Pagamenti sicuri tramite carta nel settore alberghiero
Transcript
Pagamenti sicuri tramite carta nel settore alberghiero
Payment Services Pagamenti sicuri tramite carta nel settore alberghiero Una guida SIX Payment Services Indice Premessa 3 Garanzia di prenotazione alberghiera mediante carta di credito 4 Prenotazione alberghiera mediante anticipo con carta di credito (Hotel Advance Deposit) 6 Express Check-out 8 Addebiti a posteriori (Late Charges) 9 Protezione efficace dei dati con lo standard di sicurezza PCI DSS 10 Strumenti ausiliari 12 Lista di controllo PCI per alberghi 15 Autorizzazione della carta di credito (campione) 17 Accordo per la protezione dei dati (campione) 19 2 Premessa Gentile cliente, sono sempre di più le persone che apprezzano la flessibilità e la libertà legate ai pagamenti con carte di credito o di debito. Cresce anche il numero delle aziende come la sua che, accettando le carte di pagamento, vedono aumentare il proprio fatturato. Per far sì che la soddisfazione rimanga tale è necessario osservare alcune norme di sicurezza. Il successo dei pagamenti senza contanti infatti ha destato anche l’interesse dei truffatori, soprattutto nel settore alberghiero. Negli ultimi anni alcuni hotel svizzeri hanno subito il furto dei dati delle carte di credito. I rischi si nascondono spesso in luoghi inaspettati. Come azienda leader nel settore «acquiring» e «processing», SIX Payment Services si sente in dovere di fornire tutto il supporto possibile in materia di sicurezza dei dati delle carte di credito. La presente guida è appunto figlia di questo impegno. Le indicazioni e i consigli contenuti nel manuale consentono di effettuare transazioni con carta di credito semplici ed efficienti: dalla prenotazione alla registrazione fino al check-out. Una parte della guida è dedicata alla protezione dei dati e al cosiddetto «Payment Card Industry Data Security Standard» (in breve PCI DSS) definito dalle organizzazioni leader delle carte di credito – in particolare Visa e MasterCard – per il trattamento dei dati sensibili. Il PCI DSS è riconosciuto a livello internazionale ed è rivolto a coloro che trasmettono, elaborano o salvano i dati delle carte di credito. La invitiamo a prendere conoscenza di queste istruzioni e a farsi un’idea di ciò che può essere implementato o ottimizzato anche nel suo albergo. In questo modo anche il pagamento sarà una componente importante per la soddisfazione dei suoi ospiti, i quali conserveranno un ricordo indelebile delle loro vacanze. Qualche domanda in merito agli argomenti affrontati in questo manuale? Il Team PCI di SIX Payment Services è a sua disposizione: sarà sufficiente inviare un’e-mail a [email protected]. Le auguriamo il massimo successo per la sua attività! Il Team PCI di SIX Payment Services 3 Garanzia di prenotazione alberghiera mediante carta di credito Come procedere I titolari di una carta di credito Visa, MasterCard, Diners Club, Discover, UnionPay o JCB hanno la possibilità di utilizzare la propria carta per garantire la prima notte in albergo. In qualità di hotel e/o agenzia eventualmente coinvolta nelle prenotazioni, la preghiamo di osservare alcuni punti importanti riportati nel presente promemoria. Si assicuri che l’agente di prenotazione le trasmetta senza indugio tutte le informazioni inerenti la prenotazione o l’annullamento. Procedura di prenotazione 1. Richiedete al cliente le seguenti informazioni al momento della prenotazione: 1 Numero e data di scadenza della carta di credito 2 Cognome e nome del titolare della carta (deve coincidere con quello dell’ospite), indirizzo, numeri di telefono e fax nonché e-mail del titolare della carta 2. Informate l’ospite in merito alle condizioni da voi applicate. Inviategli una conferma della preno tazione per posta, fax o e-mail comprendente le seguenti indicazioni: – Prezzo per pernottamento relativo alla categoria di camera richiesta e importo totale (IVA incl.) – Indirizzo esatto dell’albergo –N umero di prenotazione – Informazioni sulle condizioni di annullamento e addebito: Il costo di un pernottamento e le relative tasse alberghiere vengono addebitati al titolare della carta in mancanza di annullamento entro le 18.00 ora locale del giorno di arrivo previsto. Direttive PCI DSS Rispettate le direttive dello standard di sicurezza PCI DSS elaborato dalle organizzazioni leader nel settore delle carte di credito. Spiegazioni in merito sono riportate a pagina 10 di questa guida. 1 1 2 4 Condizioni di annullamento In linea di massima, siete tenuti ad accettare tutti gli annullamenti pervenuti entro le 18.00 ora locale del giorno di arrivo previsto. Avete inoltre l’obbligo di comunicare al titolare della carta il numero di annullamento della sua prenotazione. Come procedere il giorno dell’arrivo Al momento del check-in, richiedete al cliente la carta di credito e riservate tramite il vostro terminale l’importo dovuto per la data prevista di fine soggiorno. Effettuate sempre una lettura della carta al terminale. Digitate manualmente il numero della carta solo se il chip e la banda magnetica risultano entrambi illeggibili e la carta non viene pertanto riconosciuta dal terminale. In questo caso, realizzate sempre anche una copia della carta mediante l’Imprinter (stampante manuale) e autorizzate la transazione. Se questo termine