Prostay
Prenota una dimostrazione
Hotel Operations Optimization

Conformità PCI DSS 4.0 per gli hotel: Una guida di sopravvivenza onesta per il 2026

PCI DSS 4.0.1 è l'unica versione attualmente attiva dello standard dal 31 dicembre 2024, e i 51 requisiti futuri sono diventati obbligatori il 31 marzo 2025 senza alcun periodo di grazia. Le multe variano da 5.000 a 100.000 dollari al mese, mentre il costo per ottenere il giusto risultato con il percorso SAQ A si avvicina a 1.500 dollari all'anno, e la differenza tra questi due numeri è il punto centrale. Questa è la lettura onesta di cosa significa PCI DSS 4.0 per un hotel indipendente da 30 a 150 camere nel 2026, per quale SAQ siete effettivamente qualificati, i dieci nuovi requisiti che gli hotel falliscono più spesso, i sette luoghi in cui si nascondono i dati delle carte di credito nel vostro hotel, i veri parametri di riferimento per i costi e un piano di 90 giorni che una persona con una mentalità operativa può gestire senza un QSA a carico.

Mika Takahashi
Mika TakahashiTeam editoriale

Pubblicato 23 mag 2026

22 min di lettura

A cel-shaded editorial illustration of a top-down flat-lay scene on a wooden conference table inside a hotel back office, with an unrolled architectural site plan of a 60-room boutique hotel marked up with colored tape and paper flags showing a green Out of Scope zone over the guest rooms, a red Cardholder Data Environment zone tracing the path from the reception desk to a small Tokenization Processor icon at the edge, and a blue Service Provider zone outside the building, alongside reading glasses, a felt-tip marker, a notebook open to a page titled PCI DSS 4.0 Scope, and a clipboard checklist, illustrating the scope-confirmation exercise that defines whether an independent hotel can file SAQ A or must default to SAQ D.

I numeri che contano

Se gestite un hotel indipendente, ecco qual è la situazione alla data di pubblicazione di questo articolo. Lo standard PCI DSS v4.0 è diventato obbligatorio il 31 marzo 2024, quando la versione v3.2.1 è stata ritirata dal PCI Security Standards Council. Lo standard PCI DSS v4.0 è stato a sua volta ritirato il 31 dicembre 2024 e sostituito dalla versione v4.0.1, che è l'. unica versione dello standard attualmente in vigore. E il 31 marzo 2025, i 51 requisiti che erano stati classificati come "best practice con data futura" sono diventati obbligatori senza alcun periodo di tolleranza. Se la tua ultima autovalutazione è stata effettuata in base a una versione precedente, o in base alla v4.0 con i requisiti con data futura contrassegnati come "Non applicabile", al momento della stesura di questo articolo non sei conforme.

La maggior parte degli albergatori indipendenti con cui parlo non ne è a conoscenza. Quelli che lo sanno tendono ad averne una visione confusa che permette loro di continuare a rimandare. Sanno che "è successo qualcosa con il PCI nel 2025". Non sono sicuri se questo si applichi a loro. Sospettano che se ne occupi il loro gestore dei pagamenti. Si sbagliano su tutti e tre i punti.

Il meccanismo è semplice. I circuiti delle carte (Visa, Mastercard, American Express, Discover, JCB) fanno della conformità una condizione contrattuale per l'. accettazione delle loro carte. La vostra banca acquirente vi trasferisce tale contratto. Se non siete conformi e il vostro acquirente se ne accorge, la banca può addebitarvi penali per la non conformità che partono da 5.000 dollari al mese per i primi tre mesi, salgono a 25.000-50.000 dollari al mese dal quarto al sesto mese e raggiungono i 50.000-100.000 dollari al mese dal settimo mese in poi, secondo i prospetti pubblicati raccolti dalle azioni di applicazione della legge intraprese dagli acquirenti nel 2024 e nel 2025. Se non sei conforme e subisci anche una violazione dei dati, le sanzioni per la compromissione dei dati dell’account (Account Data Compromise) solo da parte di Visa partono da 50.000 dollari per incidente per un commerciante non conforme e arrivano fino a 500.000 dollari, con valutazioni parallele da parte di Mastercard. Nessuna di queste cifre è teorica. L'. accordo sulla violazione di Marriott e Starwood finalizzato dalla Commissione Federale per il Commercio degli Stati Uniti il 20 dicembre 2024 includeva un accordo parallelo da 52 milioni di dollari con 49 procuratori generali statali, e la relativa multa GDPR di 18,4 milioni di sterline inflitta dall'. Information Commissioner'. s Office del Regno Unito nel 2020 ha portato il danno cumulativo di quella violazione a cifre a nove zeri, al netto dei costi legali e di rimedio.

