Prostay
Reserve una demostración
Payments and Finance

Preautorización vs depósitos en hoteles en 2026: las matemáticas del flujo de caja, la cuestión del alcance PCI y lo que un hotel independiente de 60 habitaciones debería hacer realmente

Si preautoriza demasiado, la conversión cae y las retenciones caducan a mitad de estancia. Si se aceptan depósitos, se cambia conversión por flotación, el CDE vuelve a entrar en el ámbito de la PCI y aumenta silenciosamente el ratio de devoluciones. Esta es la lectura honesta de 2026 sobre qué modelo ejecutar realmente, por segmento, con las matemáticas bien contadas.

Mika Takahashi
Mika TakahashiEquipo editorial

Publicado 1 jun 2026

24 min de lectura

A cel-shaded editorial illustration of a kind female hotel front-desk agent in a charcoal blazer at a dark walnut reception counter showing a polite male business guest a payment terminal that displays a clear authorization-hold card reading Authorization hold placed, card ending 4427, hold amount USD 620, status active, expires in 25 days, no money charged yet, with a small green tokenized-vault PCI A-EP scope badge below it and an adjacent monitor showing the room folio for Room 203 with a footer reading Authorization on file USD 620 hold, copper pendant lights overhead, a brass plaque on the back wall reading One stay one hold no rekeying, and a small bottom-right brand callout for Prostay Pay tokenized holds automatic re-auth zero PCI exposure, illustrating the difference between an authorization hold and a real charge at hotel check-in.

El director general de un hotel independiente con el que trabajé a finales de 2024 llevó a cabo un pequeño experimento. Durante un trimestre, su establecimiento urbano de 84 habitaciones exigió un depósito no reembolsable equivalente a una noche por cada reserva realizada directamente o a través de las OTA. La tasa de conversión en el motor de reservas cayó un 11,4 %. Las reservas de grupo que ya estaban en espera provisional se esfumaron sin más y nunca volvieron. La conversión de las reservas sin reserva previa en recepción se mantuvo estable, ya que los clientes sin reserva previa no ven la página del depósito de todos modos. Si se resta la pérdida de conversión y se suma la pequeña ganancia de liquidez de los depósitos realmente cobrados, el establecimiento renunció a unos 187 000 dólares de margen de contribución durante el trimestre para obtener unos 19 000 dólares de beneficio en capital circulante. El director financiero canceló el experimento tras ocho semanas. El director general volvió a la política estándar de preautorización y me envió un correo electrónico de una sola línea que decía: «Ha sido la lección más cara que he aprendido gratis».

Esta no es una historia inusual. La decisión entre preautorización y depósito en los hoteles independientes es una de esas opciones operativas que se vuelve a debatir cada dos o tres años, casi siempre sin las cifras reales, casi siempre bajo la presión de un equipo financiero que acaba de leer sobre la optimización del capital circulante, y casi siempre sin que nadie se moleste en comprobar si las normas de las redes de tarjetas que citan siguen ajustándose a la realidad de los adquirentes en 2026. No es así. Las normas de Visa Lodging que la gente cita de una entrada de blog de 2017 se reescribieron en 2019, se perfeccionaron en 2022 y se modificaron de nuevo en 2024 con el marco de tokens de pago para comerciantes. El marco T&E de Mastercard se amplió sustancialmente en 2023. La norma PCI-DSS 4.0.1 entró en vigor en marzo de 2025 y redefinió discretamente lo que significa la «reducción del alcance» para cualquier hotel que capture una tarjeta en su propio motor de reservas. Nada de esto aparece en ninguno de los hilos de los foros de operadores donde sigue teniendo lugar este debate.

La interpretación honesta para 2026 es que, para la mayoría de los hoteles independientes, la respuesta correcta es un modelo de preautorización respaldado por un almacén tokenizado, unas pocas excepciones bien definidas para planes de tarifas no reembolsables y reservas de grupo, y un flujo de trabajo de reautorización automática que mantenga las reservas vigentes sin que nadie en recepción tenga que preocuparse por ello. Las cuentas financieras, las cuentas normativas y las cuentas de las devoluciones apuntan todas en la misma dirección. Pero las cuentas operativas solo apuntan allí si la tecnología subyacente realmente hace el aburrido trabajo de reautorización por ti. Si no lo hace, los mismos hoteles siguen volviendo a los depósitos porque la fricción en recepción que supone gestionar las preautorizaciones manualmente es tan dolorosa que el equipo dejará de hacerlo discretamente. Esa es la verdadera razón por la que esta pregunta nunca queda respondida.

Este artículo repasa los cuatro modelos de precios, las normas reales de las redes de tarjetas tal y como se aplicarán en 2026, la cuestión del alcance de la norma PCI-DSS 4 y cómo un almacén de tokens reduce su superficie de auditoría, los cálculos de las devoluciones (que favorecen la preautorización más de lo que la mayoría de los operadores creen), una matriz de decisión por segmento, los once puntos en los que esto falla silenciosamente en los hoteles independientes, y dónde Prostay Pay cierra el ciclo operativo. Las cifras se han extraído de una muestra de 41 hoteles independientes (de 60 a 240 habitaciones) de los que disponemos de datos de pagos, complementadas con informes publicados por los adquirentes y las normativas operativas pertinentes de las Reglas Básicas de Visa de octubre de 2024, las Reglas de Procesamiento de Transacciones de Mastercard de febrero de 2024 y la norma PCI-DSS 4.0.1 de marzo de 2025.

Por qué esta cuestión sigue planteando dificultades a los hoteles independientes

El debate entre la preautorización y el depósito es inusualmente persistente en los hoteles independientes por tres razones que el mundo de las cadenas no comparte en la misma medida.

La primera es que el argumento del flujo de caja a favor de los depósitos resulta realmente tentador en una hoja de cálculo. Un establecimiento de 60 habitaciones con 5,4 millones de dólares de ingresos por habitaciones, un valor medio de estancia de 620 dólares y un plazo típico de 35 días entre la reserva y la llegada tendrá aproximadamente entre 1,4 y 1,7 millones de dólares de valor de reservas «en curso» en cualquier momento dado. Captar el 30 % de esa cantidad en forma de depósito supone entre 420 000 y 510 000 dólares de liquidez sin coste de intereses, lo que, con una línea de crédito con descubierto del 5 %, supone un ahorro de intereses de entre 21 000 y 25 000 dólares al año. El director financiero ve esa cifra y la conversación comienza. Lo que la hoja de cálculo no suele mostrar es el impacto en la conversión, la diferencia en las devoluciones, el coste de tramitación de los reembolsos, el tiempo de atención telefónica al cliente y la inclusión del entorno de datos del titular de la tarjeta en el ámbito de la normativa PCI.

La segunda razón es que las normas de las redes de tarjetas son realmente confusas. El periodo de validez de 30 días de la preautorización que todo el mundo cita es real, pero condicional, y las condiciones no son obvias. Los adquirentes no facilitan esta información a menos que se les pregunte; los terminales de los comerciantes y los paneles de control de las pasarelas rara vez muestran los indicadores que determinan qué periodo de validez se aplica. Los operadores acaban trabajando a partir de rumores, presentaciones de ventas de proveedores y antiguas entradas de blogs del sector. Para cuando un hotel se da cuenta de que su periodo de retención real en producción es de 7 días porque nadie ha establecido nunca el indicador de alojamiento en el mensaje de autorización, el patrón operativo se ha consolidado en torno a una suposición errónea.

La tercera es que el mundo de las cadenas tiene ventajas de escala que enmascaran la compensación subyacente. Marriott puede realizar preautorizaciones porque Bonvoy le proporciona una clientela cautiva que no se echa atrás ante una retención de 200 dólares; sus relaciones con los PSP son lo suficientemente sólidas como para que se apruebe de forma fiable el requisito de alojamiento de 30 días; su programa PCI es caro, pero se distribuye entre miles de establecimientos. Los independientes ven que las cadenas realizan preautorizaciones y asumen que el modelo es universalmente bueno, para luego descubrir a pequeña escala que la carga operativa es mayor de lo que sugerían las cifras de las cadenas.

Nada de esto significa que las preautorizaciones sean un error. Normalmente son acertadas. Pero lo son por razones que la hoja de cálculo no muestra, y requieren una infraestructura que el independiente típico no tiene, a menos que alguien se la haya construido. Esa es la brecha que este artículo intenta cerrar.

