Sécuriser les paiements à distance dans l'industrie hôtelière

Le paiement à distance par carte bancaire sur terminal de paiement électronique (TPE) est encore largement utilisé dans l’industrie hôtelière, ce qui peut vous coûter cher ! Il est difficile pour un hôtelier de ne pas avoir en mémoire au moins un souvenir d’un client ayant contesté le paiement d’une réservation auprès de sa banque, voire le fait d’être venu dans votre établissement.

La déception est d’autant plus grande que la réservation a été faite par téléphone et confirmée par une empreinte de carte bancaire dans votre système de gestion hôtelière (PMS), sans authentification forte. Résultat : une perte sèche de chiffre d’affaires pour l’intégralité du séjour, et aucune possibilité de contestation !

Comment pouvez-vous éliminer ce type de transactions de la pratique de vos équipes, sans perdre de temps, investir davantage ou devenir un expert en cybersécurité ?

1.     Le rôle de l’éditeur de logiciel PMS

PMS, technologie, réglementations, paiements, processus, utilisations… Ne restez pas seul et comptez sur votre éditeur de logiciel.

Chez Sequoiasoft, nous soulignons toujours que la plus belle technologie ne vaut rien sans l’humain. Elle est d’autant plus inefficace si elle n’est pas utilisée, au profit des pratiques traditionnelles et des processus hôteliers établis. C’est pourquoi nous nous engageons chaque jour à conseiller nos clients dans leur transition numérique, car celle-ci ne peut réussir sans un accompagnement au changement.

Nous souhaitons ici mettre en évidence les pratiques risquées liées aux réservations par téléphone ou par e-mail : les paiements par carte bancaire à distance sur TPE, sans authentification forte.

Savez-vous identifier dans votre PMS les réservations, ainsi que les transactions par carte bancaire, qui ont été effectuées avec une authentification forte (Strong Customer Authentication – SCA), et celles qui ne l’ont pas été, quel que soit le canal utilisé (réservation directe, gestionnaire de canaux, etc.) ? Si vous pouvez répondre à cette question, vous pouvez évaluer les risques de perte de chiffre d’affaires liés aux transactions non authentifiées, qui peuvent être contestées et opposées.

2.     Les risques des réservations par e-mail ou téléphone non sécurisées

(Mode MOTO Mail Order Telephon Order)

Alors que la part des réservations en ligne (et donc des transactions bancaires sécurisées et garanties conformément à la réglementation DSP2 en vigueur) ne cesse d’augmenter (ce dont nous nous réjouissons tous), le volume des transactions effectuées à distance sur TPE ne diminue pas assez rapidement. Certains segments de voyageurs aiment encore appeler les hôtels ou envoyer un e-mail pour effectuer une réservation.

L’utilisation du mode MOTO est un héritage d’une société de consommation non numérique dont les professionnels de l’industrie hôtelière pourraient se passer, car cela les expose aux 4 risques et vulnérabilités suivants :

• La fraude par carte bancaire et tous les risques financiers et de réputation qui en découlent… sans parler de l’anxiété quotidienne que cela génère dans vos services de réservation ou à la réception.
• La contestation et l’opposabilité de ces paiements jusqu’à 13 mois après la transaction dans l’espace européen (70 jours en dehors de l’UE). Pendant cette période, le voyageur peut contester avoir effectué la réservation et le paiement avec sa carte bancaire, ou avoir séjourné lui-même dans l’établissement. Du côté du voyageur, la banque dispose d’un jour ouvré après la notification pour rembourser son client.
• La perte sèche de chiffre d’affaires non récupérable en cas de contestation, que le séjour ait été consommé ou non.
• La perte de productivité pour vos équipes et la fluidité des paiements pour le client, liées à l’impossibilité d’effectuer des paiements récurrents à partir de la même carte bancaire pour débiter la totalité des prestations réservées ou consommées par le client pendant son séjour.