di annullamento è per voi insufficiente, potete anticiparlo fino a un massimo di 72 ore prima dell’arrivo previsto. In questo caso siete esplicitamente tenuti a comunicare all’ospite per iscritto questa condizione particolare. Indicate chiaramente la data e l’ora di scadenza dell’annullamento nella conferma della prenotazione. Alloggio sostitutivo È vostro obbligo mettere a disposizione del cliente l’alloggio regolarmente prenotato. Nel caso ciò non fosse possibile, siete tenuti a organizzare un alloggio della medesima categoria e nella medesima località. Il cliente ha inoltre diritto al trasferimento verso l’alloggio sostitutivo e a una telefonata di tre minuti. Da parte vostra siete obligate a inoltrare gratuitamente tutti i messaggi e le chiamate diretti al cliente verso il nuovo alloggio. Se il cliente non si presenta e non provvede all’annulla mento della prenotazione nei tempi prestabiliti, p otete emettere uno scontrino di vendita per l’addebito di una notte a carico del titolare della carta. Al posto della firma del titolare della carta, riportate a mano l’indicazione «No show». Nel caso il cliente contesti di aver effettuato autonomamente la prenotazione, non avete alcun diritto al bonifico. 5404 4310 0000 0000 CHF CHF Extras Tips Authorization CHF Number Betrag Montant Importo Betrag Amount Montant Importo Extras Amount Tips CHF Extras Tips Ich anerkenne den TOTAL-Betrag und verpflichte mich, den TOTAL-Betrag gemäss den Kartenbedingungen zu zahlen. Die Kartenorganisation ist ermächtigt, den TOTAL-Betrag bei ordnungsgemässer Vorlage zu zahlen. TOTAL Je reconnais le montant TOTAL et m’engage à payer le montant TOTAL conformément aux conditions régissant l’utilisa- CHF tion de la carte. L’organisation de la carte est autorisée à régler le montant total sur simple présentation. Ich anerkenne TOTAL-Betrag und verpflichte denaiTOTAL-Betrag gemäss den Riconosco l’importo TOTALEden e mi impegno a pagare l’importomich, TOTALE sensi delle condizioni dellaKartenbedingungen carta. L’organizza- zu zahlen. Kartenorganisation den TOTAL-Betrag beidebita ordnungsgemässer zione addettaDie alle carte è autorizzataista ermächtigt, pagare il TOTALE dell’importo su presentazione.Vorlage zu zahlen. TOTAL Je the reconnais montant TOTAL et m’engage à payer le montant TOTAL conformément auxtoconditions régissant l’utilisa- zu zahlen. I acknowledge TOTAL amount and hereby commit myself to paying the TOTAL according the card condiIch leanerkenne den TOTAL-Betrag und verpflichte mich, den amount TOTAL-Betrag gemäss den Kartenbedingungen CHF DD tionorganization de la carte. L’organisation la est autorisée àupon réglerproper le montant total sur simple présentation. tions. The card is authorized todepay the TOTAL amount presentation. Die Kartenorganisation istcarte ermächtigt, den TOTAL-Betrag bei ordnungsgemässer Vorlage zu zahlen. TOTAL RiconoscoJe l’importo TOTALE e mi impegno pagare l’importo ai sensi delle condizioni della L’organizzaDatum reconnais le montant TOTAL etam’engage à payerTOTALE le montant TOTAL conformément aux carta. conditions régissant l’utilisa- CHF zione addetta alle carte è autorizzata a pagare il TOTALE dell’importo su debita presentazione. tion de la carte. L’organisation de la carte est autorisée à régler le montant total sur simple présentation. Date I acknowledge the TOTAL amount and hereby commit myself to paying the TOTAL amount according to the card condiRiconosco l’importo TOTALE e mi impegno a pagare l’importo TOTALE ai sensi delle condizioni della carta. Data L’organizzations. The zione card organization authorized to payathe TOTAL amountdell’importo upon propersupresentation. addetta alle is carte è autorizzata pagare il TOTALE debita presentazione. I acknowledge the TOTAL amount and hereby commit myself to paying the TOTAL amount according to the cardDatum condiDate tions. The card organization is authorized to pay the TOTAL amount upon proper presentation. x CHFx x CHF CHF Unterschrift / Signature / Firma Unterschrift / Signature / Firma Unterschrift / Signature / Firma Data CTS Authorization Number Datum Date Data . CHF . . . . . . . . CTS CTS CHF MM DD YY MM CTS KOPIE / COPIE / COPIA / COPY SIX Payment Services Betrag Montant Importo Amount CHF Authorization Number YY KOPIE KARTENINHABER / COPIE TITULAIRE / CARDHOLDER’S COPY 999 001 001 VERTRAGSPARTNER AG 0000 ORTSCHAFT 27 ORIGINAL 01-10 JACQUES MÜLLER 1234567 SIX Payment Services AG CH-8005 Zürich SIX Payment Services AG CH-8005 Zürich SIX Payment Services AG CH-8005 Zürich 5 Prenotazione alberghiera mediante anticipo con carta di credito (Hotel Advance Deposit) Se il vostro albergo richiede il versamento di un acconto per garantire la prenotazione, questo può essere effettuato utilizzando la carta di credito del cliente. Questo foglio informativo vi illustra in che modo 1 elaborare correttamente gli acconti versati con carta di credito, 2 stornare correttamente gli acconti, 3 gestire in modo corretto le prenotazioni in eccesso. È importante seguire con precisione le seguenti istruzioni. Così facendo è infatti possibile evitare discussioni con i clienti o addirittura riaccrediti e storni. 