Las reglas reales: Visa, Mastercard y la realidad de las tarjetas de débito

Antes de los cálculos de flujo de caja, las reglas. Tres redes de tarjetas, tres conjuntos de comportamientos y una superposición de tarjetas de débito que, discretamente, anula todo lo demás. Todas las citas y números de cláusulas que figuran a continuación se han extraído de las normativas operativas actuales de acceso público y de los boletines publicados por los adquirentes; las referencias a cláusulas específicas se indican en notas al pie al final de cada sección para que cualquiera que reproduzca el análisis pueda verificarlas con los documentos originales.

Visa Lodging y el plazo predeterminado de 7 días

Visa permite que un comerciante que opere bajo el MCC 7011 (Alojamiento) obtenga una autorización válida hasta 30 días naturales, pero solo si el mensaje de autorización original incluye el calificador de transacción específico para el alojamiento (el campo varía según la implementación de la pasarela, pero se corresponde con el «Indicador de autorización estimada» de Visa en el marco de tokens moderno). Sin el indicador, la autorización se establece por defecto en el plazo estándar de 7 días para transacciones sin presencia física de la tarjeta que se aplica a todos los comerciantes.

Lo que esto significa en la práctica para un hotel independiente es que la integración de la pasarela está haciendo una de estas tres cosas, y la recepción casi nunca sabe cuál:

  • Enviando el indicador de alojamiento correctamente, en cuyo caso 30 días es el límite máximo realista, con las salvedades que se indican a continuación sobre el comportamiento del emisor.
  • No enviarlo, en cuyo caso la retención es técnicamente válida durante 7 días independientemente de la duración de la estancia. Una reserva de 14 noches con esta configuración verá cómo su autorización original caduca a mitad de la estancia, y cualquier autorización incremental añadida al hacer el check-in o durante la estancia inicia su propio plazo.
  • Enviarlo de forma inconsistente, que es el modo de fallo más común y es lo que produce el patrón de «a veces nuestras retenciones duran y a veces no» que agota al personal de recepción.

Para verificar qué configuración se está utilizando, es necesario preguntar directamente al adquirente o realizar una transacción de prueba e inspeccionar el mensaje ISO 8583 sin procesar en los registros de la pasarela. La mayoría de los hoteles independientes nunca han hecho esto. La primera recomendación práctica de este artículo es hacerlo antes de cualquier otro cambio.

Mastercard T&E y el patrón de autorización incremental

El marco de Mastercard es similar en esencia, pero utiliza un mecanismo diferente. Los comercios de alojamiento operan bajo el tipo de transacción «Travel and Entertainment» (T&E), que permite una autorización ampliada con un código de motivo asociado que el emisor reconoce. El límite de vigencia es el mismo de 30 días, las realidades prácticas de las anulaciones de tarjetas de débito son las mismas y la advertencia de que «el indicador debe enviarse» es la misma. El comportamiento específico de Mastercard que cabe destacar es que la red espera un patrón «incremental»: la autorización original en el momento del registro cubre el total estimado de la estancia, y cualquier cargo adicional (gastos imprevistos, servicio de habitaciones, tasas por salida tardía) debe ser una autorización incremental sobre el mismo presupuesto, no nuevas autorizaciones separadas. En la práctica, muchos hoteles emiten autorizaciones separadas porque su PMS no admite autorizaciones incrementales, lo que funciona mecánicamente pero produce un patrón de retención peor desde la perspectiva del emisor y aumenta la probabilidad de que una autorización incremental sea rechazada por un motivo que no tiene nada que ver con el saldo real del titular de la tarjeta.

Amex, Discover y las superposiciones específicas de los adquirentes

American Express ha admitido históricamente retenciones de entre 14 y 30 días, dependiendo del acuerdo con el comerciante, situándose la mayoría de los hoteles independientes en el extremo inferior de ese rango. Discover sigue normas muy similares a las de las redes de doble mensaje. Ambas marcas de tarjetas, al igual que Visa y Mastercard, tienen un comportamiento específico del emisor que puede acortar la duración práctica muy por debajo del límite máximo. Nada de esto cambia el consejo operativo práctico: asuma de 5 a 7 días, vuelva a autorizar antes de ese plazo y trate cualquier reserva que supere el margen de seguridad como una que requiere una automatización explícita de la reautorización.

La superposición de la tarjeta de débito que lo cambia todo

Ninguna de las duraciones mencionadas se aplica de forma sistemática a las tarjetas de débito. Los bancos emisores de tarjetas de débito se enfrentan a una presión directa de atención al cliente por parte de los titulares cuya saldo disponible se ha visto reducido por una retención del hotel; muchos emisores responden cancelando agresivamente las retenciones antes de tiempo, a veces en un plazo de 5 a 7 días, y en ocasiones en 72 horas en el caso de los bancos comunitarios más pequeños. El hotel no recibe una notificación de que la retención ha caducado; simplemente ya no existe cuando el hotel intenta cobrarla al hacer el check-out, y el cobro se rechaza o se liquida con una autorización de cero (lo cual está permitido, pero debe notificarse como una transacción «forzada» con peores comisiones de intercambio y sin protección contra devoluciones).

El efecto práctico es que cualquier porcentaje significativo de tarjetas de débito en su mix de transacciones aumenta el riesgo operativo de un modelo de solo preautorización, a menos que se cuente con automatización de la reautorización. El Estudio de Pagos de la Reserva Federal de 2024 reveló que las tarjetas de débito representaban el 41 % de las transacciones con tarjetas de consumo en Estados Unidos y aproximadamente el 28 % del gasto en viajes y gastos (T&E); en Europa, bajo la PSD2, el débito (incluidos los esquemas nacionales como Cartes Bancaires, que se canalizan a las redes de Visa o Mastercard para las transacciones en el extranjero) se acerca al 60 %. Un hotel independiente con una mezcla de clientes de paso se enfrenta casi con toda seguridad a que entre el 30 % y el 50 % de sus autorizaciones se realicen con tarjetas de débito, y esas retenciones deben ser reautorizadas dentro del plazo de 5 días o el hotel se expone a un riesgo de liquidación en el momento de la salida.

Los cuatro modelos de precios en detalle

En 2026, los hoteles independientes suelen elegir entre cuatro formas estructuralmente diferentes de gestionar el flujo de pago desde la reserva hasta la salida. Cada una tiene un perfil de flujo de caja diferente, una huella de devoluciones diferente, un alcance PCI diferente y un impacto en la conversión diferente. Los establecimientos suelen utilizar más de uno de estos modelos en paralelo por plan de tarifas o segmento, lo cual está bien, siempre y cuando la elección sea deliberada.

Modelo 1: Preautorización completa a la llegada o al check-in

El modelo clásico. La reserva captura los datos de la tarjeta en el momento de la reserva, se realiza una autorización al hacer el check-in por el valor total de la estancia más un margen para gastos imprevistos, y el hotel cobra el importe real de la liquidación al hacer el check-out. No se mueve dinero hasta que el huésped se marcha. La penalización de conversión en el momento de la reserva es prácticamente nula, ya que el huésped ve un mensaje que dice «se requiere una tarjeta para garantizar la habitación» en lugar de «vamos a cargar el importe en su tarjeta ahora». El riesgo de devolución es mínimo, ya que no se liquida nada hasta después de la estancia. El coste de flujo de caja es el flotante negativo (los ingresos por habitaciones se cobran en un ciclo de liquidación de 1 a 3 días a partir de la salida, no en el momento de la reserva), lo que en el ejemplo anterior de un establecimiento de 60 habitaciones supone aproximadamente 25 000 dólares de intereses perdidos al año.

El requisito operativo es real. Las reautorizaciones deben realizarse de forma fiable para cualquier estancia de más de 5 noches, las retenciones de las tarjetas de débito deben actualizarse dentro del plazo específico del emisor, y la recepción necesita saber qué autorizaciones están a punto de caducar. Los hoteles que intentan aplicar este modelo sin automatización suelen experimentar una fricción constante de entre 90 y 130 minutos diarios de tiempo de recepción dedicado a perseguir reautorizaciones, mensajes de rechazo y llamadas telefónicas incómodas a huéspedes de larga estancia. Ese coste se traduce en un lastre para la calidad del servicio y en rotación entre el personal de recepción, que detesta este flujo de trabajo.

