di credito Visa, MasterCard,
Diners Club, Discover, UnionPay o JCB hanno la possibilità di utilizzare la propria carta per garantire la
prima notte in albergo. In qualità di hotel e/o agenzia
eventualmente coinvolta nelle prenotazioni, la preghiamo di osservare alcuni punti importanti riportati
nel presente promemoria. Si assicuri che l’agente di
prenotazione le trasmetta senza indugio tutte le informazioni inerenti la prenotazione o l’annullamento.
Procedura di prenotazione
1. Richiedete al cliente le seguenti informazioni
al momento della prenotazione:
1 Numero e data di scadenza della carta di credito
2 Cognome e nome del titolare della carta (deve
coincidere con quello dell’ospite), indirizzo,
numeri di telefono e fax nonché e-mail del titolare
della carta
2. Informate l’ospite in merito alle condizioni da voi
applicate. Inviategli una conferma della preno­
tazione per posta, fax o e-mail comprendente le
seguenti indicazioni:
– Prezzo per pernottamento relativo alla categoria
di camera richiesta e importo totale (IVA incl.)
– Indirizzo esatto dell’albergo
–N
umero di prenotazione
– Informazioni sulle condizioni di annullamento
e addebito:
Il costo di un pernottamento e le relative
tasse alberghiere vengono addebitati al
­titolare della carta in mancanza di annullamento entro le 18.00 ora locale del giorno
di arrivo previsto.
Direttive PCI DSS
Rispettate le direttive dello standard di sicurezza
PCI DSS elaborato dalle organizzazioni leader nel
settore delle carte di credito. Spiegazioni in merito
sono riportate a pagina 10 di questa guida.
1
1
2
4
Condizioni di annullamento
In linea di massima, siete tenuti ad accettare tutti gli
annullamenti pervenuti entro le 18.00 ora locale del
giorno di arrivo previsto. Avete inoltre l’obbligo di
comunicare al titolare della carta il numero di annullamento della sua prenotazione.
Come procedere il giorno dell’arrivo
Al momento del check-in, richiedete al cliente la carta
di credito e riservate tramite il vostro terminale l’importo dovuto per la data prevista di fine soggiorno.
Effettuate sempre una lettura della carta al terminale.
Digitate manualmente il numero della carta solo se il
chip e la banda magnetica risultano entrambi illeggibili e la carta non viene pertanto riconosciuta dal terminale. In questo caso, realizzate sempre anche una
copia della carta mediante l’Imprinter (stampante
­manuale) e autorizzate la transazione.
Se questo termine di annullamento è per voi insufficiente, potete anticiparlo fino a un massimo di 72 ore
prima dell’arrivo previsto. In questo caso siete esplicitamente tenuti a comunicare all’ospite per iscritto
questa condizione particolare. Indicate chiaramente
la data e l’ora di scadenza dell’annullamento nella
conferma della prenotazione.
Alloggio sostitutivo
È vostro obbligo mettere a disposizione del cliente
­l’alloggio regolarmente prenotato. Nel caso ciò non
fosse possibile, siete tenuti a organizzare un alloggio
della medesima categoria e nella medesima località.
Il cliente ha inoltre diritto al trasferimento verso
­l’alloggio sostitutivo e a una telefonata di tre minuti.
Da parte vostra siete obligate a inoltrare gratuitamente tutti i messaggi e le chiamate diretti al cliente
verso il nuovo alloggio.
Se il cliente non si presenta e non provvede all’annulla­
mento della prenotazione nei tempi prestabiliti, p
­ otete
emettere uno scontrino di vendita per l’addebito di
una notte a carico del titolare della carta. Al posto
della firma del titolare della carta, riportate a mano
l’indicazione «No show». Nel caso il cliente contesti di
aver effettuato autonomamente la prenotazione, non
avete alcun diritto al bonifico.
5404 4310 0000 0000
CHF
CHF
Extras
Tips
Authorization
CHF
Number
Betrag
Montant
Importo Betrag
Amount Montant
Importo
Extras Amount
Tips
CHF Extras
Tips
Ich anerkenne den TOTAL-Betrag und verpflichte mich, den TOTAL-Betrag gemäss den Kartenbedingungen zu zahlen.
Die Kartenorganisation ist ermächtigt, den TOTAL-Betrag bei ordnungsgemässer Vorlage zu zahlen.
TOTAL
Je reconnais le montant TOTAL et m’engage à payer le montant TOTAL conformément aux conditions régissant l’utilisa- CHF
tion de la carte. L’organisation de la carte est autorisée à régler le montant total sur simple présentation.
Ich anerkenne
TOTAL-Betrag
und verpflichte
denaiTOTAL-Betrag
gemäss den
Riconosco l’importo
TOTALEden
e mi
impegno a pagare
l’importomich,
TOTALE
sensi delle condizioni
dellaKartenbedingungen
carta. L’organizza- zu zahlen.
Kartenorganisation
den TOTAL-Betrag
beidebita
ordnungsgemässer
zione addettaDie
alle
carte è autorizzataista ermächtigt,
pagare il TOTALE
dell’importo su
presentazione.Vorlage zu zahlen.
TOTAL
Je the
reconnais
montant
TOTAL
et m’engage
à payer
le montant
TOTAL
conformément
auxtoconditions
régissant l’utilisa- zu zahlen.