1 Elaborare correttamente gli acconti versati con carta di credito Durante il colloquio di prenotazione con il cliente … Richiedete le seguenti informazioni: – cognome e nome del titolare della carta (come riportati sulla carta stessa) – Indirizzo di fatturazione – numero della carta di credito e data di scadenza – numero di telefono, indirizzo postale e indirizzo e-mail – data di arrivo e durata del soggiorno Fornite al cliente le seguenti informazioni: – prezzo della camera (incl. diritti e tasse) – importo dell’acconto che addebiterete sulla sua carta di credito (non deve superare il costo di 14 pernottamenti) – nome, indirizzo e numero telefonico dell’albergo – codice di prenotazione 1, chiedendo al cliente di conservarlo per eventuali ulteriori informazioni – che l’acconto verrà detratto dall’importo finale e – che la camera verrà tenuta libera solo per il periodo coperto dall’acconto versato Informate il cliente sulle condizioni imposte dall’albergo per lo storno, soprattutto in merito a: – l’ultima data utile per richiedere un annullamento senza applicazione di costi – il fatto che dopo la scadenza del termine d’annullamento, o in caso di non osservanza delle condizioni imposte per lo storno, l’acconto verrà trattenuto integralmente o in parte. 1 2 Assegnato dall’albergo La designazione della funzione può variare a seconda del modello di terminale. Per eventuali domande, contattate il produttore del vostro terminale. 6 Dopo aver parlato con il cliente ... Registrate l’anticipo con il vostro terminale – Dato che non disponete della carta ma solo del numero di carta del cliente, utilizzate la funzione «Registrazione manuale dei dati della carta» 2. – In sostituzione della firma, indicate a mano la dicitura «Advance Deposit» nell’area riservata alla firma. Acconto sicuro nel settore E-Commerce SIX Payment Services raccomanda le soluzioni Secure PayGate o Secure E-Commerce per la gestione delle caparre. Per utilizzare Secure PayGate procedere in questo modo: 1. Aprire Secure PayGate sul PC. 2. Richiamare una delle offerte standard disponibili oppure preparare una nuova offerta personalizzata. 3. Inviare l’offerta via e-mail con altre informazioni a scelta in allegato (es. le condizioni di annullamento). 4. Il cliente verifica l’offerta. 5. Se è d’accordo, il cliente clicca sul link protetto contenuto nella mail e automaticamente effettua il login alla finestra di pagamento Saferpay. 6. Il cliente inserisce il numero di carta, il codice di controllo (CVV2, CVC2, CID), il nome e la data di scadenza e conclude l’acquisto. 7. Il proprietario della carta riceve immediatamente via e-mail una conferma di acquisto. 8. Contemporaneamente anche voi riceverete una conferma del pagamento via e-mail. 9. Il pagamento viene depositato automaticamente nel vostro Backoffice-Journal, dove potete controllarlo e gestirlo. Effettuando il pagamento tramite Secure E-Commerce il cliente accede al vostro sito e segue il normale procedimento di selezione e pagamento. Ricordare quanto segue: effettuare una transazione mediante acquisizione manuale dei dati della carta di credito comporta rischi che ricadono nella vostra responsabilità di partner contrattuale. Soprattutto nel caso in cui, in un secondo momento, dovesse risultare che i dati della carta di credito sono stati usati senza l’autorizzazione del proprietario della carta. In questi casi il rischio relativo al recupero dell’importo della transazione, nei confronti del proprietario della carta, è interamente a vostro carico. Utilizzando il sistema Secure PayGate questi rischi possono essere decisamente ridotti. Direttive PCI DSS Conservate i dati delle carte in forma fisica, evitando di salvarli su un sistema informatico. Se intendete memorizzare elettronicamente i dati delle carte, richiedete una certificazione PCI DSS. Consultate a questo proposito le nostre «Indicazioni sull’osservanza delle disposizioni di sicurezza PCI DSS per i partner contrattuali». Conservate i dati registrati manualmente (numero e data di scadenza della carta) in un luogo sicuro e accessibile solo a una ristretta cerchia di persone. Al termine del soggiorno del cliente, tali dati devono obbligatoriamente essere distrutti. I codici di sicurezza delle carte (CVV2, CVC2, CID, CAV2) non devono mai essere memorizzati. Informate il cliente per iscritto in merito all’acconto Siete tenuti a far pervenire al cliente, entro tre giorni lavorativi, una conferma scritta dell’avvenuto versamento dell’acconto nonché una copia della ricevuta di prenotazione. La conferma di versamento dell’acconto inviata dall’albergo 3 deve contenere le seguenti informazioni: – denominazione dell’albergo – nome e cognome, indirizzo di fatturazione e numero telefonico del titolare della carta – data di arrivo prevista – importo dell’acconto – data della transazione – codice di prenotazione relativo all’acconto – ultima data utile per l’annullamento (storno) – condizioni per l’annullamento, come concordate con il cliente – informazioni sui diritti e doveri in caso di acconto versato mediante carta di credito Dovete richiedere al titolare della carta di riconfermare per iscritto la prenotazione (per fax, lettera o e-mail). In tale comunicazione, il titolare della carta deve espressamente confermare di aver letto, compreso ed accettato le condizioni per l’annullamento (storno). Vi consigliamo di inviare al titolare della carta una lettera di conferma precompilata da firmare. 