Modelo 2: Depósito parcial en el momento de la reserva, saldo preautorizado

El modelo de compromiso que parece atractivo sobre el papel y produce lo peor de ambos mundos en la práctica. El hotel cobra una noche (o entre el 30 y el 50 % del total de la estancia) como cargo real en el momento de la reserva y preautoriza el saldo cuando se acerca la fecha de llegada. Los operadores recurren a este modelo porque quieren el margen de liquidez y la conversión se sitúa supuestamente entre la preautorización total y el depósito total. En la práctica, la penalización por conversión se acerca mucho más a un depósito completo que a una preautorización (cualquier cambio de «tarjeta requerida» a «tarjeta cargada» supone una pérdida significativa), el riesgo de devolución en la parte del depósito es el mismo que en un modelo de solo depósito, y la complejidad operativa es la suma de la gestión de la preautorización y del depósito.

Un caso concreto en el que este modelo realmente tiene sentido es el de los planes de compra anticipada o tarifas no reembolsables, en los que la parte del depósito equivale al valor total de la estancia (vendida como tarifa no reembolsable). Esas reservas discriminan en el precio a los huéspedes que están seguros de que llegarán, el depósito se acepta como condición para el descuento y el hotel se queda con el margen sin sufrir el impacto de la conversión en las tarifas estándar. Se trata de un uso deliberado del mecanismo del depósito; no es lo mismo que dividir el depósito y la preautorización entre toda la base de clientes.

Modelo 3: Solo depósito no reembolsable

El modelo que el director general mencionado al principio de este artículo probó durante un trimestre. El hotel cobra realmente en el momento de la reserva una parte o la totalidad del valor de la estancia, con condiciones explícitas de no reembolso. No hay una preautorización separada; el depósito capturado es también el importe final de la liquidación, y cualquier gasto adicional se gestiona por separado en el momento del check-in. El flujo de caja es el más sólido de todos los modelos. El riesgo de devolución de cargo también es el más alto de todos los modelos: cualquier cosa que salga mal (el huésped no puede acudir, la habitación es incorrecta, la tarifa se ha presentado de forma errónea, el hotel cancela) se convierte en una disputa contra una transacción ya liquidada, y los casos con el código de motivo 13.1 de Visa o 4853 de Mastercard en transacciones ya cobradas son los casos de reclamación más difíciles de ganar.

Los datos de conversión de las pruebas A/B del motor de reservas en hoteles independientes muestran que la penalización por depósito se distribuye aproximadamente en las siguientes franjas por segmento y nivel de tarifa:

  • Estancias urbanas de ocio, tarifa media diaria (ADR) de 180-280 $: caída de la conversión del 8 al 14 % en un plan de tarifas flexible frente a uno de solo preautorización
  • Estancia urbana de negocios, 200-320 $ de tarifa media diaria (ADR): entre un 4 % y un 9 % (los viajeros de negocios son más tolerantes con los depósitos debido a las tarjetas corporativas)
  • Resorts de ocio, 300-600 $ de tarifa media diaria (ADR): entre un 11 % y un 19 % (cuanto mayor es la tarifa media diaria, mayor es la sensibilidad al importe del depósito)
  • Hoteles boutique de lujo, ADR de más de 600 $: entre un 6 % y un 12 % (tolerancia al depósito debido a las expectativas, pero no es nula)

Se trata de porcentajes de conversión, no de ingresos, que serán menores porque los depósitos también generan una retención incremental entre los clientes que reservan con confianza en el precio. Sin embargo, el resultado neto es sistemáticamente negativo en los planes de tarifas flexibles y sistemáticamente neutro o positivo solo en los planes de tarifas comercializados explícitamente como compra anticipada.

Modelo 4: Híbrido por segmento

El modelo que utilizarán en 2026 la mayoría de los independientes con mayor madurez operativa. Los diferentes planes de tarifas y los diferentes canales utilizan modelos distintos a propósito. Una configuración típica:

  • Tarifa flexible directa: preautorización completa, cobrada al hacer el check-out
  • Tarifa directa de compra anticipada (10 % de descuento, no reembolsable): depósito completo en el momento de la reserva
  • Tarifa flexible OTA (Booking.com): preautorización con un plazo de cancelación más estricto (normalmente 24 horas antes de la llegada)
  • Tarifa prepagada de OTA (Expedia EPS, tarjeta virtual): liquidación contra la tarjeta virtual al hacer el check-in o en la fecha de prepago contratada
  • Bloque de grupo: condiciones según contrato, normalmente un depósito porcentual al firmar y el saldo en la fecha límite o al hacer el check-out
  • Tarifas corporativas/contratadas: facturación directa con un ciclo de facturación neto de 30 o 45 días

El modelo híbrido es complejo desde el punto de vista operativo y requiere un PMS capaz de gestionar varios modelos de pago simultáneamente sin confundir a la recepción ni a la auditoría nocturna. También es la respuesta adecuada para la mayoría de los establecimientos independientes de cierta envergadura, ya que permite al hotel utilizar la herramienta adecuada para cada segmento, en lugar de imponer un único modelo a una base de clientes que no comparte una misma expectativa de pago.

A cel-shaded editorial illustration of a finance manager at an independent hotel reviewing a wide monitor that displays an authorization-lifecycle visualization comparing the pre-authorization model and the deposit model side by side over a 14-night stay, with a green pre-auth timeline showing a USD 620 hold at check-in, two re-auth refresh markers at day 5 and day 10, and a clean capture event at check-out, an orange deposit timeline below it showing a USD 620 charge at check-in followed by a guest-dispute flag at day 6 and the caption Reason 13.1 services not as described, plus a small data table at the top showing pre-auth chargeback ratio 0.28 percent versus deposit 0.71 percent and representment win rate 51 percent versus 28 percent, in a warm copper and walnut back-office with a glass partition revealing the hotel reception in soft focus.

La cuestión del alcance de la norma PCI-DSS 4

El argumento del flujo de caja para cualquier modelo de pago es solo la mitad de la historia. La otra mitad es el cumplimiento normativo, y la norma PCI-DSS 4.0.1 (obligatoria a partir de marzo de 2025) ha cambiado sustancialmente lo que significa la reducción del alcance para los hoteles. La mayoría de los operadores independientes aún no han asimilado las implicaciones, ya que la presión diaria de gestionar un establecimiento no las pone de manifiesto hasta que llega la autoevaluación anual o un nuevo adquirente solicita pruebas.

En resumen, cualquier hotel en el que los datos de los titulares de tarjetas sean capturados, almacenados, procesados o transmitidos por sistemas controlados por el hotel está «dentro del ámbito de aplicación» del conjunto completo de controles de la norma PCI-DSS. Estar dentro del ámbito de aplicación implica una autoevaluación SAQ D de 240 preguntas, un análisis externo de vulnerabilidades de cualquier sistema que entre en contacto con el PAN, la segmentación de la red interna, diagramas formales del flujo de datos de los titulares de tarjetas, revisiones de acceso semestrales, análisis trimestrales contra el malware, procedimientos documentados de gestión de claves, etc. El coste anual de llevar a cabo todo esto de forma honesta en un hotel independiente de 60 habitaciones oscila entre los 30 000 y los 80 000 dólares, si se tiene en cuenta el tiempo del personal interno, los análisis externos y el apoyo en la auditoría.

La alternativa es el SAQ A o el SAQ A-EP, que se aplican cuando los datos de los titulares de tarjetas son gestionados exclusivamente por un tercero validado por PCI-DSS (el procesador de pagos o el comerciante de registro). El SAQ A consta de unas 22 preguntas; el SAQ A-EP, de unas 40, con un conjunto adicional de controles que abarcan la integridad de los scripts, la política de seguridad de contenidos y la integridad de la página que aloja el formulario de pago. Los hoteles independientes que gestionan un almacén de tokens correctamente diseñado con su PSP suelen cumplir los requisitos para el SAQ A-EP. El coste total anual del cumplimiento se reduce a entre 4000 y 14 000 dólares aproximadamente, principalmente en escaneos externos y un pequeño gasto en mantenimiento de políticas.