I acknowledge
TOTAL
amount
and
hereby
commit myself
to paying
the
TOTAL
according
the
card
condiIch leanerkenne
den
TOTAL-Betrag
und
verpflichte
mich,
den amount
TOTAL-Betrag
gemäss
den
Kartenbedingungen
CHF
DD
tionorganization
de la carte.
L’organisation
la
est autorisée
àupon
réglerproper
le montant
total sur simple présentation.
tions. The card
is authorized todepay
the
TOTAL
amount
presentation.
Die Kartenorganisation
istcarte
ermächtigt,
den TOTAL-Betrag
bei
ordnungsgemässer
Vorlage zu zahlen.
TOTAL
RiconoscoJe
l’importo
TOTALE
e mi impegno
pagare l’importo
ai sensi
delle
condizioni della
L’organizzaDatum
reconnais
le montant
TOTAL etam’engage
à payerTOTALE
le montant
TOTAL
conformément
aux carta.
conditions
régissant l’utilisa- CHF
zione addetta
alle
carte
è
autorizzata
a
pagare
il
TOTALE
dell’importo
su
debita
presentazione.
tion de la carte. L’organisation de la carte est autorisée à régler le montant total sur simple présentation.
Date
I acknowledge
the
TOTAL
amount
and
hereby
commit
myself
to
paying
the
TOTAL
amount
according
to
the
card
condiRiconosco l’importo TOTALE e mi impegno a pagare l’importo TOTALE ai sensi delle condizioni della carta.
Data L’organizzations. The zione
card organization
authorized
to payathe
TOTAL
amountdell’importo
upon propersupresentation.
addetta alle is
carte
è autorizzata
pagare
il TOTALE
debita presentazione.
I acknowledge the TOTAL amount and hereby commit myself to paying the TOTAL amount according to the cardDatum
condiDate
tions. The card organization is authorized to pay the TOTAL amount upon proper presentation.
x
CHFx x
CHF
CHF
Unterschrift / Signature / Firma
Unterschrift / Signature / Firma
Unterschrift / Signature / Firma
Data
CTS
Authorization
Number
Datum
Date
Data
.
CHF
. . .
.
.
.
.
.
CTS
CTS
CHF
MM
DD
YY
MM
CTS
KOPIE / COPIE / COPIA / COPY SIX Payment Services
Betrag
Montant
Importo
Amount
CHF
Authorization
Number
YY
KOPIE KARTENINHABER / COPIE TITULAIRE / CARDHOLDER’S COPY
999 001 001
VERTRAGSPARTNER AG
0000 ORTSCHAFT
27
ORIGINAL
01-10
JACQUES MÜLLER
1234567
SIX Payment Services AG
CH-8005 Zürich
SIX Payment Services AG
CH-8005 Zürich
SIX Payment Services AG
CH-8005 Zürich
5
Prenotazione alberghiera mediante anticipo
con carta di credito
(Hotel Advance Deposit)
Se il vostro albergo richiede il versamento di un acconto
per garantire la prenotazione, questo può essere
effettuato utilizzando la carta di credito del cliente.
Questo foglio informativo vi illustra in che modo 1
elaborare correttamente gli acconti versati con carta
di credito, 2 stornare correttamente gli acconti, 3
gestire in modo corretto le prenotazioni in eccesso.
È importante seguire con precisione le seguenti istruzioni. Così facendo è infatti possibile evitare discussioni con i clienti o addirittura riaccrediti e storni.
1 Elaborare correttamente gli acconti versati
con carta di credito
Durante il colloquio di prenotazione con il cliente …
Richiedete le seguenti informazioni:
– cognome e nome del titolare della carta (come
riportati sulla carta stessa)
– Indirizzo di fatturazione
– numero della carta di credito e data di scadenza
– numero di telefono, indirizzo postale e indirizzo
e-mail
– data di arrivo e durata del soggiorno
Fornite al cliente le seguenti informazioni:
– prezzo della camera (incl. diritti e tasse)
– importo dell’acconto che addebiterete sulla sua
carta di credito (non deve superare il costo di
14 pernottamenti)
– nome, indirizzo e numero telefonico dell’albergo
– codice di prenotazione 1, chiedendo al cliente di
conservarlo per eventuali ulteriori informazioni
– che l’acconto verrà detratto dall’importo finale e
– che la camera verrà tenuta libera solo per il
periodo coperto dall’acconto versato
Informate il cliente sulle condizioni imposte
dall’albergo per lo storno, soprattutto in merito a:
– l’ultima data utile per richiedere un annullamento
senza applicazione di costi
– il fatto che dopo la scadenza del termine
­d’an­nullamento, o in caso di non osservanza delle
­condizioni imposte per lo storno, l’acconto verrà
trattenuto integralmente o in parte.
1
2
Assegnato dall’albergo
La designazione della funzione può variare a seconda del modello di terminale.
Per eventuali domande, contattate il produttore del vostro terminale.
6
Dopo aver parlato con il cliente ...
Registrate l’anticipo con il vostro terminale
– Dato che non disponete della carta ma solo del
numero di carta del cliente, utilizzate la funzione
«Registrazione manuale dei dati della carta» 2.