2 Stornare correttamente gli acconti Durante il colloquio con il titolare della carta – Comunicategli il suo codice di storno 4. – Informatelo che il codice deve essere conservato per eventuali richieste d’informazioni future. Dopo il colloquio – Corredate la conferma di versamento dell’acconto con la dicitura «cancelled» e il codice di storno. – Calcolate l’importo da rimborsare. – Effettuate un accredito sulla carta utilizzando il vostro terminale. – Inviate al cliente per posta / fax o e-mail, entro tre giorni lavorativi, una copia di entrambe le ricevute (ricevuta di prenotazione Advance Deposit e ricevuta dell’avvenuto storno), unitamente a un testo nel quale spiegate che è stato effettuato un riaccredito a suo favore. I riaccrediti devono essere effettuati esclusivamente sulla medesima carta di credito sulla quale l’importo era stato originariamente addebitato. Non effettuate versamenti su altre carte di credito o di debito, né bonifici bancari. 3 Gestire in modo corretto le prenotazioni in eccesso In linea generale, il cliente ha diritto di ricevere la camera prenotata o una camera della medesima categoria. Nel caso in cui l’alloggio prenotato non sia disponibile all’arrivo del cliente, siete tenuti ad assicurargli come minimo le seguenti prestazioni sostitutive: – alloggio in un altro albergo di categoria equivalente o più alta, fino al momento in cui la camera riservata non si liberi – trasporto fino all’albergo sostitutivo e ritorno (anche giornalmente, se richiesto dal cliente) – trasferimento di tutti i messaggi e delle chiamate all’albergo sostitutivo – due telefonate gratuite di tre minuti – L’anticipo versato dovrà essere rimborsato integralmente al cliente 5. La conferma di versamento dell’acconto deve essere compilata dal vostro albergo. 4 Il codice di storno deve essere assegnato dal vostro albergo. 5 Procedere come indicato al punto 2: Come stornare correttamente l’anticipo. 3 7 Express Check-out Per venire incontro alle esigenze di quei clienti che al momento di effettuare il check-out hanno particolarmente fretta, potete offrire loro il ser vizio «Express Check-out». Con questo servizio non è necessario che al momento della partenza l’ospite sia presente alla reception con la sua carta di credito. – se l’importo della fattura finale è superiore del 15 percento al totale degli importi precedentemente autorizzati, è necessario richiedere un’autorizzazione relativa alla differenza tra i due importi – se precedentemente non è stata richiesta alcuna autorizzazione, deve essere autorizzato l’intero importo. Il servizio «Express Check-out» prevede la seguente procedura. – Per poter assicurare un «Express Check-out» il più possibile sicuro, è necessario soddisfare una serie di requisiti già al momento del check-in. All’arrivo del cliente, chiedetegli la carta di credito e, mediante una richiesta di autorizzazione, riservate l’importo dovuto alla data di fine soggiorno prevista. A questo scopo è importante che la carta di credito dotata di chip o banda magnetica venga letta dal terminale. NON inserite manualmente i dati della carta tramite il tastierino del dispositivo poiché, in caso di contestazione, non potrebbe essere dimostrata la presenza della carta al terminale. È inoltre consigliabile al momento del check-in chiedere al cliente di sottoscrivere un accordo (in base al nostro modulo «Autorizzazione carta di credito») con il quale il cliente vi autorizza già all’arrivo ad addebitare sulla sua carta di credito diverse spese supplementari. – Preparate la fattura finale a carico del cliente, comprensiva di ristorante, telefono e altre spese. Confrontate l’importo della fattura con il totale di tutti gli importi stimati e precedentemente autorizzati: – se l’importo della fattura finale è inferiore al totale degli importi precedentemente autorizzati e maggiorati del 15 percento, non è necessario richiedere alcuna ulteriore autorizzazione. –Apponete la dicitura «Signature on File» nel campo della firma presente sulla ricevuta della transazione. – entro tre giorni lavorativi dalla data della procedura di «Express Check-out» inviate al titolare della carta tutte le informazioni relative alla transazione: – copia della ricevuta della transazione effettuata al terminale – fattura dettagliata con suddivisione dei costi – copia del modulo «Autorizzazione carta di credito» con l’indicazione della carta di credito sulla quale è stato effettuato l’addebito. Importante: non inviate al cliente il modulo «Autorizzazione carta di credito» via e-mail, oppure rendete illeggibile il numero di carta di credito (escluse le ultime 4 cifre) prima di procedere alla scansione (adempimento delle disposizioni di sicurezza previste dallo standard PCI DSS). – Conservate in luogo sicuro l’intera documentazione per un minimo di 3 anni, nel rispetto della legislazione locale. Il servizio «Express Check-out» nasconde un latente rischio finanziario: nel caso in cui si rivelasse a posteriori che la carta è stata impiegata in modo fraudolento o da persona diversa dal legittimo titolare, quest’ultimo può richiedere il rimborso dell’importo illegittimamente addebitato. Per questo motivo, vi consigliamo di offrire la procedura di «Express Check-out» solo ai clienti a voi già noti. Per i nuovi clienti è consigliabile limitarsi alla procedura di check-out normale o effettuare quest’ultima la sera prima della partenza. 