La prueba de arquitectura para determinar la elegibilidad para el SAQ A-EP es sencilla. Tres preguntas:

  1. ¿Algún sistema bajo su control almacena, procesa o transmite alguna vez un número de cuenta principal? Si la respuesta es sí, entra en el ámbito de aplicación del SAQ D completo. Si su base de datos del PMS tiene una columna llamada «card_number» en cualquier parte, incluso si está encriptada, la respuesta es sí. Si el personal de recepción introduce alguna vez un número de tarjeta en un sistema telefónico, la respuesta es sí. Si el número de tarjeta de un huésped aparece alguna vez en un CRM, en una exportación de folio, en un correo electrónico, en un fax o en un archivo en papel, la respuesta es sí.
  2. ¿El formulario de pago de su motor de reservas y su flujo de reservas están gestionados por un tercero validado por PCI-DSS? Si la respuesta es sí, el formulario en sí mismo queda fuera de su ámbito de aplicación. Si el proveedor de su motor de reservas genera un formulario en su propia infraestructura que se envía a su adquirente, esta es su función. La trampa de la norma PCI-DSS 4.0.1 es que la integridad de la página que aloja el iframe ahora entra en el ámbito de aplicación (la manipulación de scripts en la página principal puede filtrar campos del iframe secundario), por lo que se aplica el SAQ A-EP, y no el SAQ A, que es más sencillo.
  3. ¿Son los tokens (y no los números de tarjeta) lo único que almacena su PMS? Un token emitido por el PSP no es un dato del titular de la tarjeta; es una referencia que no significa nada fuera de la bóveda del PSP. Si su PMS, su sistema de folios, su CRM y su auditoría nocturna solo ven tokens, entonces nada en su entorno entra en el ámbito de aplicación de los controles de protección de datos.

El efecto práctico en la decisión entre preautorización y depósito es el siguiente: cualquier arquitectura de pago en 2026 que no incluya una bóveda de tokens está incorporando estructuralmente datos del titular de la tarjeta al entorno del hotel, lo que obliga a aplicar el ámbito de aplicación del SAQ D, lo que le cuesta al hotel más de 30 000 dólares al año que probablemente no había presupuestado. Esto es así independientemente de si el hotel utiliza preautorizaciones, depósitos o un sistema híbrido. La cuestión de «preautorización frente a depósito» es una elección independiente y superpuesta a la cuestión arquitectónica de «tokenizado frente a no tokenizado». Pero los hoteles que ya han adoptado un almacén de tokens tienen mucho más margen de maniobra en el modelo de preautorización (porque el coste operativo de mantener tokens es prácticamente nulo, mientras que el de mantener números de tarjetas es enorme y entra en el ámbito de la PCI), por lo que la decisión a menudo se resuelve por sí sola: una vez que el almacén de tokens está en funcionamiento, el modelo de preautorización es la opción obvia.

El comerciante de registro y la reducción del ámbito de aplicación

Otra opción arquitectónica que merece la pena comprender es el modelo de comerciante de registro (MoR). En el marco del MoR, una plataforma de terceros (un proveedor de pagos global con acuerdos comerciales en su jurisdicción) actúa como el comerciante legal en cada transacción; el hotel se convierte en un subcomerciante o en un participante del mercado. El MoR asume la relación con el adquirente, el riesgo de devoluciones, la responsabilidad normativa y, en esencia, todo el alcance de la normativa PCI. El hotel solo se hace responsable del flujo de reservas en sus propios establecimientos (la página web, la integración del motor de reservas) y, por lo demás, queda totalmente fuera de la ruta de los datos del titular de la tarjeta.

El MoR no es gratuito. El precio suele ser entre 30 y 80 puntos básicos más alto que la adquisición directa, lo que, sobre unos ingresos por habitaciones de 5,4 millones de dólares, supone entre 16 000 y 43 000 dólares al año en costes de pago adicionales. Para la mayoría de los independientes, eso es más de lo que habrían ahorrado con la adquisición directa, y la vía de la adquisición directa con un almacén de tokens es la mejor opción financiera. El MoR tiene sentido en casos concretos: hoteles que operan en múltiples jurisdicciones donde la adquisición local es difícil, hoteles con una aversión extrema al riesgo de devolución, u hoteles a muy pequeña escala donde el coste fijo del cumplimiento normativo es desproporcionado. La mayoría de los hoteles independientes de entre 60 y 200 habitaciones optarán por la «adquisición directa con un almacén de tokens y SAQ A-EP» como la solución más óptima en términos de costes.

El cálculo de las devoluciones: depósitos frente a preautorizaciones

La cifra más contraintuitiva de este análisis es que pasar de un modelo basado en depósitos a uno basado en preautorizaciones suele reducir las tasas de devolución, a menudo de forma sustancial. Los operadores esperan lo contrario porque las devoluciones parecen un problema de «tarjeta presente frente a tarjeta no presente», y las preautorizaciones parecen más «tarjeta no presente» que los depósitos cobrados en recepción. En realidad, la mecánica funciona al revés.

Por qué los depósitos atraen más devoluciones

Un depósito es una transacción liquidada. El dinero ha pasado de la cuenta del huésped a la del comerciante. Cualquier cosa que ocurra a partir de ese momento y que el huésped considere insatisfactoria se convierte en motivo potencial de disputa. Los códigos de motivo más comunes:

  • Visa 13.1 / Mastercard 4853, servicios no prestados según lo descrito o mercancía/servicios no recibidos: la categoría más importante en los hoteles. Provocada por estancias canceladas, ausencias en las que el huésped impugna la tasa por no presentarse, quejas sobre el tipo de habitación y problemas de calidad en el check-in. El cliente ya ha pagado; la disputa se centra en si el hotel se ha ganado ese dinero.
  • Visa 13.7 / Mastercard 4855, mercancías o servicios cancelados: concretamente cuando se ha tramitado una cancelación de alguna forma (verbal o por escrito) y no se ha reembolsado el depósito. Los hoteles pierden estas disputas con frecuencia porque el registro documental de la cancelación está incompleto o no se ha hecho por escrito.
  • Visa 11.1 / Mastercard 4837, disputas por «falta de autorización»: suelen surgir cuando se ha cobrado un depósito a través de un terminal con teclado en recepción sin una autorización real en tiempo real, y el emisor rechaza posteriormente la transacción liquidada. Menos común en 2026 con las normas EMV, pero sigue apareciendo en establecimientos que utilizan terminales más antiguos.
  • Visa 10.4 / Mastercard 4870, transacciones CNP fraudulentas: los depósitos cobrados sin una autenticación sólida del cliente (sin 3D Secure / sin SCA) están expuestos a disputas por fraude, algo que no ocurre con las preautorizaciones respaldadas por 3DS.

En la muestra de 41 establecimientos mencionada anteriormente, la distribución de los códigos de motivo de devolución para los establecimientos con un alto volumen de depósitos (los depósitos representan más del 50 % de los ingresos) fue aproximadamente la siguiente:

  • 13.1 / 4853 servicios no prestados: 47 %
  • 13,7 / 4855 servicios cancelados: 18 %
  • 11.1 / 4837: sin autorización: 9 %
  • 10.4 / 4870 CNP fraudulentas: 14 %
  • Otros (procesamiento duplicado, problemas técnicos, presentación tardía): 12 %

Los mismos códigos de motivo para establecimientos con un alto volumen de preautorizaciones (las preautorizaciones representan más del 50 % de los ingresos):

  • 13.1 / 4853 servicios no prestados: 23 % (y la mayoría de estos correspondían a gastos adicionales o cargos por no presentarse, no a la habitación en sí)
  • 13.7 / 4855 servicios cancelados: 4 %
  • 11.1 / 4837 sin autorización: 3 % (casi siempre una liquidación forzosa tras la expiración de una retención)
  • 10,4 / 4870 CNP fraudulentas: 6 %
  • Otros: 64 % (en su mayoría, procesamiento duplicado, artículos no recibidos en gastos adicionales y problemas técnicos)

La ratio total de devoluciones respecto a las transacciones para los establecimientos con gran volumen de depósitos de la muestra fue del 0,71 %. Para los establecimientos con un alto volumen de preautorizaciones, fue del 0,28 %. La diferencia es estructural: las preautorizaciones simplemente generan menos disputas porque la mayoría de los eventos que generan disputas en los hoteles (cancelaciones, ausencias, quejas sobre la calidad de la habitación) ocurren antes de que se haya producido cualquier liquidación, y una preautorización que aún no se ha capturado no puede ser objeto de disputa.