– In sostituzione della firma, indicate a mano la dicitura «Advance Deposit» nell’area riservata alla firma.
Acconto sicuro nel settore E-Commerce
SIX Payment Services raccomanda le soluzioni Secure
PayGate o Secure E-Commerce per la gestione delle
caparre. Per utilizzare Secure PayGate procedere in
questo modo:
1. Aprire Secure PayGate sul PC.
2. Richiamare una delle offerte standard disponibili
oppure preparare una nuova offerta personalizzata.
3. Inviare l’offerta via e-mail con altre informazioni a
scelta in allegato (es. le condizioni di annullamento).
4. Il cliente verifica l’offerta.
5. Se è d’accordo, il cliente clicca sul link protetto
contenuto nella mail e automaticamente effettua
il login alla finestra di pagamento Saferpay.
6. Il cliente inserisce il numero di carta, il codice
di controllo (CVV2, CVC2, CID), il nome e la data
di scadenza e conclude l’acquisto.
7. Il proprietario della carta riceve immediatamente
via e-mail una conferma di acquisto.
8. Contemporaneamente anche voi riceverete una
conferma del pagamento via e-mail.
9. Il pagamento viene depositato automaticamente
nel vostro Backoffice-Journal, dove potete controllarlo e gestirlo.
Effettuando il pagamento tramite Secure E-Commerce
il cliente accede al vostro sito e segue il normale procedimento di selezione e pagamento.
Ricordare quanto segue: effettuare una transazione
mediante acquisizione manuale dei dati della carta di
credito comporta rischi che ricadono nella vostra
responsabilità di partner contrattuale. Soprattutto nel
caso in cui, in un secondo momento, dovesse risultare che i dati della carta di credito sono stati usati
senza l’autorizzazione del proprietario della carta. In
questi casi il rischio relativo al recupero dell’importo
della transazione, nei confronti del proprietario della
carta, è interamente a vostro carico. Utilizzando il
sistema Secure PayGate questi rischi possono essere
decisamente ridotti.
Direttive PCI DSS
Conservate i dati delle carte in forma fisica, evitando
di salvarli su un sistema informatico. Se intendete
memorizzare elettronicamente i dati delle carte,
richiedete una certificazione PCI DSS. Consultate a
questo proposito le nostre «Indicazioni sull’osservanza delle disposizioni di sicurezza PCI DSS per i
partner contrattuali». Conservate i dati registrati manualmente (numero e data di scadenza della carta)
in un luogo sicuro e accessibile solo a una ristretta
cerchia di persone. Al termine del soggiorno del cliente,
tali dati devono obbligatoriamente essere distrutti.
I codici di sicurezza delle carte (CVV2, CVC2, CID,
CAV2) non devono mai essere memorizzati.
Informate il cliente per iscritto in merito all’acconto
Siete tenuti a far pervenire al cliente, entro tre giorni
lavorativi, una conferma scritta dell’avvenuto versamento dell’acconto nonché una copia della ricevuta
di prenotazione.
La conferma di versamento dell’acconto inviata
dall’albergo 3 deve contenere le seguenti informazioni:
– denominazione dell’albergo
– nome e cognome, indirizzo di fatturazione e
numero telefonico del titolare della carta
– data di arrivo prevista
– importo dell’acconto
– data della transazione
– codice di prenotazione relativo all’acconto
– ultima data utile per l’annullamento (storno)
– condizioni per l’annullamento, come concordate
con il cliente
– informazioni sui diritti e doveri in caso di acconto
versato mediante carta di credito
Dovete richiedere al titolare della carta di riconfermare per iscritto la prenotazione (per fax, lettera o
e-mail). In tale comunicazione, il titolare della carta
deve espressamente confermare di aver letto, compreso ed accettato le condizioni per l’annullamento
(storno). Vi consigliamo di inviare al titolare della carta
una lettera di conferma precompilata da firmare.
2
Stornare correttamente gli acconti
Durante il colloquio con il titolare della carta
– Comunicategli il suo codice di storno 4.
– Informatelo che il codice deve essere conservato
per eventuali richieste d’informazioni future.
Dopo il colloquio
– Corredate la conferma di versamento dell’acconto
con la dicitura «cancelled» e il codice di storno.
– Calcolate l’importo da rimborsare.
– Effettuate un accredito sulla carta utilizzando il
vostro terminale.
– Inviate al cliente per posta / fax o e-mail, entro tre
giorni lavorativi, una copia di entrambe le ricevute
(ricevuta di prenotazione Advance Deposit e
­ricevuta dell’avvenuto storno), unitamente a un
testo nel quale spiegate che è stato effettuato
un riaccredito a suo favore.
I riaccrediti devono essere effettuati esclusivamente
sulla medesima carta di credito sulla quale l’importo
era stato originariamente addebitato. Non effettuate
versamenti su altre carte di credito o di debito, né
bonifici bancari.