Questo è il lato negativo. Il lato positivo è che per un hotel indipendente medio da 30 a 150 camere che utilizza un processore di pagamento con tokenizzazione, diventare e rimanere conforme costa da 1.500 a 3.000 dollari all'. anno, richiede a una persona circa 90 giorni per mettersi in regola la prima volta e non richiede alcun QSA, nessun onorario di consulenza e nessuna piattaforma di sicurezza aziendale. La differenza tra 1.500 dollari all'. anno e una multa mensile a cinque cifre è, come potete immaginare, il punto centrale di questo articolo.

Questa è la lettura onesta del PCI DSS 4.0 per gli hotel indipendenti nel 2026. Le quattro bugie che gli albergatori raccontano a se stessi al riguardo, come scegliere il questionario di autovalutazione giusto (che è la decisione più importante che prenderete), i dieci nuovi requisiti che gli hotel non soddisfano più spesso, i sette posti in cui i dati delle carte si nascondono nel vostro hotel e di cui vi siete dimenticati, le fasce di costo reali con le fonti e un piano di 90 giorni che una persona con una mentalità operativa può gestire senza aiuto esterno.

Cosa è cambiato e perché non avete rispettato la scadenza

Il motivo per cui gli operatori alberghieri hanno mancato la scadenza del PCI DSS 4.0 non è la pigrizia. È che il PCI Security Standards Council ha comunicato male la transizione e la stampa specializzata nel settore dell'. ospitalità l'. ha trattata ancora peggio. Ecco la sequenza effettiva, così potrete smettere di essere confusi su quale versione dovreste utilizzare.

Il PCI DSS v3.2.1 è stato pubblicato nel maggio 2018 ed è rimasto la versione attiva dello standard per quasi sei anni. La maggior parte degli SAQ degli hotel presentati tra il 2018 e il 2024 faceva riferimento alla v3.2.1. Il PCI DSS v4.0 è stato pubblicato il 31 marzo 2022 con un periodo di sovrapposizione di due anni durante il quale erano attive sia la v3.2.1 che la v4.0. La v3.2.1 è stata ritirata il 31 marzo 2024. Da quella data in poi, qualsiasi valutazione PCI DSS doveva essere condotta in base alla v4.0.

La v4.0 ha introdotto 64 nuovi requisiti. 13 di essi sono entrati in vigore immediatamente dopo la pubblicazione. Gli altri 51 sono stati designati come "migliori pratiche con data futura" con un periodo di transizione di tre anni. Gli hotel e i loro valutatori potevano contrassegnare i 51 requisiti con data futura come "Non applicabili" nelle valutazioni effettuate tra il 31 marzo 2022 e il 31 marzo 2025, con una nota documentata che indicava che sarebbero stati affrontati entro la scadenza. La maggior parte degli hotel ha fatto esattamente questo, per poi dimenticarsene.

Nel giugno 2024, il PCI SSC ha pubblicato la v4.0.1, che è una revisione limitata della v4.0 con correzioni di formattazione, note di applicabilità chiarite e nessun requisito aggiunto o rimosso. La v4.0 è stata ritirata il 31 dicembre 2024 e la v4.0.1 è diventata l'. unica versione attualmente attiva. La scadenza del 31 marzo 2025 per i 51 requisiti con data futura è rimasta invariata con la revisione v4.0.1 e il PCI SSC è stato esplicito su questo punto nelle FAQ pubblicate.

Tale scadenza è trascorsa. A partire dal 1° aprile 2025, i 51 requisiti precedentemente a data futura sono obbligatori e devono essere convalidati con prove durante ogni valutazione PCI DSS. Non è previsto alcun periodo di tolleranza, non sono accettate misure di mitigazione temporanee e i Valutatori di Sicurezza Qualificati sono stati istruiti a verificare non solo che i controlli siano implementati, ma che fossero operativi prima della scadenza piuttosto che messi in atto in fretta nella settimana precedente. Se l'. ultimo SAQ del vostro hotel ha contrassegnato quei 51 requisiti come "Non applicabile", siete fuori conformità dal momento in cui lo avete presentato.