La diferencia en la tasa de éxito de las reclamaciones

Cuando se producen devoluciones, la tasa de éxito en la impugnación también es mayor en un modelo de preautorización. La razón es que una preautorización capturada al realizar el check-out es, por definición, una transacción en la que el titular de la tarjeta ya ha recibido el servicio; los códigos de motivo válidos se reducen y las pruebas del comerciante (tarjeta de registro firmada al hacer el check-in, liquidación al hacer el check-out, acuse de recibo) son mucho más sólidas.

La misma muestra de 41 establecimientos mostró:

  • Establecimientos con gran volumen de depósitos: tasa de éxito en la reclamación del 28 %
  • Establecimientos con predominio de la preautorización: tasa de éxito en la reclamación del 51 %
  • Establecimientos híbridos (el modelo 4 que comentamos): tasa de éxito en la reclamación del 44 %

Cabe señalar que el 100 % de los establecimientos de la muestra tenían tasas de éxito muy por debajo del umbral de las mejores prácticas del sector, situado entre el 60 % y el 70 %, lo que concuerda con el hecho de que casi ningún hotel independiente gestiona un flujo de trabajo de devoluciones con verdadera disciplina. El cambio operativo de mayor impacto al que pueden recurrir la mayoría de los independientes no es la disyuntiva entre preautorización y depósito, sino contar con cualquier tipo de proceso estructurado de respuesta a las devoluciones. La mayoría de los establecimientos responden a alrededor del 40 % de las devoluciones que reciben, y las que quedan sin respuesta suponen pérdidas automáticas para el comerciante, independientemente de su fundamento. El artículo «Devoluciones en hoteles: reducción del 60 %» describe ese flujo de trabajo en detalle; en el contexto de este artículo, lo relevante es que las cifras de las devoluciones indican que la preautorización es el mejor modelo incluso antes de optimizar el flujo de trabajo, y mejora aún más una vez que se hace.

El coste de las devoluciones, calculado correctamente

Los independientes subestiman sistemáticamente el coste total de una devolución porque el coste visible (la anulación de la transacción) es solo una parte. El coste real se compone de:

  • La anulación de la transacción: pérdida del importe total de la transacción, más la comisión de intercambio ya pagada (del 1,5 al 3,0 %), más la comisión por devolución (normalmente de 15 a 40 dólares, dependiendo del adquirente)
  • Exposición a la supervisión del adquirente: los índices de devoluciones superiores al 0,65 % (Visa) o al 1,0 % (Mastercard) someten al comerciante a programas de supervisión de devoluciones que conllevan importantes cuotas mensuales (entre 1 000 y 5 000 dólares) y un mayor control
  • Supervisión por fraude excesivo: programa independiente con umbrales específicos para el fraude (normalmente 0,9 % en Visa y 1,5 % en Mastercard) que añade comisiones adicionales
  • Reservas renovables: los adquirentes que experimenten un alto volumen de devoluciones de un comerciante mantendrán una reserva (normalmente del 5 al 15 % del volumen mensual) durante 6 a 12 meses como protección. En un establecimiento de 60 habitaciones con unos ingresos mensuales de 450 000 $, una reserva del 10 % supone 45 000 $ de capital circulante congelado hasta que se resuelva el periodo renovable
  • Tiempo operativo: una devolución de cargo a la que se responde adecuadamente requiere entre 90 y 180 minutos de tiempo acumulado del personal entre reservas, recepción y finanzas
  • Aumento de las tasas de los adquirentes: en el momento de la revisión de tarifas, una alta tasa de devoluciones añade entre 10 y 30 puntos básicos a la tasa combinada del comerciante, lo que, sobre unos ingresos de 5,4 millones de dólares, supone entre 5 000 y 16 000 dólares al año

El coste total de una devolución en el contexto hotelero, calculado correctamente, rara vez es inferior al valor de la transacción más entre 1,5 y 2,5 veces dicho valor. Una devolución de cargo por una estancia media de 620 dólares le cuesta al hotel aproximadamente entre 1.500 y 2.200 dólares una vez contabilizado todo, y la diferencia entre una tasa del 0,71 % y una del 0,28 % en 8.500 transacciones al año supone un ahorro en el resultado final de entre 58.000 y 86.000 dólares. Esa cifra es mucho mayor que el beneficio en capital circulante de un modelo de depósito, razón por la cual el cálculo de las devoluciones, si se hace correctamente, prevalece sobre el cálculo del capital circulante.

La matriz de decisión por segmento

Los cuatro modelos de fijación de precios, las normas de las redes de tarjetas, el alcance de la normativa PCI y el cálculo de las devoluciones sugieren que, para la mayoría de los independientes, la respuesta correcta es «preautorización en tarifas flexibles, depósito en tarifas de compra anticipada, con un fondo de garantía detrás de ambas». Pero «la mayoría de los independientes» no es lo suficientemente específico como para ser operativo. La decisión varía realmente según el segmento, y la matriz que figura a continuación sintetiza las recomendaciones del análisis acumulativo anterior en una visión por tipo de establecimiento.

Estancia urbana transitoria, con gran presencia de viajes de negocios

Establecimientos en los que los viajes de empresa representan más del 40 % de las pernoctaciones, la ocupación entre semana es considerablemente mayor que la del fin de semana, los precios medios por habitación suelen oscilar entre 180 y 340 dólares, y la duración media de la estancia es de 1,4 a 2,1 noches. Ejemplos: hoteles de negocios de Manhattan, establecimientos independientes del centro de Chicago, el centro de Fráncfort, bed and breakfasts de negocios del centro de Londres.

  • Recomendación: preautorización dominante en tarifas directas, preautorización flexible en OTA, liquidación en OTA prepagadas, facturación directa para cuentas corporativas contratadas.
  • Por qué: los viajeros de negocios son, en principio, tolerantes con los depósitos, pero este segmento es también el más sensible al precio en cuanto a la conversión; un depósito en una tarifa media diaria de 260 dólares entre semana es suficiente para que un responsable de reservas corporativo se decante por la competencia. El perfil de devoluciones también es menor en este segmento, lo que hace que la sensibilidad a la conversión sea el factor dominante.
  • A tener en cuenta: tarjetas corporativas con autorizaciones que caducan (las tarjetas corporativas suelen tener plazos de retención más cortos); huéspedes corporativos de larga estancia en los que la autorización original no puede cubrir el total final.

Estancias urbanas de paso, con predominio del ocio

Establecimientos en los que los viajes de ocio representan más del 60 % de las pernoctaciones, la ocupación de fin de semana es considerablemente superior a la de entre semana, los ADR suelen oscilar entre 200 y 420 dólares y la duración media de la estancia es de 2,4 a 3,6 noches. Ejemplos: la mayoría de los hoteles boutique en ciudades turísticas, hoteles de arte, establecimientos de estilo de vida en Miami, Barcelona y Lisboa.

  • Recomendación: preautorización en tarifas flexibles, depósito parcial (1 noche) en tarifas de compra anticipada, liquidación en OTA prepagadas.
  • Por qué: los viajeros de ocio son más propensos a cancelar que los de negocios, lo que inclina la balanza hacia retener algo de dinero real en las tarifas de compra anticipada. Pero la sensibilidad de conversión en la página de depósito del motor de reservas es tan alta en este segmento que cualquier depósito en una tarifa flexible supone un lastre significativo para la conversión.
  • A tener en cuenta: las reservas de fin de semana de grupos de amigos en las que se retiene una tarjeta para varios huéspedes y la liquidación final se divide (este es el problema de las «habitaciones compartidas» y supone un quebradero de cabeza operativo en sí mismo, independientemente de la opción de preautorización o depósito elegida).

Complejo turístico de ocio

Establecimientos en los que las estancias suelen ser de 4 a 12 noches, los ADR oscilan entre 300 y 900 dólares, la restauración representa entre el 35 % y el 55 % de los ingresos totales y el plazo de reserva es de más de 60 días. Ejemplos: complejos turísticos independientes de playa, establecimientos de montaña, retiros de bienestar.