8 Addebiti a posteriori (Late Charges) Se dopo che il cliente ha effettuato il check-out constatate che alcune spese non sono state inserite nella fattura finale (ad esempio servizio in camera, telefono o minibar), potete addebitare tali spese a posteriori sulla carta di credito del cliente. Per fare ciò è necessario aver preventivamente illustrato al cliente, già al momento del check-in, le Condizioni generali di contratto relative ai costi supplementari. Per questo motivo vi consigliamo di far sottoscrivere all’ospite al momento del suo arrivo un apposito accordo (attenendovi al nostro modulo «Autorizzazione carta di credito»). Se disponete di questa autorizzazione da parte del cliente all’addebito dei costi supplementari, inviategli una ricevuta della transazione relativa ai costi constatati successivamente al check-out – corredata della dicitura «Signature on File» nel campo della firma. –Digitate il numero di carta di credito indicato nell’accordo tramite il tastierino del terminale e addebitate i costi supplementari accertati. – Se il tentativo di addebito fallisce (autorizzazione negata), contattate il titolare della carta di credito e invitatelo a fornire un diverso mezzo di pagamento. – Se l’addebito avviene con successo, apponete nel campo della firma presente sulla ricevuta del terminale la dicitura «Signature on File», conservate la ricevuta e allegatela alla documentazione relativa all’ospite. –Inviate al titolare della carta le seguenti informazioni sui costi supplementari sostenuti: – copia della ricevuta della transazione corredata della dicitura «Signature on File» nel campo riservato alla firma – copia della documentazione relativa alla trans azione, con l’elenco dettagliato delle spese supplementari Direttive PCI DSS Rispettate le direttive dello standard di sicurezza PCI DSS elaborato dalle organizzazioni leader nel settore delle carte di credito. Spiegazioni in merito sono riportate a pagina 10 di questa guida. I costi supplementari addebitati a posteriori possono riferirsi esclusivamente alla camera, al vitto o alle bevande, e possono ammontare a un massimo del 15% del prezzo indicato in fattura. Se i costi supplementari ammontano a oltre il 15%, o se derivano da smarrimenti, furti o danni alle suppellettili, essi possono essere addebitati a posteriori solo previo accordo con il cliente dopo la sua partenza. L’autorizzazione da parte del cliente all’addebito di tali costi sulla carta deve essere fornita in forma scritta. 9 Protezione efficace dei dati con lo standard di sicurezza PCI DSS Sono sempre di più le persone che apprezzano la flessibilità e la libertà legate ai pagamenti con carte di credito o di debito. Cresce anche il numero di alberghi e ristoranti che vedono aumentare il fatturato con le carte di pagamento. Affinché la soddisfazione rimanga tale, è necessario adottare alcune misure di sicurezza. Lo standard di sicurezza PCI fornisce direttive finalizzate alla riduzione dei rischi legati alle operazioni con carta di credito. Il Payment Card Industry Data Security Standard, abbreviato in PCI DSS, è un regolamento che si applica ai pagamenti elettronici, per l’esecuzione in sicurezza delle transazioni con carta di credito. Le principali organizzazioni di carte di credito – Visa, MasterCard, JCB International, American Express e Discover Financial Services – ne richiedono obbligatoriamente l’adozione. Questo regolamento è stato stilato e viene sviluppato dal PCI SSC (Payment Card Industry Security Standards Council). Tutte le aziende che memorizzano, trasmettono o gestiscono dati di carte di credito devono soddisfare le direttive di sicurezza previste da questo regolamento. Se i requisiti non vengono soddisfatti, in ultima istanza, le organizzazioni di carte di credito possono rifiutare di accettare i pagamento con carta di credito. Il regolamento ha lo scopo di tutelarvi dalle spiacevoli conseguenze del furto dei dati delle carte di credito: perdita di dati significa infatti non solo perdita finanziaria ma anche danno d’immagine. 10 Il regolamento prevede un elenco di dodici requisiti riferiti all’infrastruttura IT, ai processi e ai dipendenti del vostro albergo: 1.Installazione e manutenzione di un firewall per la protezione dei dati delle carte di credito 2.Cambio delle password e di altre impostazioni di sicurezza dopo la consegna del sistema (ad es. sostituzione delle password di default con pass word personalizzate). 3.Protezione dei dati delle carte archiviati 4.Trasmissione cifrata dei dati delle carte di pagamento su reti pubbliche 5.Utilizzo e aggiornamento regolare dei programmi antivirus 6.Sviluppo e manutenzione di sistemi ed applicazioni sicuri 7.Limitazione degli accessi ai dati delle carte di credito in funzione delle esigenze professionali di informazione 8.Assegnazione di un User ID univoco ad ogni persona munita di accesso al pc 9.Limitazione dell’accesso fisico ai dati delle carte di credito 10.Registrazione e verifica di tutti gli accessi alle reti e ai dati delle carte di credito 11. Controlli regolari di tutti i sistemi e i processi di sicurezza 12.Introduzione e rispetto delle direttive di sicurezza delle informazioni per i dipendenti e i prestatori di servizio Il rispetto delle direttive viene verificato in base a tre diverse misure di