Le quattro aree di controllo che assorbono più tempo agli operatori e che vengono più spesso trascurate sono documentate più avanti. Ma il riassunto più utile che posso darvi qui è questo: se non avete aperto il vostro ultimo SAQ negli ultimi 12 mesi, quasi certamente dovete presentarne uno nuovo. Se il vostro ultimo SAQ era un SAQ A, le regole su ciò che si qualifica per l'. SAQ A sono diventate più rigide (ne parleremo più avanti). E se il vostro hotel invia ancora via e-mail i dati delle carte di credito virtuali in chiaro, avete violato il requisito 4.2.1 dal giorno in cui avete aperto il vostro motore di prenotazione. Nessuna di queste è un'. affermazione speculativa. Si tratta del testo pubblicato e attuale dello standard PCI DSS v4.0.1.

Le quattro bugie PCI che gli hotel raccontano a se stessi

Prima delle indicazioni pratiche, ecco le quattro autoillusioni che sento in quasi ogni conversazione sul PCI con un albergatore indipendente. Nessuna di queste è stupida. Erano tutte interpretazioni ragionevoli del PCI DSS v3.2.1 e della cultura di applicazione più permissiva del periodo 2018-2023. Non sono più vere con la versione v4.0.1 e l'. applicazione a partire dal 2025.

1. "Il nostro gestore dei pagamenti si occupa della conformità per noi"

Il vostro gestore dei pagamenti si occupa della propria conformità PCI. Non si occupa della vostra. Il PCI DSS traccia una netta linea di demarcazione legale tra un fornitore di servizi di terze parti (TPSP), come il vostro acquirente, il vostro gateway o il vostro gestore di tokenizzazione, e voi, il commerciante. Il TPSP è responsabile dei dati dei titolari di carta che transitano attraverso il suo ambiente e della compilazione del proprio SAQ D per i fornitori di servizi. Voi, in quanto commercianti, siete responsabili dei dati dei titolari di carta che transitano nel vostro ambiente, delle integrazioni che gestite e della compilazione del vostro SAQ. Le due responsabilità non si sovrappongono e non esiste una versione di "il nostro gestore se ne occupa" che sia contrattualmente vera. Ciò che il tuo processore può fare è venderti un'. architettura in cui il suo ambiente assorbe la maggior parte dell'. ambito dei dati dei titolari di carte, il che ti consente poi di compilare un SAQ molto più breve. Questo è il valore effettivo dell'. utilizzo di un processore di tokenizzazione, ed è un valore reale, ma non equivale a esternalizzare la tua conformità.

2. "Abbiamo i requisiti per l'. SAQ A perché il nostro motore di prenotazione è ospitato"

L'. SAQ A è il più leggero degli otto tipi di SAQ e si applica ai commercianti che hanno completamente esternalizzato l'. archiviazione, l'. elaborazione e la trasmissione dei dati dei titolari di carte a una terza parte conforme allo standard PCI DSS, senza archiviazione o trasmissione elettronica sui sistemi del commerciante stesso. I commercianti SAQ A possono conservare i dati dei titolari di carte solo su carta (rapporti stampati, ricevute) e questi documenti cartacei non possono essere ricevuti elettronicamente. Per quanto riguarda specificamente un canale di e-commerce, ogni elemento della pagina di pagamento inviata al browser del cliente deve provenire esclusivamente e direttamente da un fornitore di servizi di terze parti conforme allo standard PCI DSS. Questo è il testo letterale dei criteri di idoneità della SAQ A v4.0.1.

Il PCI SSC ha ulteriormente inasprito i criteri di idoneità SAQ A nel gennaio 2025 con un nuovo requisito di attestazione che il sito di e-commerce del commerciante non sia suscettibile ad attacchi basati su script. In pratica, ciò significa che anche gli hotel che utilizzano un motore di prenotazione completamente ospitato con pagamento basato su iframe non possono più ignorare i Requisiti 6.4.3 e 11.6.1 se il resto del loro sito di prenotazione carica script di terze parti che potrebbero in linea di principio influenzare la pagina di pagamento. La maggior parte dei siti di hotel indipendenti carica tali script (strumenti di analisi, widget di chat, pixel di marketing, widget di recensioni), quindi il percorso SAQ A è più ristretto di quanto sembri. Torneremo su questo argomento nella sezione dedicata alla selezione SAQ.