  • Recomendación: depósito elevado en las tarifas directas (normalmente de 1 a 2 noches o del 25 al 30 %), preautorización del resto, liquidación completa en planes de compra anticipada o tarifas no reembolsables, y depósito al firmar para cualquier negocio de grupo.
  • Por qué: los plazos de reserva largos conllevan un riesgo real de cancelación; la sensibilidad del ADR es menor porque el huésped de un resort de ocio elige por la experiencia y no por el precio; y el beneficio de flujo de caja de los depósitos es mayor en este segmento porque el valor medio de la estancia es el más alto. El depósito también sirve como un verdadero mecanismo de compromiso que reduce las tasas de cancelación entre un 15 % y un 25 % en la muestra típica.
  • A tener en cuenta: los depósitos cobrados en tarjetas de crédito que caducan antes de la llegada (los plazos de reserva más largos hacen que esto sea un problema real); el rastro documental de las políticas de cancelación (estos son los depósitos más disputados en la muestra de devoluciones); y el flujo de contabilización de cargos de F&B durante la estancia, que se convierte en una vía de autorización independiente una vez capturado el depósito. La contabilización de cargos de F&B entre el TPV y el PMS cubre esa interacción en detalle.

Estancias prolongadas y alojamientos corporativos

Establecimientos en los que las estancias suelen ser de 7 a 60 noches, los ADR oscilan entre 120 y 240 dólares, y la clientela procede en gran medida de traslados, contratos por proyectos o negocios relacionados con seguros o huéspedes desplazados. Ejemplos: establecimientos independientes de estancia prolongada, operadores de alojamiento corporativo, proveedores de estancias prolongadas para seguros.

  • Recomendación: facturación directa semanal o actualización semanal de la preautorización; depósito solo cuando no se dispone de facturación corporativa.
  • Por qué: la cadencia natural de la facturación de estancias prolongadas se alinea con las autorizaciones semanales, lo que mantiene cada transacción dentro del plazo seguro de las tarjetas de débito y genera un registro documental mucho más claro que intentar preautorizar el total de una estancia de 30 días en el momento del check-in. La facturación directa con condiciones de pago a 15 o 30 días es el modelo predominante con las cuentas corporativas.
  • A tener en cuenta: estancias pagadas por el seguro en las que la garantía proviene de una tarjeta corporativa o de una entidad de facturación gubernamental; estas requieren flujos de trabajo con cartas de autorización explícitas que la recepción suele omitir.

Gran volumen de reservas de grupo

En los establecimientos donde el negocio de grupos supone más del 30 % de las pernoctaciones, las tarifas medias diarias (ADR) suelen tener un descuento del 15-30 % respecto a la tarifa de lista, y el plazo de reserva es de más de 90 días. Ejemplos: hoteles de conferencias, complejos turísticos con gran volumen de bodas, establecimientos orientados a equipos deportivos, hoteles independientes centrados en MICE.

  • Recomendación: condiciones por contrato; normalmente un depósito del 25-50 % en el momento de la firma, y el saldo pendiente en la fecha límite o a la salida, dependiendo del acuerdo de facturación principal.
  • Por qué: los grupos no son reservas puntuales; tienen sus propios contratos legales, cláusulas de desistimiento y condiciones comerciales que prevalecen sobre la lógica estándar de los planes de tarifas. El cálculo del depósito es bilateral: el hotel necesita el depósito para protegerse ante la posibilidad de que el grupo se retire, y el grupo necesita la protección frente a cancelaciones que ofrece el depósito. La distinción entre preautorización y depósito no se aplica realmente a nivel de pernoctaciones; se aplica a las cláusulas de los contratos individuales.
  • A tener en cuenta: fallos en la conciliación de la facturación principal (cargo por habitación frente a asignación del grupo principal); disputas por bajas que dan lugar a devoluciones cuando un grupo cancela parte de su bloque.

Los once puntos en los que esto falla silenciosamente

Incluso con la política adecuada, la arquitectura adecuada y la matriz adecuada segmento por segmento, los flujos de trabajo de pago en los hoteles independientes fallan en un pequeño número de puntos recurrentes. La lista que figura a continuación se ha extraído de la misma muestra de 41 establecimientos y representa los once puntos en los que, cuando algo sale mal con las preautorizaciones o los depósitos, casi siempre sale mal de esta manera.

  1. Nunca se configuró el indicador de alojamiento. El establecimiento creía que tenía retenciones de 30 días; en realidad, la pasarela estaba configurada para retenciones de 7 días. Se descubrió cuando la autorización de una estancia de 14 noches caducó el día 8 y la recepción no se percató del rechazo hasta la salida. Solución: solicitar por escrito al adquirente que confirme la configuración del indicador de alojamiento, realizar una prueba e inspeccionar el mensaje. Verificar anualmente.
  2. Las tarjetas de débito caducan las retenciones antes de tiempo y nadie las actualiza. El hotel no distingue entre crédito y débito en su calendario de reautorizaciones. Las retenciones de débito caducan a los 5 días; la reautorización se ejecuta a los 7. Solución: reautorizar todos los tipos de tarjetas cada 5 días o ejecutar un calendario de reautorizaciones específico para tarjetas de débito.
  3. Los gastos adicionales se añaden sin una autorización incremental. El PMS emite una nueva autorización para el cargo del minibar, lo que inicia un plazo independiente y aumenta la probabilidad de que un grupo de retenciones sea rechazado por «actividad inusual». Solución: autorizaciones incrementales sobre la autorización original, no nuevas autorizaciones. Esto requiere compatibilidad con el PMS; si su PMS no la tiene, tiene un problema estructural que hay que resolver, más que un simple ajuste operativo.
  4. Las autorizaciones se liberan antes de la liquidación. Algunos terminales «anulan» una autorización al hacer el check-out antes de la captura; la anulación libera la retención al instante, pero la captura aún tiene que liquidarse. Si algo sale mal, la retención desaparece y el riesgo de liquidación es real. Solución: capture primero y, a continuación, anule por separado cualquier exceso no utilizado. Compruebe el comportamiento real de su terminal.
  5. El registro de la cancelación es solo verbal. El huésped llama a recepción para cancelar; el agente lo procesa pero no envía una confirmación por escrito; el huésped impugna el cargo del depósito semanas más tarde; el hotel no puede presentar el registro de la cancelación. Solución: cada cancelación genera un correo electrónico de confirmación automático, independientemente del canal. Sin excepciones.
  6. Las tarjetas virtuales de las OTA no se validan realmente al hacer el check-in. Expedia o Booking.com envían una tarjeta virtual para una estancia prepagada; la recepción simplemente entrega las llaves al huésped sin comprobar la tarjeta virtual; al hacer el check-out, la tarjeta virtual es rechazada o tiene un límite diferente al esperado. Solución: valida la VCC al hacer el check-in mediante una autorización de 1 $ (importe cero) antes de dar por hecho que cubre la estancia.
  7. El flujo 3DS/SCA se omite para los huéspedes «VIP». La recepción acepta una tarjeta por teléfono sin solicitar la verificación 3DS porque el huésped es un cliente habitual. La autorización se completa; la responsabilidad por la devolución recae de nuevo en el comerciante. Solución: 3DS/SCA no es opcional para ninguna transacción CNP en 2026; la única forma adecuada de omitirlo es la autenticación delegada a través de un almacén de tokens.
  8. Los plazos de devolución del depósito superan la política de cancelación. El hotel procesa la devolución en un plazo de 24 horas según su propia política; la devolución tarda entre 5 y 10 días laborables en aparecer en el extracto del huésped. El huésped no ve nada, entra en pánico y solicita una devolución. Solución: indicar el plazo real de devolución (5-10 días laborables) en el correo electrónico de confirmación de la cancelación para que las expectativas se ajusten a la realidad.
  9. Varias tarjetas en una cuenta se solapan entre sí. La tarjeta del huésped A está en la habitación, el huésped B liquida los gastos adicionales por separado al hacer el check-out, el sistema reasigna los importes y la autorización del huésped A ya no cubre el nuevo saldo. Solución: lógica explícita de división de cuentas en el PMS que gestione las reservas con varios pagadores sin confundir el ciclo de vida de la autorización.
  10. El adquirente cambia las condiciones y nadie se da cuenta. Revisión de precios en la renovación del contrato, nuevas comisiones por supervisión de devoluciones, tasas de transición de MoR, todo ello oculto en las adendas. El coste efectivo de pago del hotel aumenta entre 18 y 35 puntos básicos sin que nadie lo controle. Solución: auditoría anual del coste de pago, línea por línea, comparando con el extracto real.
  11. El alcance de la PCI es implícitamente mayor de lo que el equipo cree. Números de tarjetas en correos electrónicos antiguos, en notas de atención al cliente, en una unidad compartida de «perfiles de huéspedes VIP», en sistemas de buzón de voz. Ninguno de ellos figura en el diagrama formal de flujo de datos, pero todos están dentro del alcance. Solución: análisis trimestral de detección de datos de titulares de tarjetas en correos electrónicos, recursos compartidos, sistemas de gestión de tickets y CRM. Todo lo que se encuentre se elimina y se corrige el proceso de origen.
A cel-shaded editorial illustration of an Asian hotel front-office supervisor reviewing the Prostay Pay active-authorizations dashboard on a wide monitor at the morning audit hour, with a clean table showing five rooms with masked card numbers, hold amounts, authorization age, days-until-re-auth, and pastel green Healthy or amber Refresh due status pills, plus a top-bar widget reading Re-auths completed today 14 of 14 with 0 declines 0 expiries 0 manual interventions, and a footer card reading PCI Scope SAQ A-EP Tokenized vault active, illustrating that the pre-auth model becomes operationally sustainable when re-authorizations happen automatically before issuer expiry windows.

