Le traitement sécurisé des paiements par carte dans l hôtellerie

Payment Services Le traitement sécurisé des paiements par carte dans l hôtellerie Un guide de SIX Payment Services

Sommaire Avant-propos 3 Garantie de réservation d hôtel par carte de crédit 4 Réservation d hôtel moyennant acompte par carte de crédit (Hotel Advance Deposit) 6 Express check-out 8 Débits a posteriori (late charges) 9 Protéger efficacement les données de cartes grâce à la norme de sécurité PCI DSS 10 Des moyens efficaces 12 Liste de contrôle PCI pour les hôtels 15 Cartes de crédit: prise en charge/autorisation (spécimen) 17 Charte de protection des données (spécimen) 19 2

Avant-propos Chère cliente, cher client, De plus en plus de personnes apprécient la flexibilité et l autonomie offertes par les cartes de crédit et de débit. Et toujours plus de commerçants se réjouissent de la hausse de leurs revenus générés avec ces cartes. Afin que rien ne vienne troubler cette sérénité, vous et vos clients devez observer certaines règles de sécurité. En effet, le succès des paiements sans numéraire attise malheureusement aussi la convoitise des escrocs notamment dans l hôtellerie. Au cours de ces dernières années, des hôtels ont été victimes de vols de données de cartes en Suisse. Les fraudeurs sévissent souvent dans des endroits inattendus. Entreprise leader dans le domaine de l «acquiring» et du «processing», SIX Payment Services considère qu il est de son devoir de vous aider à combattre efficacement la fraude. Ce guide a été réalisé dans ce but. Les informations et les conseils qu il contient sont le gage de transactions sans failles et conviviales, et cela, de l enregistrement de la réservation jusqu au check-out. Nous consacrons un chapitre à la protection des données ainsi qu à la norme «Payment Card Industry Data Security Standard» (abrégée PCI DSS). Edictée par les principales organisations de cartes, en particulier Visa et MasterCard, cette norme donne les mesures à prendre avec les données sensibles. De portée internationale, PCI DSS s adresse à tous les partenaires concernés par la transmission, le traitement et/ou le stockage de données de cartes. Accordez donc à ce guide toute l attention qu il mérite: il vous permettra d avoir une vision claire des mesures à prendre ou des améliorations à apporter dans votre établissement. En effet, vous mettez tout en œuvre pour satisfaire vos clients. Rien ne doit venir ternir cette bonne impression, même après leur départ! Si vous souhaitez des compléments d information, n hésitez pas à contacter l équipe PCI de SIX Payment Services. Il suffit d envoyer un e-mail à hotelbestpractice@six-group.com. Nous vous souhaitons beaucoup de succès dans vos affaires! L équipe PCI de SIX Payment Services à votre service 3

Garantie de réservation d hôtel par carte de crédit Comment procéder Les titulaires d une carte de crédit Visa, MasterCard, Diners Club, Discover, UnionPay ou JCB peuvent faire garantir la première nuit d hôtel en utilisant leur carte. En tant qu hôtel et/ou agent de réservation éventuellement impliqué, vous êtes prié de respecter certains points importants énoncés dans cet aide-mémoire. Veillez à ce que l agent de réservation vous transmette immédiatement toutes les informations concernant la réservation/l annulation. Voici comment fonctionne une réservation 1. Lors de la réservation, demandez les informations suivantes à votre client: 1 Numéro de carte de crédit et date d échéance 2 Nom et prénom du titulaire de la carte (doivent être identiques à ceux du client), adresse, numéro de téléphone/de fax et e-mail du titulaire de la carte 2. Communiquez vos conditions au client. Le mieux est de lui envoyer une confirmation par courrier postal, fax ou e-mail, avec les indications suivantes: Prix par nuit pour la catégorie de chambre souhaitée et total de la facture (TVA incluse) Adresse exacte de l hôtel Numéro de réservation Informations sur les conditions d annulation et de débit: Si le titulaire de la carte n annule pas la réservation avant 18 h, heure locale, le jour d arrivée prévu, une nuit lui sera débitée, taxes en sus. Directives PCI DSS Respectez les directives de la norme de sécurité PCI DSS, édictée par les principales organisations de cartes. Vous trouverez des explications à ce sujet à la page 10. 1 2 1 4