3. "Siamo troppo piccoli per essere un bersaglio"

Il rapporto Verizon Data Breach Investigations Report del 2024 classifica il settore alberghiero tra i primi cinque settori più colpiti da violazioni di dati su base organizzativa, e la vittima mediana non è una catena. Gli aggressori preferiscono i piccoli hotel indipendenti per un semplice motivo economico: il rendimento per incidente (circa 12.000 numeri di carta all'. anno per un hotel da 60 camere con un tasso di occupazione del 75%) è sufficiente a giustificare lo sforzo, mentre la postura difensiva è in genere indietro di un decennio rispetto a quella che un team di sicurezza aziendale metterebbe in atto. Gli aggressori sanno anche che l'. hotel indipendente medio non rileverà un attacco di skimming alla pagina di pagamento in stile Magecart per mesi. Il tempo medio di permanenza nelle violazioni nel settore alberghiero investigate da Verizon è di oltre 200 giorni. La combinazione di "lunga permanenza, rilevamento debole, alto rendimento delle carte per dipendente" è esattamente il motivo per cui gli hotel sono presi di mira.

4. "Non abbiamo mai subito violazioni, quindi dovremmo essere al sicuro"

Questo è il più facile da smontare: il tempo medio di permanenza per una violazione delle carte di pagamento nel settore alberghiero è, ancora una volta, superiore a 200 giorni. L'. assenza di una violazione nota non è prova di sicurezza. è la prova che non si sa se si è stati violati, il che è un'. affermazione molto diversa. La maggior parte degli hotel che hanno subito una violazione ne sono venuti a conoscenza dalla propria banca acquirente, che a sua volta ne è venuta a conoscenza tramite un'. analisi del Common Point of Purchase dopo che era stata segnalata una frode sulle carte utilizzate presso l'. hotel. A quel punto il tempo di permanenza è in genere compreso tra nove e dodici mesi e la violazione è rimasta silenziosamente attiva per tutto quel periodo. Il requisito 10.4.1.1 dello standard PCI DSS 4.0.1 è stato aggiunto specificamente per portare la revisione automatizzata dei log in primo piano nella catena di rilevamento, in modo che gli hotel possano smettere di venire a conoscenza delle proprie violazioni tramite la propria banca.

Scegliete correttamente il vostro SAQ (è la chiave di tutto)

La decisione più importante nel tuo programma PCI è quale SAQ compilare. La scelta sbagliata ti costa, nel peggiore dei casi: una valutazione fallita (che rende il tuo hotel non conforme da un giorno all'. altro), decine di migliaia di dollari all'. anno in costi di conformità inutili e una superficie di attacco molto più ampia per una violazione effettiva. La scelta giusta è solitamente ovvia una volta mappato il flusso dei dati delle carte, cosa che la maggior parte degli hotel non ha mai fatto.

Gli otto tipi di SAQ nella versione 4.0.1, con il numero di domande e lo scenario tipico di un hotel a cui ciascuno di essi si riferisce:

  • SAQ A (circa 30 domande): E-commerce puro con tutti i dati delle carte completamente esternalizzati a un TPSP certificato PCI DSS. Nessuna archiviazione, elaborazione o trasmissione elettronica sui sistemi dell'. hotel. Il motore di prenotazione, la pagina di pagamento e la tokenizzazione funzionano tutti sull'. infrastruttura del processore. L'. hotel vede solo un riferimento al token. La maggior parte degli hotel boutique indipendenti che utilizzano Stripe, Adyen, Mews Payments, Cloudbeds Payments o Prostay Pay con un checkout basato su iframe rientrano in questa categoria, a condizione che soddisfino anche la nuova attestazione del gennaio 2025 secondo cui il sito non è suscettibile ad attacchi basati su script.
  • SAQ A-EP (circa 190 domande): e-commerce parzialmente esternalizzato. Il sito web del commerciante influisce sulla sicurezza della transazione di pagamento (ad esempio, un flusso di reindirizzamento e ritorno in cui la pagina dell'. hotel passa il browser al processore e lo riceve indietro), ma il commerciante non memorizza, elabora o trasmette elettronicamente i dati del titolare della carta. È qui che si trova oggi la maggior parte degli hotel, anche se pensano di rientrare nella categoria SAQ A.
  • SAQ B (circa 40 domande): solo terminali autonomi con connessione in uscita, nessuna archiviazione elettronica dei dati dei titolari di carta. Di fatto obsoleto nel 2026.
  • SAQ B-IP (circa 80 domande): terminali autonomi approvati per la sicurezza delle transazioni con PIN con connettività IP, nessuna archiviazione elettronica dei dati dei titolari di carta. Questo è il SAQ giusto per un hotel che accetta la maggior parte dei pagamenti tramite un terminale EMV da banco fisso che si collega direttamente al processore e non si integra mai con il PMS.
  • SAQ C (circa 160 domande): sistemi di applicazione dei pagamenti connessi a Internet, senza archiviazione elettronica dei dati dei titolari di carte. Alcune implementazioni POS alberghiere rientrano in questa categoria.
  • SAQ C-VT (circa 80 domande): inserimento manuale di singole transazioni tramite un terminale virtuale fornito da un TPSP. Questo si adatta a un piccolo hotel in cui la reception digita i numeri delle carte in un terminale web ospitato uno alla volta, senza altra presenza elettronica di CHD.
  • SAQ D (Commerciante) (circa 330 domande): tutto il resto. Qualsiasi archiviazione elettronica dei dati dei titolari di carte sui sistemi dell'. hotel ti colloca automaticamente in questa categoria.
  • SAQ D (Fornitore di servizi) (circa 330 domande): Per i fornitori di servizi. Non si applica agli hotel che agiscono come commercianti.