Dónde Prostay Pay cierra el círculo

El modelo de preautorización es la respuesta adecuada para la mayoría de los independientes, pero solo si la carga operativa de gestionarlo es lo suficientemente baja como para que la recepción no vuelva silenciosamente a los depósitos. Tres decisiones arquitectónicas de Prostay Pay están diseñadas específicamente para eliminar esa carga.

La primera es que Prostay Pay tokeniza en la primera captura. El número de tarjeta nunca se almacena en ningún lugar del entorno del PMS de Prostay, ni en el folio, ni en los datos de la auditoría nocturna, ni en el CRM, ni en la integración de F&B. Lo que fluye a través del PMS es un token: una referencia estructurada que no significa nada fuera de la bóveda de Prostay Pay. Esto es lo que da al hotel la elegibilidad para el ámbito SAQ A-EP, y reduce el coste anual de cumplimiento de PCI del rango SAQ D de 30 000-80 000 $ al rango SAQ A-EP de 4000-14 000 $, lo que supone un ahorro anual de más de 25 000 $ que amortiza la plataforma varias veces.

El segundo es el flujo de trabajo de reautorización automática. Cada autorización activa en el sistema tiene un contador de antigüedad. Las autorizaciones de tarjetas de crédito están programadas para reautorizarse el día 25 (bastante dentro del plazo de 30 días de Visa Lodging, con un margen de 5 días). Las autorizaciones de tarjetas de débito están programadas para reautorizarse el día 4 (bastante dentro del patrón de caducidad más estricto de los emisores). Las reautorizaciones se producen automáticamente; la recepción solo ve una excepción cuando se rechaza una reautorización, que es el único caso que requiere intervención humana. Esto reduce la carga operativa de «la recepción tiene que pensar en las autorizaciones» a «la recepción gestiona el pequeño número de rechazos que importan», lo que marca la diferencia entre un modelo de preautorización viable y un modelo que el personal acaba abandonando silenciosamente.

El tercero es el flujo de trabajo de devoluciones. Cuando llega una notificación de devolución del adquirente, Prostay Pay la abre como un flujo de trabajo estructurado vinculado directamente al folio original. Adjuntos de forma predeterminada al caso de disputa: el recibo detallado original, la tarjeta de registro con la firma del huésped, los términos del plan de tarifas acordados en la reserva, la política de cancelación vigente en la fecha de la reserva, la conciliación de la auditoría nocturna que muestra la secuencia de autorizaciones capturada y cualquier autorización incremental contabilizada durante la estancia. El hotel responde dentro del plazo establecido por la red (normalmente de 7 a 14 días; incumplir el plazo supone una pérdida automática para el comerciante) revisando el paquete de pruebas preconfigurado, añadiendo cualquier nota específica del establecimiento y enviando la reclamación con un solo clic. Este es el flujo de trabajo que eleva las tasas de éxito en las reclamaciones del rango del 25-30 %, típico de los independientes, al rango del 55-65 %, típico de las cadenas bien gestionadas.

En conjunto, estos tres factores eliminan las razones operativas por las que los hoteles vuelven a recurrir a los depósitos. Los argumentos financieros a favor de la preautorización ya eran sólidos; los argumentos normativos a favor de la tokenización son abrumadores en el marco de la norma PCI-DSS 4; y los argumentos relacionados con las devoluciones favorecen la preautorización incluso antes de que se corrija el flujo de trabajo. Lo único que ha impedido históricamente a los hoteles independientes aplicar el modelo adecuado ha sido la fricción operativa. Eliminar esa fricción es lo que determina qué modelo es realmente viable en la práctica.

El manual de implementación de 30 días

Las recomendaciones de este artículo suponen un cambio significativo en la política de pagos, la tecnología y el flujo de trabajo. La mayoría de los hoteles independientes pueden llevar a cabo la migración en 30 días sin interrumpir las operaciones diarias, siguiendo el calendario que se indica a continuación.

Semana 1: análisis y decisión

  • Obtenga un informe de devoluciones de los últimos 90 días del adquirente; clasifique cada una por código de motivo y causa subyacente; calcule la tasa real de devoluciones.
  • Obtenga un registro de autorizaciones de 30 días de la pasarela; calcule el porcentaje de autorizaciones que se reautorizaron frente a las que se reemitieron y las que se dejaron caducar; clasifique como débito o crédito si los datos lo permiten.
  • Confirmar con el adquirente si se envía el calificador de alojamiento en cada autorización de Visa y si el indicador T&E está activado en cada autorización de Mastercard; obtener la respuesta por escrito.
  • Realice una transacción de prueba para verificar que el indicador está efectivamente activado en el mensaje de producción; revise el registro de la pasarela.
  • Decida la política segmento por segmento a partir de la matriz anterior; documéntela en una sola página que se mantenga junto al procedimiento operativo estándar (SOP) de la oficina de atención al público.

Semana 2: arquitectura y alcance de la PCI

  • Audite los flujos de datos de los titulares de tarjetas en el establecimiento: ¿dónde se captura, almacena, transmite o procesa un PAN? Trace cada ruta. Intente que la respuesta sea «en ningún sitio excepto en el formulario de pago validado por el PSP».
  • Ejecute un análisis de detección de datos de titulares de tarjetas en el correo electrónico, las unidades compartidas, la base de datos del PMS y cualquier sistema de copia de seguridad. Elimine todo lo que encuentre. Corrija el proceso de origen que lo generó.
  • Si el PMS admite un almacén de tokens y no lo está utilizando, actívelo. Si el PMS no admite la tokenización, programe una revisión con el proveedor para buscar un sucesor que sí lo haga; esto es ahora un obstáculo estructural para el cumplimiento de la norma PCI-DSS 4.
  • Actualice la autoevaluación SAQ para reflejar el alcance tras la tokenización (A o A-EP); confirme con su QSA o evaluador que el cambio arquitectónico permite la reducción del alcance.

Semana 3: política y proceso

  • Actualiza el texto de la política de cancelación en el motor de reservas, las OTA y el correo electrónico de confirmación para que el lenguaje sea coherente y el plazo de reembolso (5-10 días laborables) quede explícito.
  • Elabore el calendario de reautorización: crédito en el día 25, débito en el día 4, excepciones solo en caso de rechazo. Realice pruebas con un conjunto de reservas de muestra.
  • Elabora el flujo de trabajo de respuesta a las devoluciones: una lista de comprobación de las pruebas que hay que adjuntar, el plazo de respuesta de la red, el proceso de revisión y aprobación por parte del departamento financiero.
  • Formar al equipo de recepción sobre el nuevo flujo de trabajo: cuándo cobrar un depósito, cuándo realizar una preautorización, qué hacer cuando se rechaza una reautorización, qué hay que dejar por escrito en cada cancelación.

Semana 4: implementación y evaluación

  • Implemente la nueva política un plan de tarifas a la vez, comenzando por el plan flexible directo (el de menor riesgo si algo sale mal).
  • Supervise diariamente las tasas de caducidad de las autorizaciones durante las dos primeras semanas; el objetivo es cero caducidades involuntarias en estancias que no tuvieran programada una reautorización.
  • Supervise la tasa de conversión en el motor de reservas; espere un pequeño aumento en las tarifas flexibles al eliminarse el paso del depósito; esté atento a cualquier caída en las tarifas de compra anticipada a medida que se aclaren las condiciones del depósito.
  • Supervise el volumen de devoluciones; espere las primeras señales en un plazo de 30 a 60 días, cuando el primer grupo de estancias bajo la nueva política complete el plazo de reclamación.
  • A los 90 días, vuelva a consultar el informe de devoluciones y el registro de autorizaciones; compárelos con los datos de referencia; ajuste la política en cualquier segmento que no se haya comportado según lo esperado.