Voici les conditions d annulation Vous avez normalement l obligation d accepter toutes les annulations qui vous parviennent jusqu à 18 h, heure locale, le jour d arrivée prévu. Vous devez également communiquer le numéro d annulation au titulaire de la carte. Si ce délai d annulation ne vous suffit pas, vous pouvez le rallonger à maximum 72 heures avant l arrivée prévue du client. Dans ce cas, vous devez informer votre client, par écrit, de ce délai d annulation particulier. Mentionnez clairement la date et l heure précises de ce délai, dans le courrier de confirmation. Si le client ne se présente pas et qu il n a pas annulé sa réservation, vous pouvez établir un justificatif pour la somme à débiter au titulaire de la carte pour une nuit. A l endroit prévu pour la signature du titulaire de la carte, inscrivez «No show». Si celui-ci objecte qu il n a pas réservé la chambre lui-même, vous ne pouvez prétendre à aucune bonification. Comment procéder le jour de l arrivée Demandez la carte de crédit à votre client au moment de l enregistrement et réservez via votre terminal le montant escompté, dû à la fin du séjour. Passez impérativement la carte dans le terminal. Ne saisissez manuellement le numéro de la carte que si la puce et la bande magnétique sont illisibles et ne permettent pas le terminal de lire la carte automatiquement. Dans ce cas, prenez impérativement une empreinte de la carte par imprimante manuelle (sabot), puis autorisez la transaction. Hébergement de remplacement Vous avez l obligation de mettre à la disposition de votre client l hébergement qu il a réservé dans les règles. Si vous êtes dans l impossibilité de le faire, vous devez lui procurer un hébergement équivalent dans le même endroit. En outre, le client a droit au transfert jusqu à l hébergement de remplacement et à un appel téléphonique de trois minutes. Vous êtes également tenu de lui transférer gratuitement sur son lieu d hébergement tous les messages et les appels qui lui sont destinés. 5404 4310 0000 0000 1234567 CHF CHF Ichanerkenne den TOTAL-Betrag undverpflichte mich, den TOTAL-Betrag gemäss den Kartenbedingungen zu zahlen. 01-10 JACQUES MÜLLER Authorization Number CHF CTS Betrag Montant Authorization Number Importo Amount. Betrag Extras Montant CHF CTS Tips Importo Betrag Amount Montant.. Importo Extras Amount. Tips Ich anerkenne den TOTAL-Betrag und verpflichte mich, dentotal-betraggemässden Kartenbedingungenzu zahlen. CHF Extras CTS Die Kartenorganisation ist ermächtigt, dentotal-betragbei ordnungsgemässervorlagezuzahlen.. TOTAL Je reconnais le montant TOTALetm engageàpayerlemontant TOTALconformément auxconditions régissant l utilisation de la carte. L organisation de la carteest autoriséeàréglerle montant totalsur simple présentation.. Tips CHF Riconosco l importo Ich anerkenne TOTALEden emiimpegno TOTAL-Betrag apagare und verpflichte l importototaleai mich, dentotal-betrag sensi delle condizionidella gemässden Kartenbedingungenzuzahlen. carta. L organizzazione. addetta Die alle Kartenorganisationist carteèautorizzataapagareiltotaledell importosudebita ermächtigt, den TOTAL-Betrag beiordnungsgemässer presentazione. Vorlage zu zahlen. TOTAL Iacknowledge Je the reconnais TOTALleamount montant and TOTALetm engage hereby commit myself àpayerlemontant to paying the TOTAL amount conformément accordingto aux conditionsrégissant the card conditions. Thecardorganization tiondela carte. CHF CTS l utilisa- CHF Die Kartenorganisationist L organisation authorizedtopay de la carteest thetotal ermächtigt,den autoriséeàrégler amount TOTAL-Betrag upon properpresentation. le montant beiordnungsgemässer totalsur simple présentation. Vorlage zu zahlen. DD MM YY Riconosco TOTAL Je l importo reconnaisle TOTALEemi montant impegno TOTAL et apagare m engageàpayerlemontant l importo TOTALE ai sensi TOTAL delle conformémentaux condizioni dellacarta.l organizzazioneaddetta CHF conditionsrégissant Datum l utilisation. alle de la carteèautorizzata carte.l organisation apagareiltotaledell importo de la carte estautorisée àréglerle su debita montant presentazione. total sursimpleprésentation. Date Iacknowledge Riconoscol importo the TOTAL amountand TOTALE hereby emiimpegno commit apagare myself to l importototale paying the TOTAL ai amount sensidelle accordingto condizionidella the card carta. Data conditions. The cardorganizationisauthorized to paythe TOTAL amountuponproperpresentation. L organizzazione. addetta allecarte èautorizzataapagareiltotale dell importosu debita presentazione. Iacknowledge thetotal amount and herebycommitmyselftopaying thetotal amount according to thecardconditions.the Datum card organizationisauthorizedtopay thetotal amountuponproper presentation. Date DD MM YY Data 999 001 001 VERTRAGSPARTNER AG 0000 ORTSCHAFT x Unterschrift /Signature /Firma CHFx x CHF CHF Unterschrift /Signature /Firma Unterschrift /Signature /Firma Authorization Number Datum Date Data 27 SIX Payment Services AG CH-8005 Zürich ORIGINAL KOPIE /COPIE /COPIA /COPY SIX Payment Services CHF KOPIE KARTENINHABER / COPIE TITULAIRE /CARDHOLDER SCOPY SIX Payment Services AG CH-8005 Zürich SIX Payment Services AG CH-8005 Zürich 5