validazione: – gli hotel che effettuano più di 6 milioni di transazioni all’anno o i partner contrattuali che hanno subito un furto di dati di carte di credito, devono effettuare un Audit On-Site. L’Audit deve essere eseguito da un Auditor addestrato, oppure da un’azienda di certificazione accreditata (QSA – Qualified Security Assessor); – gli hotel che hanno effettuato meno di 6 milioni di transazioni possono dichiarare il rispetto delle direttive compilando un questionario di autovalutazione (SAQ – Self Assessment Questionnaire). In funzione del tipo di carte di credito accettate, sono disponibili le relative versioni di questo documento SAQ; – per gli hotel dotati di infrastrutture che entrano in contatto con i dati delle carte di credito, è inoltre disponibile il cosiddetto Network-Scans. Trimestralmente e previo accordo con voi, un ASV (Approved Scanning Vendor) simula attacchi tipo hacking che hanno lo scopo di evidenziare per tempo i punti deboli della rete. 11 Strumenti ausiliari Fondamentalmente è auspicabile adottare soluzioni in cui la vostra azienda non entri assolutamente in contatto con dati di carte di credito completi e non criptati. Nel caso in cui possiate garantirlo, la spesa per la certificazione si riduce in misura notevole. I seguenti strumenti ausiliari vi aiutano a ridurre il rischio e il costo della certificazione. Software per hotel – Property Management System (PMS) Accertatevi che il vostro software di gestione dell’hotel sia certificato ai sensi del PA-DSS (Payment Application Data Security Standard) e che disponga di un modulo per il numero di riferimento (il software PMS procede a una cifratura dei dati delle carte di credito). Contattate il vostro fornitore di software e fatevi rilasciare la certificazione di conformità PA-DSS. PCI Proxy Server Internet oggi viene utilizzata in maniera intensiva come canale di vendita. Le piattaforme di prenotazione alberghiera sono uno strumento potente, ma purtroppo spesso inviano dati completi e non criptati delle carte di credito, per e-mail o tramite un’interfaccia XML. La trasmissione dei dati in chiaro aumenta notevolmente il numero delle direttive di sicurezza sul PCI DSS che devono essere rispettate. Per fare in modo che la collaborazione con le piattaforme di prenotazione non vi costringa a rinunciare a una certificazione ridotta, SIX Payment Services ha condotto diversi colloqui con Datatrans e ha creato una soluzione PCI Proxy. Essa prevede che il server proxy della ditta Datatrans si inserisca, in caso di trasmissione di informazioni relative a prenotazione con dati di carta di credito, via e-mail o interfaccia XML, tra la piattaforma di prenotazione e la vostra azienda. I dati della carta di credito vengono criptati e salvati in un ambiente sicuro di Datatrans; voi riceverete solo un numero di riferimento. Il vostro hotel non entrerà in contatto con i dati della carta di credito, avrete però la possibilità di addebitare un importo sulla carta di credito del cliente utilizzando il numero di riferimento. Per ulteriori informazioni potete rivolgervi direttamente alla Datatrans: www.datatrans.ch o [email protected] 12 Foregenix Tool Nel caso in cui non siate certi che nella vostra infrastruttura siano presenti dati di carte di credito, la ditta Foregenix vi fornisce un prezioso supporto con il tool «FScout». Questo strumento effettua una scansione completa dell’infrastruttura alla ricerca di dati di carte di credito. Se tali dati vengono rilevati, è possibile isolare o cancellare i file trovati. In questo modo potrete verificare che la vostra infrastruttura non contiene file nascosti con dati di carte di credito. Ulteriori informazioni sono disponibili sul sito di Foregenix: www.foregenix.com Portale web SAQ Secure PayGate In cooperazione con la ditta Acertigo GmbH, SIX Payment Services gestisce un portale web di SelfAssessment-Questionary (SAQ). Se ricevete prenotazioni per telefono, fax, e-mail o per posta, i vostri clienti potranno pagare i costi del soggiorno in anticipo rapidamente, comodamente e in maniera sicura su internet, senza che il vostro hotel debba entrare in contatto con i dati delle carte di credito. La soluzione si chiama Secure PayGate. Questo portale è in grado di assistervi durante l’esecuzione di tutte le operazioni previste dal PCI DSS per ottenere una certificazione PCI e per rinnovarla a intervalli regolari. Il portale offre una comoda interfaccia utente e vi conduce passo per passo attraverso tutti i processi di certificazione necessari. Nell’archivio del portale sono conservati tutti i documenti necessari al commerciante durante l’esecuzione del processo, tali documenti possono essere visualizzati online o scaricati. Ad esempio sono presenti un SAQ concluso, i risultati del Network-Scan e le conferme di certificazione. È possibile registrarsi gratuitamente al portale ed eseguire una classificazione per determinare i passi di certificazione necessari. Per domande di carattere tecnico o per approfondimenti è possibile rivolgersi direttamente al Team PCI via e-mail: [email protected] oppure telefonare al numero 0041 (0)58 399 9955. Secure PayGate unisce i vantaggi della cosiddetta transazione Mail-/Phone-Order con la sicurezza di una transazione Secure E-commerce protetta da password. Per voi ciò significa maggiore sicurezza e condizioni più favorevoli. Ulteriori informazioni su Secure PayGate sono disponibili all’indirizzo www.saferpay.com PCI Checklist per l’hotel Non siete sicuri se e in che misura il vostro hotel corra il rischio di subire un furto di dati delle carte di credito? Compilate con estrema sincerità le checklist riportate alle pagine seguenti e inviatele a: SIX Payment Services, PCI Compliance, Hardturm strasse 201, Casella postale, 8021 Zurigo Se i nostri specialisti dovessero rilevare una falla nella sicurezza vi contatteranno. 