3 Gestire in modo corretto le prenotazioni
in eccesso
In linea generale, il cliente ha diritto di ricevere la
camera prenotata o una camera della medesima categoria. Nel caso in cui l’alloggio prenotato non sia
disponibile all’arrivo del cliente, siete tenuti ad assicurargli come minimo le seguenti prestazioni sostitutive:
– alloggio in un altro albergo di categoria equivalente o più alta, fino al momento in cui la camera
riservata non si liberi
– trasporto fino all’albergo sostitutivo e ritorno
(anche giornalmente, se richiesto dal cliente)
– trasferimento di tutti i messaggi e delle chiamate
all’albergo sostitutivo
– due telefonate gratuite di tre minuti
– L’anticipo versato dovrà essere rimborsato
­integralmente al cliente 5.
La conferma di versamento dell’acconto deve essere compilata dal vostro
albergo.
4
Il codice di storno deve essere assegnato dal vostro albergo.
5
Procedere come indicato al punto 2: Come stornare correttamente
l’anticipo.
3
7
Express Check-out
Per venire incontro alle esigenze di quei clienti
che al momento di effettuare il check-out hanno
particolarmente fretta, potete offrire loro il ser­
vizio «Express Check-out». Con questo servizio
non è necessario che al momento della partenza
l’ospite sia presente alla reception con la sua carta
di credito.
– se l’importo della fattura finale è superiore del
15 percento al totale degli importi precedentemente autorizzati, è necessario richiedere un’autorizzazione relativa alla differenza tra i due importi
– se precedentemente non è stata richiesta alcuna
autorizzazione, deve essere autorizzato l’intero
importo.
Il servizio «Express Check-out» prevede la
seguente procedura.
– Per poter assicurare un «Express Check-out» il
più possibile sicuro, è necessario soddisfare una
serie di requisiti già al momento del check-in.
All’arrivo del cliente, chiedetegli la carta di credito
e, mediante una richiesta di autorizzazione, riservate l’importo dovuto alla data di fine soggiorno
prevista. A questo scopo è importante che la carta
di credito dotata di chip o banda magnetica venga
letta dal terminale. NON inserite manualmente
i dati della carta tramite il tastierino del dispositivo poiché, in caso di contestazione, non
potrebbe essere dimostrata la presenza della
carta al terminale. È inoltre consigliabile al
momento del check-in chiedere al cliente di sottoscrivere un accordo (in base al nostro modulo
«Autorizzazione carta di credito») con il quale il
cliente vi autorizza già all’arrivo ad addebitare sulla
sua carta di credito diverse spese supplementari.
– Preparate la fattura finale a carico del cliente, comprensiva di ristorante, telefono e altre spese. Confrontate l’importo della fattura con il totale di tutti
gli importi stimati e precedentemente autorizzati:
– se l’importo della fattura finale è inferiore al
totale degli importi precedentemente autorizzati
e maggiorati del 15 percento, non è necessario
richiedere alcuna ulteriore autorizzazione.
–Apponete la dicitura «Signature on File» nel
campo della firma presente sulla ricevuta della
transazione.
– entro tre giorni lavorativi dalla data della procedura
di «Express Check-out» inviate al titolare della
carta tutte le informazioni relative alla transazione:
– copia della ricevuta della transazione effettuata
al terminale
– fattura dettagliata con suddivisione dei costi
– copia del modulo «Autorizzazione carta di
­credito» con l’indicazione della carta di credito
sulla quale è stato effettuato l’addebito.
Importante: non inviate al cliente il modulo «Autorizzazione carta di credito» via e-mail, oppure rendete
illeggibile il numero di carta di credito (escluse le
ultime 4 cifre) prima di procedere alla scansione
(adempimento delle disposizioni di sicurezza previste dallo standard PCI DSS).
– Conservate in luogo sicuro l’intera documentazione per un minimo di 3 anni, nel rispetto della
legis­lazione locale.
Il servizio «Express Check-out» nasconde un latente
rischio finanziario: nel caso in cui si rivelasse a
posteriori che la carta è stata impiegata in modo
fraudolento o da persona diversa dal legittimo
titolare, quest’ultimo può richiedere il rimborso
dell’importo illegittimamente addebitato. Per questo motivo, vi consigliamo di offrire la procedura di
«Express Check-out» solo ai clienti a voi già noti.
Per i nuovi clienti è consi­gliabile limitarsi alla procedura di check-out normale o effettuare quest’ultima la sera prima della partenza.
8
Addebiti a posteriori (Late Charges)
Se dopo che il cliente ha effettuato il check-out
constatate che alcune spese non sono state inserite nella fattura finale (ad esempio servizio in
camera, telefono o minibar), potete addebitare tali
spese a posteriori sulla carta di credito del cliente.
Per fare ciò è necessario aver preventivamente illustrato al cliente, già al momento del check-in, le Condizioni generali di contratto relative ai costi supplementari. Per questo motivo vi consigliamo di far
sottoscrivere all’ospite al momento del suo arrivo un
apposito accordo (attenendovi al nostro modulo
«Autorizzazione carta di credito»).
Se disponete di questa autorizzazione da parte del
cliente all’addebito dei costi supplementari, inviategli
una ricevuta della transazione relativa ai costi constatati successivamente al check-out – corredata della
dicitura «Signature on File» nel campo della firma.
–Digitate il numero di carta di credito indicato
nell’accordo tramite il tastierino del terminale e
addebitate i costi supplementari accertati.
– Se il tentativo di addebito fallisce (autorizzazione
negata), contattate il titolare della carta di credito e
invitatelo a fornire un diverso mezzo di pagamento.