Per un tipico hotel indipendente da 60 camere nel 2026 con un motore di prenotazione ospitato, un terminale EMV alla reception e nessun dato della carta memorizzato nel PMS, il SAQ corretto è SAQ A o SAQ B-IP a seconda del canale di pagamento che si considera primario. L'. SAQ sbagliato per quell'. hotel è l'. SAQ D, che la maggior parte dei contabili sceglierà istintivamente perché presume che il questionario più lungo sia "più sicuro". L'. SAQ D non è più sicuro. Applica una serie di requisiti molto più ampia che non è effettivamente possibile soddisfare senza un'. infrastruttura aziendale, e i valutatori sono ora addestrati a bocciare gli esercenti che si autoselezionano nell'. SAQ D senza avere una ragione documentata.

La cosa più importante che potete fare nei prossimi 30 giorni è mappare su carta il flusso dei dati delle carte, identificare l'. SAQ effettivamente applicabile e documentare il motivo per cui lo è. Se tale esercizio di mappatura rivela che un qualsiasi sistema alberghiero memorizza, elabora o trasmette elettronicamente i dati dei titolari di carte (cosa che quasi certamente fa, ne parleremo più approfonditamente nella sezione "I dati delle carte si nascondono nel vostro hotel"), il vostro vero compito prima di presentare un SAQ è quello di risolvere la questione, non di presentare un SAQ D e convivere con una superficie di rischio maggiore.

I dieci nuovi requisiti che gli hotel non rispettano più spesso

I 51 requisiti con data futura che sono diventati obbligatori il 31 marzo 2025 coprono l'. intero standard di 12 requisiti. Negli incarichi che ho visto presso hotel indipendenti nel 2025 e nel 2026, dieci requisiti assorbono circa l'. 80% del lavoro di adeguamento. Eccoli nell'. ordine in cui li affronterò, con il testo effettivo del controllo v4.0.1 sintetizzato in un inglese semplice e la tipica modalità di non conformità degli hotel per ciascuno di essi.

Requisito 4.2.1: porre fine al problema delle e-mail con VCC in chiaro

Il requisito 4.2.1 stabilisce che i numeri di conto primari devono essere trasmessi solo su reti pubbliche aperte utilizzando una crittografia forte. Le "reti pubbliche aperte" includono Internet pubblico, che comprende tutti i server di posta elettronica al di fuori del vostro ambiente tokenizzato. Gli hotel ricevono abitualmente i dati delle carte di credito virtuali (VCC) dalle OTA e dai tour operator tramite e-mail in chiaro. Si tratta di una violazione sin dalla versione 1.0 dello standard PCI DSS del 2004. È ancora una violazione ai sensi della versione 4.0.1. L'. indagine di settore di Antravia pubblicata nel 2026 ha rilevato che quasi un hotel su tre riceve ancora almeno alcuni dati VCC tramite e-mail in chiaro e lo considera normale. Non lo è. Risolvi questo problema richiedendo che tutte le VCC vengano inviate tramite l'. extranet sicura dell'. OTA, un'. integrazione API o una soluzione di casella di posta tokenizzata. I circuiti di carte stanno controllando sempre più spesso questo aspetto direttamente tramite l'. OTA, quindi se il tuo acquirente non l'. ha ancora segnalato, il tuo fornitore lo farà quasi certamente.