Il convient également de faire attention à d’autres modes de paiement par carte bancaire non sécurisés :

• Les paiements différés (prépaiement avant l’arrivée et frais d’annulation ou de non-présentation) avec des cartes pré-enregistrées sans authentification forte.
• Les réservations potentiellement transmises par le Channel Manager qui arrivent sans cryptogramme visuel (CVV) dans le PMS, ou avec un paiement sans authentification forte en dehors de l’UE.

3.     La règle de sécurité simple et fondamentale

La règle fondamentale à retenir est que seules les transactions par carte bancaire ayant reçu une authentification forte sont non opposables et garantissent le paiement des sommes, qu’il s’agisse d’un règlement différé, partiel, fractionné ou total, que ce soit au moment de la réservation, après la réservation ou après le séjour.

Il est important de rappeler que le protocole d’authentification forte implique au moins deux des trois conditions suivantes :

• Code PIN ou mot de passe (sur un site web, une application mobile ou un TPE)
• Validation du paiement sur un appareil authentifié appartenant au porteur de la carte
• Validation biométrique par empreinte digitale, reconnaissance faciale ou reconnaissance d’iris.

Il est également crucial de respecter une règle encore plus essentielle avant même de saisir le numéro de carte dans le TPE : ne jamais saisir les informations de la carte bancaire sur un Post-it ou même faire une photocopie de la carte bancaire lors de l’enregistrement !

4.     Solutions à mettre en place et changement des processus

1. La première étape consiste à s’équiper d’un logiciel de gestion hôtelière (PMS) qui facilite la tâche. Votre PMS dispose-t-il d’un moteur de réservation intégré ? Vous permet-il d’automatiser l’envoi de liens de paiement sécurisés par e-mail ou via SMS sur mobile ?
2. Il est essentiel d’accompagner et de former en permanence vos équipes afin de les sensibiliser aux risques et de leur proposer des méthodologies et des processus simples via le PMS.
3. Il est recommandé de rediriger autant que possible vos clients vers le moteur de réservation de votre site internet, qui intègre l’authentification forte. Les avantages d’un moteur de réservation natif, tel qu’Asterio, sont nombreux :

• La passerelle de paiement intégrée gère l’authentification forte.
• Le système enregistre et chiffre le numéro de carte (PAN) et le cryptogramme visuel (CVV/CVC) dans un coffre-fort numérique répondant au référentiel PCI-DSS.
• Dans le cas d’un lien de paiement, le système récupère les informations par tokenisation.

4. Il est également important de tirer parti des fonctionnalités d’automatisation du PMS, telles que celles intégrées dans Asterio. L’automatisation de l’envoi de communications par e-mail ou SMS contenant des liens de paiement avec authentification forte peut être couplée à un moteur de règles qui détecte le canal de réservation et envoie des communications différenciées et adaptées à l’aide de modèles préétablis. Par exemple :
   • Pour les réservations par téléphone, Asterio envoie par e-mail un lien de paiement sécurisé avec authentification forte, permettant également de débiter les ventes et les consommations supplémentaires sur les différents centres de profits (minibar, restauration, etc.), sans avoir besoin de redemander la carte bancaire. Les liens de paiement générés par Asterio sont paramétrables pour proposer des prestations complémentaires au moment de la confirmation de réservation, par exemple, et ces prestations seront ajoutées au paiement.
   • Pour les réservations par e-mail, le processus est similaire. Vous pouvez même rediriger le client vers le moteur de réservation multi-activités d’Asterio pour réserver des prestations additionnelles (cross-sell), comme un soin au spa, un dîner au restaurant ou une location de vélo électrique.
   • N’oubliez pas le fort potentiel de chiffre d’affaires incrémental offert par les liens de paiement intégrés aux communications de pré-séjour, de pré-check-in ou via le portail client proposé par Asterio.

En résumé, investir dans un système de paiement sécurisé est un levier de réassurance et de confiance pour les voyageurs et les futurs clients, ce qui augmentera le nombre de réservations directes et le panier moyen de votre établissement.

Pour aller plus loin 2 articles :
Sécurité des paiements online, en réception et en points de vente : êtes-vous au point ?
Paiements et parcours client : comment transformer un moment anxiogène en point fort de l’expérience client ?