Réservation d hôtel moyennant acompte par carte de crédit (Hotel Advance Deposit) Si votre hôtel exige un acompte pour une réservation garantie, vous pouvez recourir à la carte de crédit du client. Cet aide-mémoire vous explique comment: 1 traiter correctement les acomptes par carte de crédit, 2 recréditer correctement les acomptes, 3 gérer correctement les surréservations (overbooking). Afin d éviter les demandes de clients, voire les retrofacturations (chargebacks), il est important que vous suiviez scrupuleusement les instructions ciaprès. 1 Traiter correctement les acomptes par carte de crédit Lors de l entretien avec le client concernant la réservation Demandez au client les renseignements suivants: Nom et prénom (comme indiqués sur la carte). Adresse de facturation. Numéro de carte de crédit, date d échéance. Numéro de téléphone, adresse postale et email. Date d arrivée et durée du séjour. Communiquez au client les informations suivantes: Prix de la chambre (y c. les frais, taxes ou impôts). Montant de l acompte qui sera débité de sa carte de crédit (ne peut pas dépasser le prix pour 14 nuitées). Nom, adresse et numéro de téléphone de l hôtel. Code de réservation 1, en précisant qu il doit être conservé pour d éventuelles questions. Remarque précisant que l acompte sera déduit de la facture finale. Remarque précisant que la chambre sera gardée à sa disposition durant la période couverte par l acompte. Signalez au client les conditions d annulation de votre hôtel, et notamment: Le dernier délai possible pour une annulation gratuite. Le fait que l acompte est entièrement ou en partie exigible après expiration du délai d annulation si les conditions d annulation n ont pas été respectées. 1 Le code est attribué par l hôtel. 2 La désignation de la fonction varie suivant le modèle du terminal. Pour toute question, veuillez contacter le fabricant de votre terminal. Après entretien avec le client... Comptabilisez l acompte sur votre terminal Comme vous disposez du numéro de carte et non de la carte, utilisez la fonction «saisie manuelle des données de carte» 2. En lieu et place de la signature, écrivez à la main la mention «Advance Deposit» dans le cadre réservé à la signature. Traitez le versement d arrhes en toute sécurité dans l e-commerce SIX Payment Services vous recommande d utiliser la solution Secure PayGate ou Secure E-Commerce pour traiter les arrhes de vos clients. Voici comment procéder avec Secure PayGate: 1. Ouvrez Secure PayGate sur votre PC 2. Appelez une offre standard préenregistrée ou saisissez une nouvelle offre individuelle 3. Envoyez votre offre par e-mail, en y joignant d autres informations à votre convenance (par exemple les conditions d annulation) 4. Le client vérifie l offre 5. En cas d acceptation, en cliquant sur le lien crypté figurant dans l e-mail, il est automatiquement dirigé vers une fenêtre de paiement Saferpay 6. Le client saisit le numéro et le chiffre de contrôle de la carte (CVV2, CVC2, CID), son nom et la date d échéance de la carte, puis termine l opération 7. Le titulaire de carte reçoit aussitôt une confir mation 8. Vous recevez simultanément une confirmation du paiement par e-mail 9. Le paiement est automatiquement consigné dans votre journal backoffice à des fins de contrôle et administratives Avec la solution Secure E-Commerce, votre client se connecte à votre site Web, puis suit la procédure normale de sélection et de paiement. Nous attirons votre attention sur un point important: lors de la transaction, la saisie manuelle des données de carte comporte des risques que vous devez supporter en tant que partenaire affilié. Notamment s il s avérait ultérieurement que les données de carte ont été utilisées abusivement, sans l accord du titulaire de la carte. Le cas échéant, vous assumez l entière responsabilité quant au recouvrement de la créance découlant de la 6

