Säker korthantering i hotellmiljö

Säker korthantering i hotellmiljö
1
För att förhindra kortbedrägerier och missbruk av kortdata har stora kreditkortsföretag, som Visa och
2
MasterCard, utvecklat ett säkerhetsregelverk (PCI DSS ).
Det enklaste sättet att uppfylla kraven är att använda godkända produkter (kortläsare, betalterminaler)
och aldrig hantera kortdata i dina system (t ex hotell- och bokningssystem).
Dessa instruktioner för säker korthantering på hotell och liknande verksamheter gäller Visa,
MasterCard, American Express och Diners Club. Instruktionerna gäller inte för virtuella kortnummer
eller engångskortnummer distribuerade av Online Travel Agents (OTA), etc.
Betalterminal

Enbart godkänd chip och PIN terminal får användas.
Manuell registrering av kortdata





3
Registrera eller lagra aldrig kortdata i klartext i dina egna system eller IT-miljö .
Det är tillåtet att skicka och lagra trunkerade kortnummer. Max antal tecken som får visas är de
sex första och de fyra sista (1234 56XX XXXX 1234).
Registrering får göras i godkänd chip och PIN terminal eller i lösning där kortnummer kan matas in
online via Internet och lagras säkert hos certifierad leverantör av kortbetalningstjänster
(betalväxel). Leverantören skyddar då kortdata åt er. Tjänsten kallas i detta dokument webblänk.
4
5
Vid garanterad reservation och No Show är det förbjudet att ta emot eller registrera CVV/CVC .
Vid manuell registrering av förskottsbetalning är det inte tillåtet att ta emot CVV/CVC.
Hantering av kortdata från bokningsmotor eller annan part




Sträva efter att aldrig ta emot kortdata utan istället enbart vid behov hämta informationen från
6
Online Travel Agent (bokningsmotor ).
Papper (fax, utskrifter, etc.) med kortnummer ska alltid lagras inlåst med åtkomst enbart för
behörig personal.
Elektronisk lagring av kortnummer ska enbart ske hos certifierad betalväxel.
Det är inte tillåtet att skicka kortnummer i klartext via e-post. Inkommen kortdata via e-post ska
raderas.
Webblänk för hotell/företag

1
2
För att registrera och lagra kortdata säkert kan webblänk hos certifierad betalväxel användas. Där
går det att:
o Mellanlagra kortdata för garanterad bokning
o Registrera No Show
o Registrera förskottsbetalning
Information från betalkort, t.ex. kortnummer och giltighetstid.
Payment Card Industry Data Security Standard är en informationssäkerhetsstandard.
E-postsystem, PC, servrar, kassasystem, bokningssystem, etc.
4
Ersättning för första natten vid utebliven ankomst.
5
Tresiffrig säkerhetskod på baksidan av kortet.
6
Företag som förmedlar t.ex. hotellbokningar.
3