Hôteliers : comment être conforme à la norme PCI grâce à la tokenisation

Pour fonctionner, les hôtels ont besoin des données personnelles et de données de paiements de leurs clients. Malheureusement, le volume et la nature des données des clients traitées font de ce secteur une cible privilégiée pour la cybercriminalité. Ainsi, l'hôtellerie est le troisième secteur le plus ciblé par les cyberattaquants.

La norme PCI DSS vise à protéger les données des porteurs de cartes. Elle se compose de 12 exigences visant à collecter, traiter, stocker et transmettre les données de manière sécurisée. Étant donné que les principaux réseaux de cartes adoptent la norme PCI DSS, toute entreprise acceptant les paiements par carte de crédit doit se conformer à ces exigences.

Les entreprises du secteur hôtelier ne font pas exception. Et si les hôtels s'efforcent activement de réduire leur champ d'application PCI et de réduire les risques en matière de sécurité, la conformité demeure un travail de longue haleine.  

Plusieurs facteurs viennent expliquer cette complexité. Pour commencer, la chaîne de valeur de l'hôtel est fragmentée. Les hôtels travaillent avec plusieurs partenaires pour offrir des services à leurs clients. Cela inclut les agences de voyage en ligne (OTA), les entreprises physiques telles que les restaurants et les spas, et les systèmes de gestion des biens (Property Management System ou PMS). Le partage des détails de paiement des clients entre ces parties expose les données à des problèmes de sécurité et à des erreurs, et ce à chaque étape du parcours client.

La norme PCI DSS est également très technique et ses exigences sont fréquemment mises à jour. Comme tous les hôtels n'ont pas les ressources technologiques ou les compétences nécessaires pour mettre en œuvre les changements nécessaires, la conformité PCI peut vite devenir un processus coûteux et chronophage.

Et si nous vous disions qu'il existe un moyen plus efficace de protéger les données de vos clients tout en améliorant vos opérations ? Méthode de sécurité approuvée par la norme PCI, la tokenisation peut aider votre entreprise hôtelière à protéger les données de vos clients.

Qu'est-ce que la tokenisation ?

La tokenisation remplace les informations sensibles ou confidentielles par des informations non sensibles. Les informations personnellement identifiables et les données des cartes de paiement sont stockées sous forme de jetons, des « tokens »,  contenant des données non sensibles.

Pensez aux jetons de poker. Ce sont des substituts sûrs de l'argent, permettant à un casino d'éviter de remplir la table d'argent liquide qui pourrait être perdu ou volé. Seuls, les jetons ne peuvent pas être utilisés comme de l'argent, même s'ils sont volés. Ils doivent d'abord être échangés contre de l'argent avant de pouvoir être dépensés.

Il en va de même pour les jetons de paiement, même si le processus est plus technique. La tokenisation remplace, ou "tokenise", les informations confidentielles et les données de paiement de vos clients par une chaîne de chiffres aléatoires, mais uniques.

Vous stockez et partagez ces chaînes de chiffres appelées tokens, et non les données sensibles elles-mêmes. Ces tokens ont des valeurs non contextualisées, ce qui signifie qu'ils n'indiquent pas quelles sont les données sous-jacentes. Cela garantit l'anonymat des informations, assure la confidentialité et la sécurité.

Quels sont les impacts de la tokenisation pour vos clients ?

L'automatisation et l'anonymisation des données sensibles permettent de créer de meilleurs parcours clients et de faciliter le travail pour votre personnel.

Reprenons depuis le début. Vous pouvez collecter les détails relatifs aux cartes de vos clients de plusieurs manières. Vous pouvez le faire en ligne, via le moteur de réservation sur votre site web ou via une agence de voyage. Vous pouvez également le faire à la réception de l’établissement.

Vous enregistrez ensuite les données dans votre PMS. Au lieu de stocker les informations de la carte telles quelles, vous les remplacez par des tokens générés que vous utilisez pour toutes les transactions ultérieures.

Et à partir de là, vous travaillez avec des tokens. Vous pouvez utiliser des tokens avec le PMS, où vous pouvez les partager entre différents départements et systèmes, ainsi qu'avec des services tiers et sur place. Cela facilite la tâche de votre personnel pour initier en toute sécurité les paiements des clients, où qu'ils aillent.

Vous pouvez également connecter les tokens à n'importe quel appareil doté d'une balise de communication en champ proche (Near-Field Communication ou NFC), comme des objets portables, des clés de chambre et des cartes d'accès, permettant aux clients de les utiliser à la place de leurs cartes de paiement.