– Se l’addebito avviene con successo, apponete nel
campo della firma presente sulla ricevuta del terminale la dicitura «Signature on File», con­servate la
ricevuta e allegatela alla documen­tazione relativa
all’ospite.
–Inviate al titolare della carta le seguenti informazioni
sui costi supplementari sostenuti:
– copia della ricevuta della transazione corredata
della dicitura «Signature on File» nel campo
riservato alla firma
– copia della documentazione relativa alla trans­
azione, con l’elenco dettagliato delle spese
­supplementari
Direttive PCI DSS
Rispettate le direttive dello standard di sicurezza
PCI DSS elaborato dalle organizzazioni leader nel
settore delle carte di credito. Spiegazioni in merito
sono riportate a pagina 10 di questa guida.
I costi supplementari addebitati a posteriori possono riferirsi esclu­sivamente alla camera, al vitto o
alle bevande, e possono ammontare a un massimo
del 15% del prezzo indicato in fattura.
Se i costi supplementari ammontano a oltre il 15%,
o se derivano da smarrimenti, furti o danni alle
suppellettili, essi possono essere addebitati a
posteriori solo previo accordo con il cliente dopo la
sua partenza. L’autorizzazione da parte del cliente
all’addebito di tali costi sulla carta deve essere fornita in forma scritta.
9
Protezione efficace dei dati con lo standard di
­sicurezza PCI DSS
Sono sempre di più le persone che apprezzano la
flessibilità e la libertà legate ai pagamenti con
carte di credito o di debito. Cresce anche il numero
di alberghi e ristoranti che vedono aumentare il
fatturato con le carte di pagamento. Affinché la
soddisfazione rimanga tale, è necessario adottare
alcune misure di sicurezza. Lo standard di sicurezza PCI fornisce direttive finalizzate alla riduzione dei rischi legati alle operazioni con carta di
credito.
Il Payment Card Industry Data Security Standard,
abbreviato in PCI DSS, è un regolamento che si
applica ai pagamenti elettronici, per l’esecuzione in
sicurezza delle transazioni con carta di credito. Le
principali organizzazioni di carte di credito – Visa,
MasterCard, JCB International, American Express e
Discover Financial Services – ne richiedono obbligatoriamente l’adozione. Questo regolamento è stato
stilato e viene sviluppato dal PCI SSC (Payment Card
Industry Security Standards Council).
Tutte le aziende che memorizzano, trasmettono o
gestiscono dati di carte di credito devono soddisfare
le direttive di sicurezza previste da questo regolamento. Se i requisiti non vengono soddisfatti, in
ultima istanza, le organizzazioni di carte di credito
possono rifiutare di accettare i pagamento con carta
di credito.
Il regolamento ha lo scopo di tutelarvi dalle spiacevoli
conseguenze del furto dei dati delle carte di credito:
perdita di dati significa infatti non solo perdita finanziaria ma anche danno d’immagine.
10
Il regolamento prevede un elenco di dodici requisiti
riferiti all’infrastruttura IT, ai processi e ai dipendenti
del vostro albergo:
  1.Installazione e manutenzione di un firewall per la
protezione dei dati delle carte di credito
  2.Cambio delle password e di altre impostazioni di
sicurezza dopo la consegna del sistema (ad es.
sostituzione delle password di default con pass­
word personalizzate).
  3.Protezione dei dati delle carte archiviati
  4.Trasmissione cifrata dei dati delle carte di pagamento su reti pubbliche
  5.Utilizzo e aggiornamento regolare dei programmi
antivirus
  6.Sviluppo e manutenzione di sistemi ed applicazioni sicuri
  7.Limitazione degli accessi ai dati delle carte di
credito in funzione delle esigenze professionali di
informazione
  8.Assegnazione di un User ID univoco ad ogni
­persona munita di accesso al pc
  9.Limitazione dell’accesso fisico ai dati delle carte
di credito
10.Registrazione e verifica di tutti gli accessi alle reti
e ai dati delle carte di credito
11. Controlli regolari di tutti i sistemi e i processi di
sicurezza
12.Introduzione e rispetto delle direttive di sicurezza
delle informazioni per i dipendenti e i prestatori
di servizio
Il rispetto delle direttive viene verificato in base a tre
diverse misure di validazione:
– gli hotel che effettuano più di 6 milioni di transazioni all’anno o i partner contrattuali che hanno
subito un furto di dati di carte di credito, devono
effettuare un Audit On-Site. L’Audit deve essere
eseguito da un Auditor addestrato, oppure da
un’azienda di certificazione accreditata (QSA –
Qualified Security Assessor);
– gli hotel che hanno effettuato meno di 6 milioni di
transazioni possono dichiarare il rispetto delle
direttive compilando un questionario di autovalutazione (SAQ – Self Assessment Questionnaire).
In funzione del tipo di carte di credito accettate,
sono disponibili le relative versioni di questo documento SAQ;
– per gli hotel dotati di infrastrutture che entrano
in contatto con i dati delle carte di credito,
è inoltre disponibile il cosiddetto Network-Scans.
Trimestralmente e previo accordo con voi, un
ASV (Approved Scanning Vendor) simula attacchi
tipo hacking che hanno lo scopo di evidenziare
per tempo i punti deboli della rete.
