• Los auditores autorizados QSAs de A2Secure han validado la renovación de la certificación de Dingus como PCI Compliance Service Provider Level 1. Hasta octubre de 2022, fecha de la próxima revisión, mantenemos la garantía de cumplimiento del estándar de seguridad de la industria de las tarjetas de pago en los hoteles con los que trabajamos, como acredita la AoC emitida por los evaluadores.

El valor más importante que aporta Dingus en comparación con otras propuestas del mercado, es el de asegurar el cumplimiento de la norma durante todo el proceso de vida de las reservas. Un planteamiento que garantiza a nuestros clientes, sin género de dudas, que ellos cumplen PCI-DSS. Esta normativa de seguridad internacional fue desarrollada por las principales marcas de pagos como son Visa, Mastercard y American Express, con el objetivo de mejorar la seguridad en todo el entorno relacionado con las tarjetas. Y todo esto, el compromiso de Dingus y la finalidad del estándar de la industria de las tarjetas de pago, se mantiene intacto, tal vez incluso reforzado, con la renovación de la condición de PCI Compliance Service Provider Level 1.

La auditoría para mantener la certificación ha sido realizada por los expertos de A2Secure, quienes ya en la primera tramitación argumentaban que “el Channel Manager, al ser un concentrador de muchos canales de reserva, tiene circulando por él un tanto por ciento muy elevado de las tarjetas que debe gestionar un hotel. Así, el Channel Manager tiene la capacidad de interceptar estar tarjetas, guardarlas en delegación por el hotel, y evitar que estas entren en los sistemas del propio establecimiento simplificando una parte del cumplimiento del PCI-DSS al hotel. Finalmente -explican los auditores QSAs autorizados- a través de integraciones con PMS y pasarelas de pago es posible cerrar los procesos de cobro, evitando tanto que la tarjeta llegue al hotel, como que esta sea visible para su personal”.

La garantía de cumplimiento de Dingus se llama Book&Payment

La descrita anteriormente fue la estrategia elegida por Dingus (Hitt Group) para afrontar el cumplimiento del estándar: Book&Payment recoge las tarjetas de las reservas y, antes de que estas pasen al hotel, son tokenizadas. Lo que entrega son tokens y, en ningún caso, datos de tarjetas bancarias. Es el propio gestor de cobros de Dingus el que se encarga de custodiar las tarjetas de los clientes acorde a PCI-DSS. A través de él pueden procesarse pagos por vía directa con diversas pasarelas, sin que los sistemas de los hoteles o su personal manejen los datos. De esta manera se ayuda a simplificar uno de los canales de entrada de las tarjetas en los hoteles y, por lo tanto, se garantiza el cumplimiento de la norma.

En Dingus creemos que existen muchas y buenas soluciones para asegurar que la empresa proveedora de la solución cumple PCI, pero se olvida que “en sí mismo, PCI es un proceso que no puede romperse en ningún momento, algo por lo que velamos las empresas certificadas. Nuestras soluciones tecnológicas y el conocimiento en estos años mediante reuniones para el análisis, también, con plataformas de cobro, bancos y otros actores intermediarios, nos permite asegurar que en nuestro caso ese procedimiento no se trunca en ningún momento, y que cualquier stakeholder que se conecte a nosotros cumplirá PCI”, explica el CEO de la compañía, Jaume Monserrat. Y para asegura esta finalidad, Dingus desarrolló un entorno propio donde las reservas de los clientes siguen estando bajo el SLA que tienen firmados con nosotros.

Además, recuperando lo que nos contó en su día Albert Morell, cofundador de A2Secure y auditor QSA PCI-DSS, “es bastante fácil entender que no es lo mismo una única base de datos con tarjetas bancarias cifradas en todo el flujo, que el hecho de que el Channel Manager tenga su base de datos, el PMS la suya y la pasarela de pago también: son tres localizaciones distintas donde un hacker puede ir a buscar la misma información, multiplicando también por tres la posibilidad de cometer algún error y acabar exponiendo esta información sensible”.

Attestation of Compliance for Onsite Assessments – Service Providers

La certificación de cumplimiento de la PCI (AoC, siglas de Attestation of Compliance for Onsite Assessments) es la acreditación con la que un evaluador de seguridad cualificado (QSA) declara el estado de cumplimiento de la PCI DSS de una organización. Es la prueba documentada de que mantenemos las mejores prácticas de seguridad para proteger los datos de los titulares de las tarjetas.

 

Cristina Torres. Comunicación corporativa y relaciones con los medios

cristina.torres@hittgroup.es