Ainsi, vous créez un token une seule fois, au début du parcours client, et l'utilisez tout au long de leur séjour, de la réservation jusqu’au au départ, dans le système de votre choix.

La tokenisation rend l'expérience de paiement plus rapide et sans friction, tout en maintenant la conformité PCI DSS. Les clients n'ont pas à payer avec leurs cartes à chaque point de vente de l'hôtel et peuvent se concentrer sur leur plaisir.

Et il y a de fortes chances que cela plaise à vos clients ! Selon une étude approfondie que nous avons réalisée, 38 % des clients au Royaume-Uni étaient favorables à l'utilisation de tokens de paiement dans les hôtels pour effectuer des achats tout en préservant la sécurité de leur portefeuille.

Types de tokenisation pour votre hôtel

Votre hôtel peut utiliser un ou plusieurs types de tokenisation, tels que la tokenisation de paiement, la tokenisation de proxy et la tokenisation réseau. Les deux premiers sont les plus populaires dans le secteur hôtelier.

• La tokenisation de paiement signifie qu'un prestataire de services de paiement, tel qu'Adyen, effectue la tokenisation au nom de votre hôtel. Nous stockons et tokenisons le numéro de compte principal de votre client (Primary Account Number ou PAN), et vous pouvez utiliser les tokens générés pour offrir des services plus fluides à vos clients.

• La tokenisation de proxy est plus spécifique au PMS (Property Management System). Nous tokenisons les détails de paiement présents dans une réservation avant qu'ils n'atteignent le PMS. Cela réduit la portée PCI pour le PMS.

• La tokenisation réseau est effectuée par les réseaux de cartes, et non par les prestataires de paiement. Ici, un réseau de cartes (comme Mastercard, Visa ou American Express) émet le token pour la carte de votre client. Étant donné que les réseaux gèrent le processus de tokenisation de bout en bout, les tokens réseau sont toujours à jour, même si les détails de la carte expirent. Ainsi, si votre client oublie de mettre à jour ses informations de paiement avec son nouveau PAN, il peut quand même effectuer le paiement grâce aux tokens réseau.

Il existe d'autres méthodes de sécurité conformes à la norme PCI couramment utilisées dans le secteur de l'hôtellerie. Cependant, celles-ci ne présentent pas certains des avantages clés offerts par la tokenisation.

Sécurité des données et conformité PCI

Avec la tokenisation, vous ne stockez pas les informations de la carte de paiement sous leur forme d'origine, mais sous forme de tokens. Cela permet un stockage et une gestion sécurisés des données. Cela rend également la conformité PCI DSS plus facile, plus abordable et plus durable.

Agilité opérationnelle

La tokenisation vous offre également des avantages supplémentaires pour vos opérations. Vous réduisez la quantité de travail manuel pour votre personnel. Vous pouvez automatiser les processus de travail et utiliser des tokens au lieu de saisir manuellement les détails de la carte sur les terminaux de paiement ou de les noter sur papier. A la clé : réduction du risque d'erreurs et de violations de données.

Personnalisation et gestion des données

Vous pouvez également utiliser les données en partageant les tokens de manière sécurisée. En tant qu'identifiants uniques, les tokens vous permettent d'analyser les données des clients et d'obtenir des informations sur l'historique de leurs transactions, sans compromettre la sécurité et la confidentialité. Ils vous aident à offrir à vos clients des parcours sans heurts et sans interruption, et à personnaliser leurs expériences dans votre hôtel.

Image de marque

Pour votre marketing, la tokenisation peut renforcer la réputation de votre entreprise et la confiance des clients, grâce au haut niveau de sécurité offert. Enfin, pour votre entreprise, la tokenisation peut contribuer à augmenter la fidélisation client.

L'ère numérique actuelle comporte sa part de menaces pour les données du secteur de l'hôtellerie. A cela s’ajoutent également des attentes croissantes de la part des clients pour des expériences cinq étoiles, sécurisées et faciles.

En tant qu'entreprises tournées vers le client, les hôtels se doivent d'être au sommet de leur art.

La tokenisation vous permet de mettre en place des systèmes de sécurité flexibles et conformes à la norme PCI DSS. Elle prend en compte vos clients, vos principaux partenaires et votre modèle commercial, améliorant ainsi les parcours de chacun.

Vous souhaitez en savoir plus ? Contactez-nous !