transaction auprès du titulaire de la carte. L utilisation de Secure PayGate réduit considérablement ces risques. Directives PCI DSS Conservez les données de carte sous forme matérielle et renoncez à les stocker dans un système informatique. Si vous souhaitez stocker électroniquement des données de carte, vous devez être certifié PCI DSS. Référez-vous à nos «Directives pour la certification de sécurité PCI DSS des partenaires affiliés». Conservez les données de carte enregistrées (numéro et date d échéance de la carte) dans un endroit sûr, dont l accès est réservé à un nombre limité de personnes. Après le départ du client, ces données doivent impérativement être détruites. Il est interdit d enregistrer les chiffres de contrôle de la carte (CVV2, CVC2, CID, CAV2). Informez le client par écrit au sujet de l acompte Vous avez l obligation de faire parvenir au client dans les trois jours ouvrables une confirmation écrite de la réception de l acompte ainsi qu une copie du justifi catif comptable. La confirmation d acompte de votre hôtel 3 doit contenir les indications suivantes: Nom de l hôtel. Nom, adresse de facturation et numéro de téléphone du titulaire de la carte. Date d arrivée prévue. Montant de l acompte. Date de la transaction. Code de comptabilisation de l acompte. Dernier délai pour une éventuelle annulation. Conditions d annulation convenues avec le client. Renseignements sur les droits et obligations liés aux acomptes par carte de crédit. Vous devez exiger du titulaire de carte de vous confirmer sa réservation par écrit (par fax, lettre ou e-mail). Le titulaire de carte doit confirmer expressément qu il a lu et compris les conditions d annulation, et qu il les accepte. Nous vous conseillons de soumettre à la signature du titulaire de carte une lettre de confirmation prérédigée. 2 Recréditer correctement les acomptes Lors de l entretien avec le titulaire de carte Communiquez au titulaire de carte son code d annulation 4. Attirez son attention sur la nécessité de conser ver ce code et de le fournir pour d éventuelles questions. Après l entretien Apposez sur la confirmation d acompte la mention «cancelled» et le code d annulation. Calculez le montant à rembourser. Etablissez un crédit de carte sur votre terminal de paiement par carte de crédit. Envoyez au client, dans les trois jours ouvrables, une copie des deux documents (justificatif de comptabilisation Advance Deposit et justificatif d annulation de l acompte) par lettre, fax ou e-mail, avec une note expliquant qu un crédit a été effectué. Le montant du remboursement ne peut être crédité que sur la carte de crédit initialement débitée. Aucune autre carte de crédit ou de débit ne peut être utilisée et les bonifications bancaires ne sont pas admises. 3 Gérer correctement les surréservations En principe, le client a droit à la chambre ou à la catégorie de chambre qu il a réservée. Si la chambre réservée par le client n est pas disponible à son arrivée, vous avez l obligation de lui fournir au moins les prestations de compensation suivantes: Hébergement dans un autre hôtel jusqu à ce que la chambre réservée se libère. Le standard de qualité doit au minimum être équivalent à celui de la chambre réservée. Transfert vers et depuis l autre hôtel (quotidiennement si le client le souhaite). Transmission vers l autre hôtel de tous les messages et appels entrants destinés au client. Deux appels téléphoniques gratuits de trois minutes chacun. Recréditer au client le montant total de son acompte 5. 3 La confirmation d acompte doit être rédigée par votre hôtel. 4 Le code d annulation doit être attribué par votre hôtel. 5 Voir procédure décrite sous le point 2: Recréditer correctement les acomptes. 7

Express check-out Pour répondre le mieux possible aux attentes des clients particulièrement pressés au moment du départ, vous pouvez leur proposer la prestation «express check-out». Avec ce type de check-out, il n est pas nécessaire que le client soit présent à la réception avec sa carte de crédit au moment de partir. Pour l «express check-out», procédez de la façon suivante: Pour sécuriser le plus possible une procédure «express check-out», le mieux est de commencer dès l enregistrement. Au moment du check-in, demandez à votre client sa carte de crédit et réservez par le biais d une autorisation le montant qui sera vraisemblablement dû à la fin du séjour. Il est important que vous entriez les données de carte à partir d une puce électronique ou d une bande magnétique dans le terminal pour réserver ce montant. N entrez PAS les données de carte manuellement au moyen du clavier car en cas de réclamation, la présence de la carte ne pourrait pas être prouvée. En outre, nous recommandons, lors du check-in, la signature d une convention appropriée (en référence à notre formulaire «Autorisation carte de crédit») par laquelle le client vous donne, dès l enregistrement, l autorisation de débiter sa carte de crédit pour divers frais supplémentaires. Etablissez la facture finale pour le client en y incluant les factures de restaurant, de téléphone et d autres frais éventuels. Comparez le montant de la facture finale avec le montant total estimé de tous les montants autorisés: Si le montant du décompte final est moins élevé que la somme de tous les montants autorisés auparavant plus 15%, aucune autorisation supplémentaire n est nécessaire. Si le montant du décompte final est supérieur à 15% au-dessus du montant total de tous les montants autorisés auparavant, une autorisation pour la différence est impérativement nécessaire. Si aucune autorisation n a été demandée préalablement, le montant total doit être autorisé. Notez sur le justificatif de transaction dans le champ de signature «Signature on File». Envoyez au titulaire de carte dans les trois jours ouvrables suivant l «express check-out» l ensemble des informations relatives à la transaction: Copie du justificatif de terminal/transaction Facture d hôtel détaillée avec clé de répartition des frais Copie du formulaire «Autorisation carte de crédit» sur lequel est mentionnée la carte de crédit débitée. Veillez à ne pas envoyer le formulaire «Autorisation carte de crédit» au client par e-mail ou à bien rendre illisible le numéro de la carte jusqu aux 4 derniers chiffres avant le scannage (respect des consignes de sécurité selon PCI DSS). Conservez tous ces documents sous clé pendant au moins 3 ans en fonction de la législation en vigueur. L «express check-out» recèle un risque financier latent. S il s avérait par la suite que la carte a été utilisée de façon abusive ou n a pas été utilisée par le titulaire lui-même, ce dernier peut exiger le remboursement du montant injustement prélevé. Aussi, nous vous recommandons de ne proposer la procédure «express check-out» qu aux clients que vous connaissez. Pour les nouveaux clients, il est conseillé de s en tenir à la procédure normale de check-out ou de l effectuer dès la veille du départ. 8

