Les grandes chaînes hôtelières mondiales se regroupent pour sécuriser les données de carte de paiement

Comme nous vous l’annoncions dans notre article du 19 septembre PayPal lance des solutions de paiement hors ligne, 16 grandes chaînes hôtelières mondiales unissent leur forces afin de construire un cadre de sécurité pour la gestion des données critiques de carte de paiement.

Une problématique unique de sécurité requérant une solution globale pour l’hôtellerie

Les transactions de carte de paiement dans l’hôtellerie sont plus difficiles à sécuriser que dans les autres industries. Durant le processus de réservation, les données critiques de carte de paiement transitent par plusieurs systèmes contrôlés par différentes sociétés et doivent être stockées pendant des semaines ou des mois, en attendant le départ du client.

Chaque société impliquée utilise ses propres solutions de sécurisation des données. Dans ce contexte, l’approche qui consiste à générer des jetons de paiement entre systèmes (appelé "tokenisation") peut présenter des avantages évidents quand une seule société en contrôle la sécurité, mais ne peut pas être appliquée au travers d’une multitude de systèmes de multiples compagnies, comme ceci arrive tous les jours dans un hôtel. Les jetons ne peuvent pas être décryptés autrement que le système qui a crypté, ce qui amène les systèmes à communiquer entre eux les coordonnées complètes de carte de paiement, ce qui augmente considérablement les risques de sécurité.

Les contours de la solution

Alors que les grandes chaînes hôtelières ont massivement investi dans la sécurité de leurs propres systèmes, elles n’ont aucun contrôle sur les centaines de systèmes tiers qui peuvent interférer dans le processus de réservation. Les responsables sécurité des principales chaînes hôtelières mondiales se sont réunis en août et septembre 2011 dans le cadre de la mise en place du groupe HTNG intitulé "Secure Payments Framework".

« Chaque grande chaîne hôtelière travaille à mettre autant de leurs systèmes que possible hors de la portée des exigences des normes PCI-DSS », a déclaré Douglas Rice, Directeur Général de HTNG. « La plupart de ces entreprises se sont concentrées sur des solutions basées sur la "tokenisation", et beaucoup les ont mises en œuvre ou sont en train de le faire." La "tokenisation" est un processus par lequel les données de la carte sensibles sont stockées dans un seul endroit sécurisé, ce qui pourrait être exploité par une marque d’hôtel, une passerelle de paiement ou une autre tierce partie, et remplacé dans les systèmes hôtel par des "jetons" substituant les données sensibles de carte de paiement. Les jetons peuvent être utilisés pour compléter la transaction, mais sont inutiles si elles sont interceptées par voie électronique par un voleur.

Ce nouvel effort d’investissement des chaînes hôtelières va améliorer leurs précédents efforts de "tokenisation", ajoutant une couche de sécurité qui permettra à ces solutions d’être étendues à des solutions tierces impliquées dans les transactions, comme les agences de voyage en ligne, les systèmes mondiaux de distribution, des switchs, les sociétés de gestion, les systèmes centraux de réservation, les sociétés de gestion, les hôtels indépendants, les passerelles de paiement, dispositifs magnétiques, et d’autres parties. « L’approche est destinée à permettre la "tokenisation" des données de la carte par le premier système qui touche la réservation », a déclaré Doug Rice. « Les données sensibles resteront stockées dans un coffre sécurisé, et tous les autres systèmes vont simplement transmettre un jeton à la place de la carte de paiement. L’hôtel lui-même peut alors soumettre le jeton à son fournisseur de jeton ou une passerelle pour finaliser la transaction par carte. Les données de la carte n’ont plus besoin de toucher un système d’hôtel, plaçant de facto le système de l’hôtel hors de portée des normes PCI-DSS. »

Une fois défini, le "Secure Payments Framework" peut être communiqué par les hôtels y participants vers les partenaires technologiques ou de distribution, sociétés de gestion, franchisées, passerelles de paiement... Les standards d’interopérabilité seront développés (ou les standards existants améliorés) pour supporter ce Framework. Un des points clés est que ce cadre doit augmenter les approches existantes de "tokenisation" plutôt que les remplacer dans le cadre de leur utilisation ou dans les processus d’implémentation en cours chez plusieurs marques hôtelières et/ou dans les systèmes couramment utilisés hôtel.

Participation hôtelière

Beaucoup parmi les plus grandes chaînes hôtelières mondiales ont indiqué leur intention de participer à l’effort de définition de ce framework : d’autres sont désormais invitées à se joindre au groupe de travail qui se lance officiellement. Les fournisseurs de technologie, les partenaires de distribution et des processeurs de paiement ne seront pas en mesure de participer directement pendant la phase de définition, mais peuvent collaborer avec ceux de leurs clients qui sont représentés sur le groupe de travail afin de s’assurer que leurs intérêts sont pris en compte. Ils auront également la possibilité de participer à l’évolution effective de solutions et de normes dans les phases ultérieures.

Le "Secure Payments Framework" a été créé à la demande du conseil d’administration HTNG, qui se compose de CIO, CTO et similaires de haut niveau les responsables informatiques des plus grands groupes hôteliers d’Amérique, d’Europe, d’Asie et au Moyen-Orient. Ces dirigeants ont coordonné la participation de leurs responsables sécurité informatique et de leurs équipes, dont beaucoup ont collaboré pour créer la charte du groupe de travail. La liste des chaînes impliquées à ce jour :

Les autres chaînes hôtelières sont invitées à participer à l’effort, et les membres HTNG pouvez vous abonner à la mailing list du groupe de travail pour en suivre les progrès. Pendant une première période de 30 jours, une inscription sera ouverte à toute entreprise hôtelière membre d’HTNG . Les fournisseurs de technologie et de paiement ne seront pas admissibles à participer à l’élaboration du cadre, mais auront la possibilité de se joindre au cours des phases ultérieures.

Calendrier et résultats attendus

L’effort sera structuré comme un groupe de travail HTNG, qui se réunira sur une base hebdomadaire pour développer et documenter le cadre dans un livre blanc à paraître dans les quatre mois environ. Le projet comprendra l’identification des efforts spécifiques qui peuvent être nécessaires pour développer ou adapter des standards d’interface pour appuyer le framework. HTNG s’attend à ce que ces normes soient élaborés au cours du premier semestre 2012.

Pour plus d’informations

Visitez la page HTNG « Credit Card Security » pour plus d’informations sur la façon de participer à cet effort, pour en suivre les progrès, et pour d’autres renseignements sur la sécurité des cartes de paiement dans un environnement hôtelier.

Si vous copiez cet article, n’oubliez pas d’insérer le lien vers sa source : http://suiv.me/1856

Image d'illustration : logo HTNG

Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/1856 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/1856.qr. Voir le mode d'emploi.

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexion | s’inscrire | mot de passe oublié ?