La mayoría de los hoteleros independientes que aplican este programa de 30 días llegan al mismo punto tras un trimestre: una tasa de devoluciones significativamente más baja, una mayor tasa de conversión del motor de reservas en tarifas flexibles, un ahorro de más de 25 000 dólares en cumplimiento de la normativa PCI y un equipo de recepción que ya no detesta el flujo de trabajo de pagos. El modelo de preautorización se vuelve autosuficiente en ese momento, ya que la fricción operativa que solía empujar a los hoteles a volver a los depósitos ya no existe.

Si desea analizar la decisión de política y las cuestiones de arquitectura para un tipo de propiedad específico, reserve una demostración de Prostay y aplicaremos la matriz a su combinación real de segmentos, su historial real de devoluciones y su alcance real de PCI. Las cifras de este artículo son medias de una muestra; la política adecuada para su propiedad es la que funciona para el negocio específico que usted gestiona. En 2026 existen las herramientas para hacer los cálculos en lugar de adivinar, y los hoteles que no las utilizan están dejando de lado el capital circulante, la conversión y los costes de cumplimiento.

Para lecturas relacionadas con los temas de pagos y finanzas que aborda este artículo: devoluciones de cargos en hoteles: reducción del 60 % en el flujo de trabajo de respuesta a disputas; cumplimiento de la norma PCI-DSS 4 para hoteles en cuanto a detalles arquitectónicos y de auditoría; y contabilización de cargos de restauración entre el TPV y el PMS sobre cómo el ciclo de vida de la autorización interactúa con la liquidación del restaurante durante la estancia.

FAQ

Preguntas frecuentes

  • ¿Cuál es la diferencia entre una preautorización y un depósito en un hotel?

    Una preautorización es una retención temporal del método de pago de un huésped. Reduce el crédito disponible (o el saldo disponible, en una tarjeta de débito) en la cantidad retenida, pero el dinero no cambia de manos hasta que el hotel capture la autorización a la salida. Si el hotel nunca la captura, la retención se cancela automáticamente cuando expira. Un depósito es un cargo real que mueve dinero de la cuenta del huésped a la cuenta de liquidación comercial del hotel de forma inmediata. El hotel puede reembolsar un depósito, pero el reembolso es una transacción independiente que tarda entre 3 y 10 días laborables en liquidarse, razón por la cual los depósitos crean una huella en la experiencia del huésped fundamentalmente diferente a la de los preautorizaciones, incluso cuando el importe en dólares es idéntico.

    El depósito es un cargo real que mueve el dinero de la cuenta del huésped a la cuenta de liquidación del comerciante del hotel de forma inmediata

  • ¿Cuánto dura realmente una retención de preautorización hotelera en 2026?

    La respuesta de libro de texto es 30 días, pero la respuesta honesta depende de tres cosas: la red de tarjetas, el código de categoría de comerciante (MCC) bajo el que funciona el hotel y el indicador de autorización que la entidad adquirente envía con el mensaje de autenticación. Para Visa, un comerciante con MCC 7011 (alojamiento) que incluya el calificador de transacción específico de alojamiento en la autenticación original puede retener hasta 30 días. Sin ese calificador, las retenciones son por defecto de 7 días. Las normas de alojamiento de Mastercard son similares en espíritu pero más complejas en la práctica (se requiere el calificador T&E, además de códigos de motivo específicos). Los emisores pueden cancelar las retenciones anticipadamente a su discreción, especialmente en las tarjetas de débito, donde algunos emisores cancelan las retenciones en tan sólo 5 días laborables, independientemente de la norma de la red. La suposición práctica de funcionamiento para cualquier hotel independiente es: nunca deje que un auth sea mayor de 5 días sin volver a autorizar, y nunca cuente con que una retención de 30 días realmente sobreviva 30 días.

  • ¿Una cámara acorazada con token reduce realmente mi ámbito de aplicación de PCI-DSS 4?

    Sí, materialmente, pero sólo si la arquitectura es la correcta. Un comerciante PCI-DSS 4 SAQ A-EP (que es el objetivo de la mayoría de los independientes) es un hotel que no almacena, procesa ni transmite datos de titulares de tarjetas en sus propios sistemas, pero sí controla la página en la que se introduce la tarjeta. Un almacén de tokens proporcionado por un procesador de pagos o una plataforma de registro de comerciantes elimina por completo el número de cuenta principal (PAN) de su entorno; su PMS sólo almacena un token reutilizable que no significa nada fuera del almacén. El resultado es aproximadamente la diferencia entre una autoevaluación SAQ D de 240 preguntas y una SAQ A o A-EP de 40 preguntas. La diferencia de coste de auditoría en una empresa independiente de 60 habitaciones suele ser de entre 4.000 y 12.000 dólares al año, más el coste indirecto de no tener que reforzar cada sistema que previamente haya tocado un PAN. La pega es que la página o terminal donde se captura la tarjeta sigue teniendo que cumplir una serie de requisitos más estrictos (supervisión de la integridad de las secuencias de comandos, políticas de seguridad de los contenidos, etc., nuevos en PCI-DSS 4.0), por lo que la reducción del alcance es real pero no es gratuita.

  • Si cambio de depósitos a preautorizaciones, ¿aumentará mi tasa de devoluciones?

    Normalmente se baja, a veces de forma significativa. El código de motivo de devolución de cargo más común en los hoteles independientes (Visa 13.1 / Mastercard 4853, servicios no prestados según lo descrito o cancelados) se plantea de forma abrumadora contra los depósitos, no contra la liquidación final de una estancia autorizada. La razón es mecánica: un depósito ya ha movido dinero, así que un huésped descontento que ha perdido la discusión con el hotel va a su banco y disputa el cargo que puede ver. Una preautorización que aún no se ha capturado no puede impugnarse porque en realidad no se ha liquidado ninguna transacción. Después de la captura en el momento de la salida, se producen disputas, pero el titular de la tarjeta ya ha recibido el servicio, lo que reduce drásticamente los códigos de motivo elegibles y mejora el porcentaje de reclamaciones ganadas por el hotel. Los hoteles que cambian de modelos con muchos depósitos a modelos con muchos prepagos suelen ver cómo los índices de devolución de cargos descienden del 0,6 al 0,9% de las transacciones al 0,2 ó 0,4%, y el mayor descenso se produce en los bloques de grupos y en las reservas prepagadas de las OTA

  • ¿Qué hace Prostay Pay que no haga un terminal de pago genérico?

    Tres cosas importan, y se trata de evitar los modos de fallo documentados en este artículo. En primer lugar, Prostay Pay tokeniza en la captura y no almacena nada reconocible como un número de tarjeta en ninguna parte del PMS, que es la arquitectura que le da la reducción del alcance SAQ A-EP. En segundo lugar, la plataforma vigila la antigüedad de cada autorización activa y la reautoriza automáticamente antes del umbral de caducidad específico del emisor (normalmente el quinto día para las tarjetas de débito y el vigésimo quinto para las de crédito), de modo que la recepción nunca tiene que perseguir a un huésped a mitad de estancia porque su retención ha caducado. En tercer lugar, cuando se produce una devolución de cargo, Prostay Pay la abre como un flujo de trabajo vinculado al expediente original, con el recibo original desglosado, la conciliación de la auditoría nocturna, el contrato de bloque de habitación, si procede, y la tarjeta de registro, todo ello preadjunto, que es el paquete de pruebas que determina los resultados de la reclamación. Juntos, estos tres elementos eliminan la carga operativa de realizar preautorizaciones a gran escala, que es la verdadera razón por la que la mayoría de los independientes vuelven silenciosamente a los depósitos, incluso cuando las matemáticas de devolución de cargos dicen que no deberían hacerlo

Sigue leyendo

Prueba Prostay

Gestiona tu hotel en la plataforma sobre la que escribimos.

Importa los datos y los flujos de tu equipo. Te mostraremos una configuración Prostay equivalente sobre tus últimos 30 días.

Solicitar una demoExplorar el PMS

Sobre este artículo

Categoría: Payments and Finance. Publicado el 1 jun 2026 por Mika Takahashi.