Débits a posteriori (late charges) Après le check-out du client, vérifiez les éventuels frais supplémentaires qui n ont pas été pris en compte dans le décompte final (par exemple service de chambre, téléphone ou minibar). Ainsi, vous pourrez débiter a posteriori la carte de crédit de ces coûts en sus. Cela implique que vous expliquiez au client dès l enregistrement les Conditions générales relatives aux coûts supplémentaires. C est pourquoi nous vous recommandons de faire signer par le client dès le check-in une convention appropriée (en référence à notre formulaire «Autorisation carte de crédit»). Si le client vous a, de cette façon, donné son accord pour le débit des frais supplémentaires, remettez un justificatif de transaction pour les frais calculés a posteriori avec la mention «Signature on File» dans le champ de signature. Entrez au moyen du clavier du terminal le numéro de carte de crédit indiqué dans la convention et prélevez les coûts supplémentaires identifiés. Si la tentative de prélèvement échoue (autorisation refusée), prenez contact avec le titulaire de la carte et demandez-lui d utiliser un autre moyen de paiement. Si le prélèvement aboutit, notez sur la ligne de signature du justificatif de terminal «Signature on File», conservez-le et ajoutez-le aux documents du client. Envoyez au titulaire de la carte les informations relatives aux frais supplémentaires: Copie du justificatif de transaction avec mention «Signature on File» dans le champ de signature Copie des documents relatifs à la transaction avec ventilation détaillée des frais supplémentaires Directives PCI DSS Respectez les directives de la norme de sécurité PCI DSS, édictée par les principales organisations de cartes. Vous trouverez des explications à ce sujet à la page 10. Les frais supplémentaires débités a posteriori doivent se rapporter uniquement à la chambre, à la nourriture et aux boissons. Ce débit a posteriori ne peut entraîner qu une augmentation maximale de 15% de la facture d hôtel. Si les frais supplémentaires sont supérieurs à 15% ou si des frais sont dus suite à une perte, un vol ou des détériorations dans la chambre d hôtel, ceux-ci ne pourront être débités a posteriori que si vous avez contacté le client après son départ et que vous vous soyez mis d accord avec lui. L autorisation de débiter la carte de ces frais doit être accordée par écrit. 9

Protéger efficacement les données de cartes grâce à la norme de sécurité PCI DSS De plus en plus de personnes apprécient la flexibilité et l autonomie offertes par les cartes de crédit et de débit. Et toujours plus d hôtels et de restaurants se réjouissent de la hausse de leurs revenus générés avec ces cartes. Afin que rien ne vienne troubler cette sérénité, certaines mesures de sécurité sont impératives. La norme de sécurité PCI vise justement à réduire les risques inhérents au secteur des cartes. La norme «Payment Card Industry Data Security Standard» (abrégée PCI DSS) est un ensemble de règles applicables au domaine des paiements électroniques. Leur objectif est de garantir la sécurité des transactions. Les principales organisations de cartes Visa, MasterCard, JCB International, American Express et Discover Financial Services exigent le strict respect de ces règles. Ces dernières sont publiées et actualisées par le PCI SSC (Payment Card Industry Security Standards Council). Toutes les entreprises qui stockent, transmettent et/ ou traitent des données de cartes sont tenues de se conformer à ces règles. En cas de non-respect des directives, en derniers recours, les organisations de cartes peuvent refuser d accepter les transactions concernées. Ces règles visent à vous préserver des fâcheuses conséquences du vol des données de cartes; outre des répercussions financières, ces actes délictueux portent également atteinte à la réputation des entreprises. Ces règles comportent une liste de douze points à observer, se référant à l infrastructure informatique, aux processus et aux collaborateurs de votre établissement: 1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte 2. Ne pas utiliser les paramètres de sécurité et les mots de passe définis par défaut par le fournisseur (les remplacer par des mots de passe personnels) 3. Protéger les données des titulaires de carte stockées 4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts 5. Utiliser des antivirus et les mettre à jour régulièrement 6. Développer et gérer des applications et des systèmes sécurisés 7. Restreindre l accès aux données des titulaires de carte aux seuls individus qui doivent les connaître 8. Affecter un code d identification (ID) unique à chaque utilisateur d ordinateur 9. Restreindre l accès physique aux données des titulaires de carte 10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte 11. Tester régulièrement les processus et les systèmes de sécurité 12. Communiquer aux collaborateurs ainsi qu aux sous-traitants des directives relatives à la sécurité des informations. 10

Le respect des directives est contrôlé et validé par trois mesures: Les hôtels totalisant plus de 6 millions de transactions par an ou les partenaires affiliés ayant été victimes d un vol de données de cartes réalisent un audit sur site (On-Site Audit). Cet audit doit être effectué par un réviseur qualifié ou par une entreprise de certification accréditée (QSA Qualified Security Assessor). Les hôtels totalisant moins de 6 millions de transactions par an peuvent déclarer leur conformité au moyen d un questionnaire d autoévaluation (SAQ Self Assessment Questionnaire). Ce document SAQ est disponible dans plusieurs versions, en fonction des modalités d acceptation des cartes. En outre, les hôtels qui ont accès à des données de cartes par l entremise de leur infrastructure sont astreints à des «Network Scans». D entente avec eux, une entreprise de certification accréditée (ASV Approved Scanning Vendor) effectue chaque trimestre des attaques fictives «amicales» afin de déceler d éventuelles failles de sécurité au niveau du réseau. 11

