Por qué PCI DSS no es opcional
PCI DSS (Payment Card Industry Data Security Standard) es el estándar de seguridad que deben cumplir todas las entidades que almacenan, procesan o transmiten datos de tarjetas de pago. No es una ley española ni europea: es un estándar de la industria impuesto por las redes de pago (Visa, Mastercard, American Express). Si procesas tarjetas y no cumples PCI DSS, las redes de pago pueden retirar tu capacidad de aceptar pagos con tarjeta.
En la práctica, muchos hoteles creen que están cubiertos porque su TPV tiene certificación. El TPV sí está certificado. El problema es todo lo que pasa antes y después del TPV: el formulario de reserva que recoge el número de tarjeta, el email de confirmación que incluye los últimos cuatro dígitos, el archivo Excel donde el recepcionista guarda los datos de tarjeta para cobros futuros. Cada uno de esos puntos es un fallo de PCI DSS.
Los cuatro niveles de cumplimiento
PCI DSS clasifica a los comercios en cuatro niveles según el volumen anual de transacciones:
- Nivel 1 — más de 6 millones de transacciones/año: auditoría anual obligatoria por QSA certificado
- Nivel 2 — entre 1 y 6 millones: cuestionario de autoevaluación (SAQ) anual
- Nivel 3 — entre 20.000 y 1 millón: SAQ anual
- Nivel 4 — menos de 20.000: SAQ anual recomendado
La mayoría de los hoteles independientes están en nivel 3 o 4. Eso no significa que el cumplimiento sea menos importante: significa que el proceso de demostración es más ligero, pero las obligaciones técnicas son las mismas.
Qué es 3D Secure y para qué sirve
3D Secure (3DS) es el protocolo de autenticación adicional para pagos online. Cuando pagas en una web y el banco te pide confirmar la transacción con un código SMS o la app bancaria, eso es 3D Secure. Su versión actual — 3DS2 — está integrada de forma más fluida y, en muchos casos, la autenticación es invisible para el usuario cuando el perfil de riesgo de la transacción es bajo.
La relevancia de 3DS para los hoteles es directa: desde la entrada en vigor de la PSD2 en la Unión Europea, la autenticación fuerte del cliente (SCA) es obligatoria para la mayoría de los pagos online. Un hotel que procesa pagos de reservas online sin 3DS2 activo tiene las transacciones en riesgo de ser rechazadas por el banco emisor del cliente.
El modelo de responsabilidad de fraude
Este es el punto que más impacto tiene en la operativa hotelera. Sin 3D Secure, si una transacción resulta fraudulenta, la responsabilidad económica recae sobre el hotel (o más exactamente, sobre su adquirente, que la repercute al hotel mediante un chargeback). Con 3D Secure correctamente implementado, si la transacción pasa la autenticación y resulta fraudulenta, la responsabilidad se traslada al banco emisor de la tarjeta.
En términos prácticos: un hotel que procesa reservas online con 3DS activo está protegido frente a chargebacks por fraude. Un hotel que no lo tiene activo asume ese riesgo directamente.
Cómo Pay by Link de Softme gestiona todo esto
Pay by Link elimina el problema de PCI DSS desde la raíz: el hotel nunca toca datos de tarjeta. El huésped introduce sus datos directamente en un entorno tokenizado certificado PCI DSS nivel 1. Los datos nunca pasan por los sistemas del hotel. 3D Secure 2.0 está activado por defecto en todos los links generados.
El resultado: cumplimiento PCI DSS completo sin que el hotel tenga que gestionar ningún aspecto de la certificación, y protección frente a chargebacks por fraude incluida en el modelo de operación estándar.