PSD2 son las siglas en inglés de Directiva de Servicios de Pago y supone una ampliación respecto a la PSD1 que entró en vigor en 2017 para armonizar las legislaciones relacionadas con los servicios de pago dentro de la Unión Europea. Ahora, los protagonistas de esta segunda fase son los pagos online, dada la gran importancia que han adquirido en la mayoría de sectores.
Y especialmente importante es el protagonismo de los pagos online en el sector hotelero y turístico, no en vano representan el 35% del comercio electrónico español. Debido a esto y al gran volumen de datos personales y de pago que se gestiona en este sector, estar preparados para la PSD2 cuanto antes es imprescindible.
Conceptos previos: ¿qué son el 3DS y el SCA?
El 3DS o 3DSecure es un mecanismo de autenticación desarrollado por las principales marcas de tarjetas bancarias que permite autenticar y verificar al titular de una tarjeta durante un proceso de compra. El método más habitual para ponerlo en práctica consiste en que el banco emisor de la tarjeta envía un SMS con un código al teléfono del titular con un código único que debe introducir en una web de la propia entidad.
Hasta ahora el 3D Secure era un procedimiento opcional, pero con la entrada en vigor de la PSD2 pasará a ser obligatorio. A partir del 14 de septiembre todas las reservas reembolsables tendrán que ser hacerse mediante el 3D Secure para poder cumplir con la ley.
El SCA (Secure Customer Autentication) es un concepto similar, aunque más evolucionado, que implica autenticar a un usuario con al menos 2 de los 3 métodos siguientes: algo que el cliente sabe, como una contraseña o PIN; Algo que el cliente posee, como un teléfono o una tarjeta de claves; Algo que el cliente es, es decir, características biométricas como reconocimiento facial o huella digital.
La nueva directriz de servicios de pago establece que se debe realizar un SCA a todo aquel usuario que vaya a realizar una compra superior a 30€. Esta medida de seguridad implica restricciones muy severas a ciertas operativas de un hotel.
¿En qué afecta todo esto a los hoteles?
Las reservas no reembolsables apenas sufrirán cambios dado que durante el proceso de reserva el usuario quedará autenticado mediante el mecanismo que establezca el banco emisor de su tarjeta.
En las reservas con cancelación gratuita, en el momento de realizar el cobro de un no-show no se podrá realizar la autenticación del usuario y por tanto no se podrá finalizar la operación.
También se verán afectados aquellos hoteles que todavía realicen los cobros de las reservas provenientes de OTAs y de Channel Managers tecleando el número de tarjeta directamente en un datáfono. Esta operativa será restringida también por la imposibilidad de realizar la autenticación del titular.
¿Qué cambios necesita implementar un hotel o motor de reservas?
Existen diferentes tecnologías que, combinadas correctamente, facilitan el cumplimiento de la PSD2 de manera sencilla y cómoda para el hotel. Estas son las principales:
Tokenización de tarjetas: por seguridad de los clientes y de la empresa, es fundamental encriptar la información de pago, pero mejor todavía es tokenizarla, ya que pasa a ser totalmente indescifrable y además permite cobrar gastos extra y no shows por asociación con la tarjeta.
3D Secure/ SCA: como ya se ha explicado, la identificación segura del cliente evita el fraude y además se trata de la única manera de realizar un cargo con tarjeta de crédito sin posibilidad de retroceso por parte del cliente.
PCI-PROXY: gracias a este sistema cualquier hotel, incluso aquellos que disponen de distintos sistemas de gestión, cualquier Channel Manager o cualquier PMS, pueden cumplir la normativa PCI DSS.
Lo más fácil para un hotel que busque acceder a todas estas tecnologías es contar con una pasarela de pago que las incluya, como la de la fintech española PaynoPain. De esta manera, con una sola implementación es posible cumplir con la normativa PCI DSS y la PSD2.
¿Cómo poner estas tecnologías en práctica?
Antes que nada, se debe almacenar la tarjeta en el momento de la reserva y en el momento que llega desde un channel manager. Para ello, se requiere de un sistema certificado PCI-DSS, si se quiere cumplir con las normativas de seguridad asociadas a las tarjetas bancarias.
A partir de aquí se pueden desarrollar distintas estrategias para conseguir mantener el tipo de tarifas de las que ya se disponen. Por ejemplo, para las reservas con cancelación gratuita, en el momento de la reserva se realiza el SCA con una operación de 0€ que además de garantizar que la tarjeta es válida, permite luego poder cobrar el no-show. Para esto se debe tener en cuenta que se está realizando un tipo de cobro Card On File y hay que acogerse a la excepción no-show para poder indicar que el SCA realizado inicialmente sigue siendo válido.
Otra forma de realizar los cobros es enviar un SMS o un e-mail al usuario, donde se le pedirá realizar el proceso SCA. La ventaja es que no habrá tenido que volver a introducir los datos de tarjeta con lo que la experiencia de usuario será mucho más fluida.