Des moyens efficaces L objectif est de mettre en place des solutions qui garantissent que votre société n a jamais accès à des données de cartes complètes non cryptées. Dans une telle situation, la procédure de certification est considérablement allégée. La mise en œuvre des ressources suivantes vous aidera à diminuer les risques de fraude et à alléger votre certification. Serveur PCI Proxy A l heure actuelle, Internet est utilisé de manière intensive comme canal de vente supplémentaire. Les plateformes de réservation allègent de manière appréciable le travail des établissements hôteliers. Malheureusement, trop souvent, des données de cartes complètes non cryptées transitent sur ces plateformes par e-mail ou par une interface XML. Le fait de recevoir ces données en texte clair accroît considérablement les astreintes auxquelles l hôtel doit se soumettre dans le cadre de la norme de sécurité PCI DSS. Afin de vous éviter d être confronté à des mesures de certification trop lourdes, SIX Payment Services s est mis en relation avec la société Datatrans. Logiciel hôtelier Property Management System (PMS) Assurez-vous que le logiciel que vous utilisez est certifié PA-DSS (Payment Application Data Security Standard) et qu il dispose d un module pour la gestion des numéros de référence (le logiciel PMS crypte les données de cartes). Demandez à votre fournisseur de confirmer la conformité PA-DSS de son logiciel. Outil Foregenix Si vous ne savez pas avec certitude si votre infrastructure a accès ou non à des données de cartes, nous vous recommandons d utiliser «FScout» de la société Foregenix. Cet outil recherche la présence de données de cartes au sein de votre infrastructure. Si cette recherche est fructueuse, il vous suffit ensuite d isoler ou de supprimer les fichiers correspondants. Vous êtes alors assurés que votre infrastructure ne comporte pas de fichiers cachés contenant des données de cartes. Vous trouverez de plus amples informations à ce sujet sur le site de Foregenix: www.foregenix.com La solution consiste à interconnecter le serveur Proxy de Datatrans entre la plateforme de réservation et votre établissement. Les données de carte transmises par e-mail ou par une interface XML sont alors cryptées et stockées dans l environnement sécurisé de Datatrans; vous ne recevez qu un numéro de référence. Ainsi, votre hôtel n a aucun accès à ces données de carte, mais vous pouvez débiter la carte de crédit de votre client par le biais de ce numéro de référence. Pour de plus amples informations, veuillez prendre directement contact avec Datatrans: www.datatrans.ch ou info@datatrans.ch 12

Portail SAQ En collaboration avec la société Acertigo, SIX Payment Services exploite un portail d autoévaluation SAQ (Self-Assessment Questionary). Ce portail vous guide de manière particulièrement conviviale à travers les différentes étapes de certification PCI DSS ainsi que lors du renouvellement de votre certification. Dans la section archives du portail, le commerçant a accès à tous les documents dont il a besoin, faciles à consulter ou à télécharger. Il peut s agir par exemple de son questionnaire SAQ rempli, des résultats des Network Scans effectués, de certifications validées, etc. Vous pouvez vous connecter gratuitement au portail afin de déterminer votre classification et prendre connaissance de la marche à suivre en vue de votre certification. Pour tout complément d information technique ou d ordre général, contactez notre équipe PCI par e-mail à l adresse pci-support@six-group.com ou par téléphone au numéro 0041 (0)58 399 9955. Secure PayGate Si vous recevez des réservations par téléphone, télécopie, e-mail ou courrier postal, vos clients peuvent régler d avance leur séjour sur Internet de manière rapide, pratique et sûre. Et cela, sans que votre établissement entre en contact avec leurs données de cartes. La solution s appelle Secure PayGate. Secure PayGate allie les avantages de la solution Mail/Phone-Order à la sécurité offerte par les transactions Secure E-Commerce, protégées par mot de passe. En d autres termes, vous bénéficiez à la fois d une plus grande sécurité et de conditions plus avantageuses. Vous trouverez de plus amples informations à ce sujet sur: www.saferpay.com Liste de contrôle PCI pour hôtels Vous aimeriez connaître le risque auquel votre hôtel est exposé en matière de vol de données de cartes? Alors, dans les pages suivantes, complétez la liste de contrôle conformément à la réalité et envoyez-la à: SIX Payment Services, PCI Compliance, Hardturmstrasse 201, case postale, 8021 Zurich Si nos spécialistes décèlent des lacunes en matière de sécurité, nous vous contacterons. 13