11
Strumenti ausiliari
Fondamentalmente è auspicabile adottare soluzioni in cui la vostra azienda non entri assolutamente in contatto con dati di carte di credito
completi e non criptati. Nel caso in cui possiate
garantirlo, la spesa per la certificazione si riduce
in misura notevole.
I seguenti strumenti ausiliari vi aiutano a ridurre il
rischio e il costo della certificazione.
Software per hotel –
Property Management System (PMS)
Accertatevi che il vostro software di gestione dell’hotel sia certificato ai sensi del PA-DSS (Payment Application Data Security Standard) e che disponga di un
modulo per il numero di riferimento (il software PMS
procede a una cifratura dei dati delle carte di credito).
Contattate il vostro fornitore di software e fatevi rilasciare la certificazione di conformità PA-DSS.
PCI Proxy Server
Internet oggi viene utilizzata in maniera intensiva
come canale di vendita. Le piattaforme di prenotazione alberghiera sono uno strumento potente, ma
purtroppo spesso inviano dati completi e non criptati
delle carte di credito, per e-mail o tramite un’interfaccia XML.
La trasmissione dei dati in chiaro aumenta notevolmente il numero delle direttive di sicurezza sul PCI
DSS che devono essere rispettate. Per fare in modo
che la collaborazione con le piattaforme di prenotazione non vi costringa a rinunciare a una certificazione ridotta, SIX Payment Services ha condotto
diversi colloqui con Datatrans e ha creato una soluzione PCI Proxy.
Essa prevede che il server proxy della ditta Datatrans
si inserisca, in caso di trasmissione di informazioni
relative a prenotazione con dati di carta di credito, via
e-mail o interfaccia XML, tra la piattaforma di prenotazione e la vostra azienda. I dati della carta di credito
vengono criptati e salvati in un ambiente sicuro di
Datatrans; voi riceverete solo un numero di riferimento. Il vostro hotel non entrerà in contatto con i
dati della carta di credito, avrete però la possibilità di
addebitare un importo sulla carta di credito del cliente
utilizzando il numero di riferimento.
Per ulteriori informazioni potete rivolgervi direttamente alla Datatrans:
www.datatrans.ch o [email protected]
12
Foregenix Tool
Nel caso in cui non siate certi che nella vostra infrastruttura siano presenti dati di carte di credito, la ditta
Foregenix vi fornisce un prezioso supporto con il tool
«FScout». Questo strumento effettua una scansione
completa dell’infrastruttura alla ricerca di dati di carte
di credito. Se tali dati vengono rilevati, è possibile isolare o cancellare i file trovati. In questo modo potrete
verificare che la vostra infrastruttura non contiene file
nascosti con dati di carte di credito.
Ulteriori informazioni sono disponibili sul sito di
Foregenix: www.foregenix.com
Portale web SAQ
Secure PayGate
In cooperazione con la ditta Acertigo GmbH, SIX
Payment Services gestisce un portale web di SelfAssessment-Questionary (SAQ).
Se ricevete prenotazioni per telefono, fax, e-mail o
per posta, i vostri clienti potranno pagare i costi del
soggiorno in anticipo rapidamente, comodamente e
in maniera sicura su internet, senza che il vostro hotel
debba entrare in contatto con i dati delle carte di credito. La soluzione si chiama Secure PayGate.
Questo portale è in grado di assistervi durante l’esecuzione di tutte le operazioni previste dal PCI DSS per
ottenere una certificazione PCI e per rinnovarla a
intervalli regolari. Il portale offre una comoda interfaccia utente e vi conduce passo per passo attraverso
tutti i processi di certificazione necessari.
Nell’archivio del portale sono conservati tutti i documenti necessari al commerciante durante l’esecuzione del processo, tali documenti possono essere
visualizzati online o scaricati. Ad esempio sono presenti un SAQ concluso, i risultati del Network-Scan e
le conferme di certificazione.
È possibile registrarsi gratuitamente al portale ed
eseguire una classificazione per determinare i passi di
certificazione necessari.
Per domande di carattere tecnico o per approfondimenti è possibile rivolgersi direttamente al Team PCI
via e-mail: [email protected] oppure telefonare al numero 0041 (0)58 399 9955.
Secure PayGate unisce i vantaggi della cosiddetta
transazione Mail-/Phone-Order con la sicurezza di
una transazione Secure E-commerce protetta da password. Per voi ciò significa maggiore sicurezza e condizioni più favorevoli.
Ulteriori informazioni su Secure PayGate sono disponibili all’indirizzo www.saferpay.com
PCI Checklist per l’hotel
Non siete sicuri se e in che misura il vostro hotel corra
il rischio di subire un furto di dati delle carte di credito?
Compilate con estrema sincerità le checklist riportate
alle pagine seguenti e inviatele a:
SIX Payment Services, PCI Compliance, Hardturm­
strasse 201, Casella postale, 8021 Zurigo
Se i nostri specialisti dovessero rilevare una falla nella
sicurezza vi contatteranno.
13
14
Payment Services
Lista di controllo PCI per alberghi
Nome dell’albergo:
Indirizzo:
Interlocutore:
Partner ID:
Consulente della clientela:
Sì
No
L’albergo dispone della certificazione di conformità PCI DSS oppure ha avviato il processo di certificazione?