13 14 Payment Services Lista di controllo PCI per alberghi Nome dell’albergo: Indirizzo: Interlocutore: Partner ID: Consulente della clientela: Sì No L’albergo dispone della certificazione di conformità PCI DSS oppure ha avviato il processo di certificazione? Data prevista per la conformità: Processi «PCI sensitive» Esiste la possibilità di eseguire registrazioni «Late Charge»? Esiste la possibilità di eseguire registrazioni «No Show»? Se avete risposto «sì» ad una di queste domande, rispondete alle domande supplementari riportate al punto «Domande dettagliate». Piattaforme di prenotazione Intrattenete una collaborazione con una piattaforma di prenotazione alberghiera e/o il vostro albergo gestisce una propria piattaforma di prenotazione? Se avete risposto «sì» a questa domanda , indicate le piattaforme di prenotazione che utilizzate al punto «Domande dettagliate». Prenotazioni per corrispondenza, fax, telefono o e-mail Accettate prenotazioni per corrispondenza, fax o telefono? Accettate prenotazioni per e-mail? Se avete risposto «sì» ad una di queste domande, rispondete alle domande supplementari riportate al punto «Domande dettagliate». Infrastruttura – opzionale Effettuate registrazioni che permettono di determinare l’identità dei collaboratori esterni nonché i periodi e/o i luoghi esatti di soggiorno? Conservate i documenti cartacei con i dati delle carte in un locale chiuso a chiave oppure in cassaforte e sono contrassegnati con la dicitura «confidenziale»? Le ricevute dei pagamenti e delle prenotazioni per gli ospiti riportano unicamente dati delle carte mascherati? Quando non sono più necessari, i documenti cartacei che riportano i dati delle carte vengono distrutti mediante un tritacarta? L’apparecchio fax con cui si ricevono le prenotazioni con i dati delle carte è ubicato in un ambiente protetto? (Ambiente protetto: accesso riservato alle persone autorizzate oppure l’apparecchio fax è sorvegliato 7 giorni su 7 e 24 ore su 24, ad esempio, dagli addetti alla ricezione). Collaboratori – opzionale Tutti i collaboratori che vengono a contatto con i dati delle carte hanno firmato una convenzione sulla protezione dei dati? Tutti i collaboratori che hanno accesso ai dati delle carte per necessità professionale sono stati sensibilizzati in merito alla protezione dei dati delle carte? Ai locali con i dati delle carte hanno accesso esclusivamente i collaboratori che ne hanno assoluta necessità nell’ambito della loro funzione professionale? (Locali con i dati delle carte: ufficio con apparecchio fax e computer collegato al sistema PMS e/o POS, nonché l’archivio delle ricevute dei pagamenti con carte di credito). 15 Lista di controllo per alberghi – Domande dettagliate Processi «PCI sensitive» Domande supplementari sulle registrazioni «Express Check-Out», «Late Charge» e «No Show» Sì No Sì No I dati delle carte necessari per le registrazioni «Express Check-Out», «Late Charge» o «No Show», vengono memorizzati temporaneamente in forma elettronica fino all’esecuzione della registrazione? In caso affermativo: I dati delle carte vengono memorizzati temporaneamente in forma elettronica in un’applicazione certificata PCI? Oppure: I dati delle carte necessari per le registrazioni «Express Check-Out», «Late Charge» o «No Show», vengono annotati temporaneamente su un supporto cartaceo fino all’esecuzione della registrazione? In caso affermativo: I dati delle carte su supporto cartaceo vengono custoditi in un locale protetto? (Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave). Piattaforme di prenotazione Esiste una collaborazione con le seguenti piattaforme di prenotazione: Booking.com Expedia.de Persona di contatto: Persona di contatto: HRS.com Swisshotels.ch Persona di contatto: Persona di contatto: Nome: Nome: Persona di contatto: Persona di contatto: Dalle piattaforme di prenotazione vengono trasmesse e-mail che contengono i dati delle carte dei clienti? In caso affermativo: Queste e-mail vengono trasmesse in forma crittografata? Queste e-mail vengono cancellate quando non sono più necessarie (e il cestino viene svuotato)? L’albergo dispone di una propria piattaforma di prenotazione su Internet? Il software utilizzato è conforme agli standard PCI? Produttore: Interlocutore: Software: Numero di telefono: Prenotazioni per corrispondenza, fax, telefono o e-mail Per le prenotazioni via fax e telefono, il rischio finanziario per importi registrati mediante l’utilizzo fraudolento di carte o dati di carte è a carico del partner contrattuale/albergatore. In caso di prenotazioni ricevute per corrispondenza, fax o telefono, i dati delle carte vengono annotati su supporto cartaceo? In caso affermativo: I dati delle carte su supporto cartaceo vengono custoditi in un locale protetto? (Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave). In