14

Payment Services Liste de contrôle PCI pour les hôtels Nom de l hôtel: Adresse: Interlocuteur(trice): Partner ID: Conseiller(ère) clientèle: L hôtel est-il déjà certifié selon la norme PCI DSS ou est-il en processus de certification? Date de conformité escomptée: Oui Non Processus relatifs à PCI Est-il possible de comptabiliser une «late charge»? Est-il possible de comptabiliser un «no show»? Si vous avez répondu «Oui» à l une de ces questions, veuillez répondre aux questions supplémentaires de la rubrique «Questions détaillées». Plateformes de réservation Travaillez-vous en collaboration avec une plateforme de réservation hôtelière et/ou est-ce que votre hôtel dispose de sa propre plateforme de réservation? Si vous avez répondu «Oui» à cette question, veuillez inscrire sous la rubrique «Questions détaillées» le nom des plateformes de réservation en question. Réservations par lettre, fax, téléphone ou e-mail Prenez-vous des réservations par lettre, fax ou téléphone? Prenez-vous des réservations par e-mail? Si vous avez répondu «Oui» à l une de ces questions, veuillez répondre aux questions supplémentaires de la rubrique «Questions détaillées». Infrastructure optionnelle Procédez-vous à des enregistrements permettant d identifier les collaborateurs externes et comprenant la durée exacte du séjour ou les endroits précis? Tous les documents papier renfermant des données de cartes sont-ils conservés dans une pièce ou un coffre-fort fermé(e) à clé et pourvus de la mention «confidentiel»? Les justificatifs de paiement et de réservation à l attention du client contiennent-ils uniquement des données de cartes masquées? Faites-vous disparaître à l aide d un destructeur de papier les documents papier renfermant des données de cartes dont vous n avez plus besoin? Le télécopieur, sur lequel peuvent arriver des réservations comprenant des données de cartes, se trouve-t-il dans un environnement sécurisé? (Environnement sécurisé: accès réservé aux personnes autorisées ou télécopieur placé sept jours sur sept, vingt-quatre heures sur vingt-quatre, sous surveillance, par ex. par les employés de la réception) Collaborateurs optionnelle Tous les collaborateurs en contact avec des données de cartes sont-ils tenus de signer une charte de protection des données? Tous les collaborateurs, qui, pour des raisons professionnelles, ont absolument besoin d avoir accès aux données des cartes des clients, sont-ils sensibilisés à la protection des données de cartes? L accès aux pièces renfermant des données de cartes est-il réservé uniquement aux collaborateurs qui en ont absolument besoin dans le cadre de leur activité professionnelle? (Pièces renfermant des données de cartes de crédit: bureau doté d un télécopieur et d un ordinateur raccordé à un système PMS ou POS ainsi que les archives stockant les justificatifs des cartes de crédit) 15

Liste de contrôle pour les hôtels questions détaillées Processus relatifs à PCI Questions supplémentaires concernant la comptabilisation des express checkout, late charge et no show Oui Non Les données des cartes nécessaires à la comptabilisation des express checkout, late charge et no show sont-elles stockées temporairement par voie électronique jusqu au déclenchement de l écriture y relative? Si oui Les données de cartes électroniques sont-elles stockées temporairement dans une application certifiée PCI? ou Les données des cartes nécessaires aux comptabilisations express checkout, late charge et no show sont-elles stockées temporairement sur support papier jusqu au déclenchement de l écriture y relative? Si oui Les données de cartes sur support papier sont-elles conservées dans un environnement sécurisé? (Environnement sécurisé: accès réservé aux personnes autorisées et comportant uniquement des armoires fermant à clé) Plateformes de réservation Collaborez-vous avec ces plateformes de réservation? Booking.com Expedia.de Interlocuteur(trice): Interlocuteur(trice): HRS.com Swisshotels.ch Interlocuteur(trice): Interlocuteur(trice): Nom: Nom: Interlocuteur(trice): Interlocuteur(trice): Les e-mails des plateformes de réservation contiennent-ils les données de la carte du client? Si oui Ces e-mails sont-ils cryptés? Une fois que vous en n avez plus besoin, ces e-mails sont-ils supprimés (y compris le vidage de la corbeille à papier)? L hôtel met-il sur Internet à la disposition de ses clients sa propre plate-forme de réservation? Le logiciel utilisé est-il en conformité avec la norme PCI? Fabricant: Logiciel: Interlocuteur(trice): Numéro de téléphone: Oui Non Réservations par lettre, fax, téléphone ou e-mail En cas de réservations passées par fax et téléphone, c est au partenaire affilié/à l hôtelier d assumer le risque financier en cas de montants débités de cartes ou de données de cartes utilisées de manière frauduleuse. En cas de réservations passées par lettre, fax ou téléphone, les données de cartes sont-elles notées sur support papier? Si oui Les données de cartes en question sont-elles conservées dans un environnement sécurisé? (Environnement sécurisé: accès réservé aux personnes autorisées et comportant uniquement des armoires fermant à clé) En cas de réservations passées par fax ou téléphone, les données de cartes sont-elles saisies électroniquement? Si oui Les données de cartes sont-elles stockées temporairement dans une application certifiée PCI? (par exemple Alias Modul) Les commandes passées par e-mail comportant le numéro complet de la carte/toutes les données de la carte du client sont formellement interdites. Les questions suivantes s appliquent au cas où vous recevriez tout à coup un tel e-mail non chiffré. Les e-mails contenant des données de cartes sont-ils imprimés à réception puis supprimés y compris le vidage de la corbeille à papier? Les e-mails imprimés sont-ils archivés dans un environnement sécurisé? (Environnement sécurisé: accès réservé aux personnes autorisées et comportant uniquement des armoires fermant à clé) Lieu et date Prénom et nom Signature du partenaire affilié Votre contact personnel: www.six-payment-services.com/contact SIX Payment Services SA Hardturmstrasse 201 8005 Zurich Suisse SIX Payment Services (Europe) S.A. 10, rue Gabriel Lippmann 5365 Munsbach Luxembourg 16