Data prevista per la conformità:
Processi «PCI sensitive»
Esiste la possibilità di eseguire registrazioni «Late Charge»?
Esiste la possibilità di eseguire registrazioni «No Show»?
Se avete risposto «sì» ad una di queste domande, rispondete alle domande supplementari riportate al punto «Domande dettagliate».
Piattaforme di prenotazione
Intrattenete una collaborazione con una piattaforma di prenotazione alberghiera e/o il vostro albergo gestisce una propria
piattaforma di prenotazione?
Se avete risposto «sì» a questa domanda , indicate le piattaforme di prenotazione che utilizzate al punto «Domande dettagliate».
Prenotazioni per corrispondenza, fax, telefono o e-mail
Accettate prenotazioni per corrispondenza, fax o telefono?
Accettate prenotazioni per e-mail?
Se avete risposto «sì» ad una di queste domande, rispondete alle domande supplementari riportate al punto «Domande dettagliate».
Infrastruttura – opzionale
Effettuate registrazioni che permettono di determinare l’identità dei collaboratori esterni nonché i periodi e/o i luoghi esatti
di soggiorno?
Conservate i documenti cartacei con i dati delle carte in un locale chiuso a chiave oppure in cassaforte e sono contrassegnati
con la dicitura «confidenziale»?
Le ricevute dei pagamenti e delle prenotazioni per gli ospiti riportano unicamente dati delle carte mascherati?
Quando non sono più necessari, i documenti cartacei che riportano i dati delle carte vengono distrutti mediante un tritacarta?
L’apparecchio fax con cui si ricevono le prenotazioni con i dati delle carte è ubicato in un ambiente protetto?
(Ambiente protetto: accesso riservato alle persone autorizzate oppure l’apparecchio fax è sorvegliato 7 giorni su 7 e 24 ore su 24, ad esempio, dagli addetti alla ricezione).
Collaboratori – opzionale
Tutti i collaboratori che vengono a contatto con i dati delle carte hanno firmato una convenzione sulla protezione dei dati?
Tutti i collaboratori che hanno accesso ai dati delle carte per necessità professionale sono stati sensibilizzati in merito alla protezione
dei dati delle carte?
Ai locali con i dati delle carte hanno accesso esclusivamente i collaboratori che ne hanno assoluta necessità nell’ambito della
loro funzione professionale?
(Locali con i dati delle carte: ufficio con apparecchio fax e computer collegato al sistema PMS e/o POS, nonché l’archivio delle ricevute dei pagamenti con carte di credito).
15
Lista di controllo per alberghi – Domande dettagliate
Processi «PCI sensitive»
Domande supplementari sulle registrazioni «Express Check-Out», «Late Charge» e «No Show»
Sì
No
Sì
No
I dati delle carte necessari per le registrazioni «Express Check-Out», «Late Charge» o «No Show», vengono memorizzati
temporaneamente in forma elettronica fino all’esecuzione della registrazione?
In caso affermativo:
I dati delle carte vengono memorizzati temporaneamente in forma elettronica in un’applicazione certificata PCI?
Oppure:
I dati delle carte necessari per le registrazioni «Express Check-Out», «Late Charge» o «No Show», vengono annotati temporaneamente
su un supporto cartaceo fino all’esecuzione della registrazione?
In caso affermativo:
I dati delle carte su supporto cartaceo vengono custoditi in un locale protetto?
(Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave).
Piattaforme di prenotazione
Esiste una collaborazione con le seguenti piattaforme di prenotazione:
Booking.com
Expedia.de
Persona di contatto:
Persona di contatto:
HRS.com
Swisshotels.ch
Persona di contatto:
Persona di contatto:
Nome:
Nome:
Persona di contatto:
Persona di contatto:
Dalle piattaforme di prenotazione vengono trasmesse e-mail che contengono i dati delle carte dei clienti?
In caso affermativo:
Queste e-mail vengono trasmesse in forma crittografata?
Queste e-mail vengono cancellate quando non sono più necessarie (e il cestino viene svuotato)?
L’albergo dispone di una propria piattaforma di prenotazione su Internet?
Il software utilizzato è conforme agli standard PCI?
Produttore:
Interlocutore:
Software:
Numero di telefono:
Prenotazioni per corrispondenza, fax, telefono o e-mail
Per le prenotazioni via fax e telefono, il rischio finanziario per importi registrati mediante l’utilizzo fraudolento di carte o dati di carte è a carico del partner
contrattuale/albergatore.
In caso di prenotazioni ricevute per corrispondenza, fax o telefono, i dati delle carte vengono annotati su supporto cartaceo?
In caso affermativo:
I dati delle carte su supporto cartaceo vengono custoditi in un locale protetto?
(Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave).
In caso di prenotazioni ricevute per fax o telefono, i dati delle carte vengono registrati in forma elettronica?
In caso affermativo:
I dati delle carte vengono salvati nella memoria intermedia di un’applicazione certificata secondo gli standard PCI? (P. es. Modulo di alias)
Per le ordinazioni tramite posta elettronica non è consentito indicare il numero e/o i dati integrali della carta. Le seguenti domande si pongono qualora ricevete inaspettatamente
messaggi e-mail riportanti i dati integrali della carta:
I messaggi di posta elettronica contenenti i dati della carta vengono stampati e quindi eliminati – (ed il cestino viene svuotato)?