caso di prenotazioni ricevute per fax o telefono, i dati delle carte vengono registrati in forma elettronica? In caso affermativo: I dati delle carte vengono salvati nella memoria intermedia di un’applicazione certificata secondo gli standard PCI? (P. es. Modulo di alias) Per le ordinazioni tramite posta elettronica non è consentito indicare il numero e/o i dati integrali della carta. Le seguenti domande si pongono qualora ricevete inaspettatamente messaggi e-mail riportanti i dati integrali della carta: I messaggi di posta elettronica contenenti i dati della carta vengono stampati e quindi eliminati – (ed il cestino viene svuotato)? Una volta stampati, i messaggi di posta elettronica vengono archiviati in un locale protetto? (Locale protetto: possono accedervi solo le persone autorizzate e dispone di armadi che possono essere chiusi a chiave). Luogo e data Nome e Cognome Firma del partner contrattuale Referente personale: www.six-payment-services.com/contatto SIX Payment Services SA Hardturmstrasse 201 8005 Zurigo Svizzera 16 SIX Payment Services (Europe) S.A. 10, rue Gabriel Lippmann 5365 Munsbach Lussemburgo Payment Services Autorizzazione della carta di credito (campione) Di seguito troverete un modulo campione per richiedere ai vostri clienti l’autorizzazione a prenotare senza la presenza fisica della carta di credito (Express Check-out, Late Charges, servizi supplementari): Nome del vostro hotel / Logo del vostro hotel: Questo modulo deve essere custodito in un ambiente sicuro. Kreditkarten-Autorisierung /Autorizzazione carta di credito Karteninhaber / Intestatario della carta di credito Zimmer / Camera Z ahlung / Pagamento oder / o Garantie / Garanzia Kartentyp / Tipo carta Visa MasterCard American Express Diners JCB UnionPay Verfallsdatum / Data di scadenza Nummer / Numero Für folgende Services / Per i seguenti servizi Zimmer und Taxen / Camera e tasse Express Check-Out Frühstück / Prima colazione Übrige Gebühren / A ltri diritti Für folgende Gäste / Per i seguenti ospiti Name / Nome Zimmer / Camera Name / Nome Zimmer / Camera Name / Nome Zimmer / Camera Hiermit bestätige ich, dass nebst meiner Zimmerrechnung auch die auf diesem Formular markierten Zusatzkosten sowie die Zimmerrechnung für die anderen aufgeführten Gäste gemäss den allgemein gültigen Geschäftsbedingungen unseres Hauses zu Lasten meiner oben erwähnten Kreditkarte abgebucht werden dürfen. Con la presente confermo che, oltre al prezzo della stanza, possono essere addebitati sulla mia carta di credito indicata sopra anche i costi supplementari indicati su questo modulo e le fatture delle camere degli altri ospiti indicati, ai sensi delle Condizioni generali di transazione. Ort, Datum / Luogo, data Vorname, Name / Nome, Cognome Unterschrift / Firma Referente personale: www.six-payment-services.com/contatto SIX Payment Services SA Hardturmstrasse 201 8005 Zurigo Svizzera SIX Payment Services (Europe) S.A. 10, rue Gabriel Lippmann 5365 Munsbach Lussemburgo 17 18 Accordo per la protezione dei dati (campione) In calce è riportato un esempio non vincolante di un possibile accordo per la protezione dei dati. Per avere una versione giuridicamente corretta vi preghiamo di rivolgervi ad un legale di vostra scelta. La/Il sottoscritta/o, in base agli obblighi di riservatezza previsti contrattualmente e per legge, è tenuta /o a non rivelare fatti/informazioni di cui sia venuta/o a conoscenza o che siano stati comunicati nell’esercizio della sua attività presso l’Hotel XY, che non fossero di pubblico dominio, per i quali sussiste un interesse alla riservatezza e la confidenzialità dei quali, espressamente o tacitamente, rientri nella volontà dell’Hotel XY. – In particolare devono essere protetti tutti i dati personali dei clienti, inclusi i dati relativi alle carte di credito e di debito. La violazione dell’obbligo di riservatezza può costituire, singolarmente o in forma cumulativa, una violazione del segreto d’affari o della legge di tutela dei dati personali. La relativa disposizione di legge è riportata in allegato a questa dichiarazione di riservatezza. La/il sottoscritta/o è tenuta/o a considerare assolutamente confidenziali i fatti/le informazioni rilevanti dal punto di vista della riservatezza di cui sia venuta/o a conoscenza e a non utilizzarli per scopi diversi da quelli legati al compito affidatogli. – Rientra nel segreto commerciale ogni informazione relativa all’oggetto, al contenuto e al funzionamento di mezzi e dispositivi tecnici o basati su software dell’Hotel XY e relativa all’organizzazione e allo svolgimento di ogni tipo di attività dell’Hotel XY. Luogo e data Nome Firma Allegato Art. 162 Violazione del segreto di fabbrica o commerciale. Chiunque rivela un segreto di fabbrica o commerciale, che aveva per legge o per contratto l’obbligo di custo- dire, chiunque trae profitto per sé o per altri da questa rivelazione, è punito, a querela di parte, con una pena detentiva sino a tre anni o con una pena pecuniaria. 19 110.0116.04 CHE_IT/09.2013 Referente personale: www.six-payment-services.com/contatto SIX Payment Services SA Hardturmstrasse 201 8005 Zurigo Svizzera Feedback, suggerimenti e proposte relativi alla brochure possono essere inviati a: www.six-payment-services.com [email protected] PCI Compliance T 058 399 9955