Payment Services Cartes de crédit: prise en charge/autorisation (spécimen) Vous trouverez ci-après un formulaire type destiné à vos clients. Vous pourrez alors comptabiliser leurs diverses dépenses sans qu ils aient à présenter leur carte («express check-out», «late charges», services supplémentaires): Le nom / le logo de votre hôtel: Ce formulaire doit être conservé dans un endroit sûr. Kreditkarten-Autorisierung / Prise en charge Karteninhaber / Nom du détenteur de la carte Zimmer /Chambre Zahlung / Paiement oder / ou Garantie / Garantie Kartentyp / Type de carte Visa MasterCard American Express Diners JCB UnionPay Nummer / Numéro Für folgende Services / Pour les services suivants Zimmer und Taxen / Chambres et Taxes Express Check-Out Frühstück / Petit-déjeuner Übrige Gebühren / Autres charges Verfallsdatum / Date d expiration Für folgende Gäste / Pour les hôtes suivants Name / Nom Name / Nom Name / Nom Zimmer /Chambre Zimmer /Chambre Zimmer /Chambre Hiermit bestätige ich, dass nebst meiner Zimmerrechnung auch die auf diesem Formular markierten Zusatzkosten sowie die Zimmerrechnung für die anderen aufgeführten Gäste gemäss den allgemein gültigen Geschäftsbedingungen unseres Hauses zu Lasten meiner oben erwähnten Kreditkarte abgebucht werden dürfen. Par la présente, je confirme que, en plus de la facture de ma chambre, les coûts supplémentaires ainsi que les frais des chambres des hôtes figurant sur les documents joints peuvent également être prélevés sur ma carte de crédit mentionnée, selon les conditions générales en vigueur. Ort, Datum / Lieu, date Vorname, Name / Nom, prénom Unterschrift / Signature Votre contact personnel: www.six-payment-services.com/contact SIX Payment Services SA Hardturmstrasse 201 8005 Zurich Suisse SIX Payment Services (Europe) S.A. 10, rue Gabriel Lippmann 5365 Munsbach Luxembourg 17

18

Charte de protection des données (spécimen) Vous trouverez ci-dessous, sans engagement, un modèle de charte de protection des données. Si vous souhaitez une version juridiquement valable, veuillez prendre contact avec un juriste de votre choix. En raison de l obligation contractuelle et légale de garder le secret, le/la signataire est tenu(e) de ne pas divulguer les faits/informations portés à sa connaissance dans le cadre de son activité à l hôtel ABC. Il s agit de faits/d informations qui ne sont pas connus de tous, pour lesquels il existe un intérêt légitime de garder le secret et pour lesquels le maintien du secret dépend expressément ou tacitement de l hôtel ABC. Le secret d affaires s applique à toutes les informations obtenues lors de l utilisation des moyens et des équipements techniques ou informatisés de l hôtel ABC ainsi qu à toutes les informations relatives à l organisation et à l exécution des tâches de l hôtel ABC dans le cadre de la marche de ses affaires. Il convient de protéger tout particulièrement les données personnelles des clients, y compris les données relatives à leurs cartes de crédit ou de débit. Pris individuellement ou de manière cumulative, tout manquement à l obligation de garder le secret peut représenter une violation du secret d affaires. La disposition légale correspondante est mentionnée dans l annexe au présent accord de confidentialité. Le/la signataire est tenu(e) de traiter de manière strictement confidentielle tous les faits/informations relevant de l obligation de garder le secret et dont il/elle aurait connaissance. Il/elle ne doit pas les utiliser à d autres fins que celles en relation avec la tâche qui lui a été confiée. Lieu et date Nom du/de la signataire Signature Annexe Art. 162 Violation du secret de fabrication ou du secret commercial. Celui qui aura révélé un secret de fabrication ou un secret commercial qu il était tenu de garder en vertu d une obligation légale ou contractuelle, celui qui aura utilisé cette révélation à son profit ou à celui d un tiers, sera, sur plainte, puni d une peine privative de liberté de trois ans au plus ou d une peine pécuniaire. 19

110.0116.03 CHE_FR/09.2013 Votre contact personnel: www.six-payment-services.com/contact SIX Payment Services SA Hardturmstrasse 201 8005 Zurich Suisse www.six-payment-services.com Vos commentaires, suggestions et propositions relatives à cette brochure sont à adresser à: PCI Compliance T 058 399 9955 pci.ch@six-payment-services.com