Una volta stampati, i messaggi di posta elettronica vengono archiviati in un locale protetto?
(Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave).
Luogo e data
Nome e Cognome
Firma del partner contrattuale
Referente personale: www.six-payment-services.com/contatto
SIX Payment Services SA
Hardturmstrasse 201
8005 Zurigo
Svizzera
16
SIX Payment Services (Europe) S.A.
10, rue Gabriel Lippmann
5365 Munsbach
Lussemburgo
Payment Services
Autorizzazione della carta di credito (campione)
Di seguito troverete un modulo campione per richiedere ai vostri clienti l’autorizzazione a prenotare senza la
presenza fisica della carta di credito (Express Check-out, Late Charges, servizi supplementari):
Nome del vostro hotel / Logo del vostro hotel:
Questo modulo deve essere custodito in un ambiente sicuro.
Kreditkarten-Autorisierung /Autorizzazione carta di credito
Karteninhaber / Intestatario della carta
di credito
Zimmer / Camera
Z ahlung / Pagamento
oder / o
Garantie / Garanzia
Kartentyp / Tipo carta
Visa
MasterCard
American Express
Diners
JCB
UnionPay
Verfallsdatum / Data di scadenza
Nummer / Numero
Für folgende Services / Per i seguenti servizi
Zimmer und Taxen / Camera e tasse
Express Check-Out
Frühstück / Prima colazione
Übrige Gebühren / A ltri diritti
Für folgende Gäste / Per i seguenti ospiti
Name / Nome
Zimmer / Camera
Name / Nome
Zimmer / Camera
Name / Nome
Zimmer / Camera
Hiermit bestätige ich, dass nebst meiner Zimmerrechnung auch die auf diesem Formular markierten Zusatzkosten sowie die Zimmerrechnung für die anderen aufgeführten Gäste
gemäss den allgemein gültigen Geschäftsbedingungen unseres Hauses zu Lasten meiner oben erwähnten Kreditkarte abgebucht werden dürfen.
Con la presente confermo che, oltre al prezzo della stanza, possono essere addebitati sulla mia carta di credito indicata sopra anche i costi supplementari indicati su questo
modulo e le fatture delle camere degli altri ospiti indicati, ai sensi delle Condizioni generali di transazione.
Ort, Datum / Luogo, data
Vorname, Name / Nome, Cognome
Unterschrift / Firma
Referente personale: www.six-payment-services.com/contatto
SIX Payment Services SA
Hardturmstrasse 201
8005 Zurigo
Svizzera
SIX Payment Services (Europe) S.A.
10, rue Gabriel Lippmann
5365 Munsbach
Lussemburgo
17
18
Accordo per la protezione dei dati (campione)
In calce è riportato un esempio non vincolante di
un possibile accordo per la protezione dei dati. Per
avere una versione giuridicamente corretta vi preghiamo di rivolgervi ad un legale di vostra scelta.
La/Il sottoscritta/o, in base agli obblighi di riservatezza previsti contrattualmente e per legge, è tenuta /o
a non rivelare fatti/informazioni di cui sia venuta/o
a conoscenza o che siano stati comunicati nell’esercizio della sua attività presso l’Hotel XY, che non
­fossero di pubblico dominio, per i quali sussiste un
interesse alla riservatezza e la confidenzialità dei quali,
espressamente o tacitamente, rientri nella volontà
dell’Hotel XY.
– In particolare devono essere protetti tutti i dati
personali dei clienti, inclusi i dati relativi alle carte
di credito e di debito.
La violazione dell’obbligo di riservatezza può costituire, singolarmente o in forma cumulativa, una violazione del segreto d’affari o della legge di tutela dei dati
personali. La relativa disposizione di legge è riportata
in allegato a questa dichiarazione di riservatezza.
La/il sottoscritta/o è tenuta/o a considerare assolutamente confidenziali i fatti/le informazioni rilevanti dal
punto di vista della riservatezza di cui sia venuta/o a
conoscenza e a non utilizzarli per scopi diversi da
quelli legati al compito affidatogli.
– Rientra nel segreto commerciale ogni informazione relativa all’oggetto, al contenuto e al funzionamento di mezzi e dispositivi tecnici o basati
su software dell’Hotel XY e relativa all’organizzazione e allo svolgimento di ogni tipo di attività
dell’Hotel XY.
Luogo e data
Nome
Firma
Allegato
Art. 162 Violazione del segreto di fabbrica o commerciale.
Chiunque rivela un segreto di fabbrica o commerciale,
che aveva per legge o per contratto l’obbligo di custo-
dire, chiunque trae profitto per sé o per altri da questa
rivelazione, è punito, a querela di parte, con una pena
detentiva sino a tre anni o con una pena pecuniaria.
19
110.0116.04 CHE_IT/09.2013
Referente personale: www.six-payment-services.com/contatto
SIX Payment Services SA
Hardturmstrasse 201
8005 Zurigo
Svizzera
Feedback, suggerimenti e proposte relativi alla brochure possono
essere inviati a:
www.six-payment-services.com
[email protected]
PCI Compliance
T 058 399 9955