Requisiti 6.4.3 e 11.6.1: bloccare gli script della pagina di pagamento

Questi due requisiti sono il titolo della versione 4.0.1 per l'. e-commerce e si applicano a ogni sito web di hotel che accetta pagamenti. Il requisito 6.4.3 è preventivo: ogni script caricato ed eseguito nel browser del cliente su una pagina di pagamento deve essere autorizzato, la sua integrità deve essere verificata e deve figurare in un inventario con una giustificazione tecnica o commerciale documentata. Il requisito 11.6.1 è di tipo "detective": deve essere implementato un meccanismo di rilevamento delle modifiche e delle manomissioni che avvisi il personale entro sette giorni se gli header HTTP che incidono sulla sicurezza o i contenuti degli script della pagina di pagamento cambiano rispetto a quanto ricevuto dal browser del consumatore.

La tipica modalità di errore degli hotel è che la pagina di prenotazione viene caricata con da otto a quindici script di terze parti (analisi, chat, retargeting, recensioni, framework di test A/B, mappa di calore, gestore del consenso, pixel social) e l'. hotel non dispone né di un inventario né di un meccanismo di rilevamento delle manomissioni. La soluzione è concreta: ridurre al minimo l'. elenco degli script di terze parti, documentare la giustificazione di ogni script rimanente e implementare uno strumento di rilevamento delle modifiche lato server come Visualping, Feroot o PCI Pal, oppure un prodotto di gestione degli script lato client come Source Defense. Le intestazioni Content Security Policy e gli hash Subresource Integrity fanno parte della risposta giusta, ma la guida del PCI SSC è esplicita nel dire che non sono sufficienti da sole. è necessario anche il monitoraggio.

Requisito 12.5.2: confermare annualmente l'. ambito PCI

Il requisito 12.5.2 impone un esercizio annuale per confermare l'. ambito PCI e i componenti in esso contenuti (fornitori di servizi ogni 6 mesi). L'. esercizio deve identificare tutti i flussi di dati dei titolari di carte, tutti i sistemi che memorizzano, elaborano o trasmettono tali dati e qualsiasi sistema collegato o che potrebbe influire sulla sicurezza degli stessi. Il DBIR di Verizon ha ripetutamente affermato che il 34% delle violazioni negli hotel ha origine da dati delle carte trovati in luoghi inaspettati. L'. esercizio di conferma dell'. ambito è il meccanismo che individua tali luoghi inaspettati prima che lo faccia un aggressore.

Requisiti 8.3.6 e 8.4.2: MFA per tutti gli accessi al CDE

Nella versione 4.0.1, l'. autenticazione a più fattori è richiesta per tutti gli accessi non da console all'. ambiente dei dati dei titolari di carte, compreso l'. accesso amministrativo da parte del personale dell'. hotel e dei fornitori di servizi di terze parti. Ciò va oltre la linea di base della versione 3.2.1 (che richiedeva l'. autenticazione a più fattori solo per l'. accesso amministrativo remoto dall'. esterno della rete) ed è il requisito che stravolge maggiormente le abitudini degli amministratori degli hotel. La soluzione consiste nell'. implementare l'. autenticazione a più fattori resistente al phishing (almeno TOTP, chiavi hardware FIDO2 per gli account amministrativi) su ogni account PMS, ogni accesso al gateway di pagamento, ogni accesso amministrativo al router e ogni account di back-office cloud che entra in contatto con il CDE.

Requisito 11.4.7: scansioni interne delle vulnerabilità autenticate

Le scansioni interne delle vulnerabilità devono ora essere eseguite utilizzando credenziali che consentano l'. accesso autenticato. Una scansione anonima della rete non è più sufficiente. L'. impatto pratico è che è necessario eseguire personalmente uno scanner interno con credenziali autenticate (la maggior parte degli hotel non è in grado di farlo) oppure assumere un partner QSA per eseguire una scansione con credenziali ogni trimestre. Se non si dispone di capacità interne, è necessario prevedere un budget aggiuntivo compreso tra 500 e 2.000 dollari all'. anno per questo scopo.

Requisito 12.6.3.1: formazione mirata sulla consapevolezza della sicurezza

La formazione sulla sicurezza deve ora coprire le minacce e le vulnerabilità che potrebbero influire sulla sicurezza dell'. ambiente dei dati dei titolari di carte, con contenuti specifici per le tecnologie e i ruoli in questione. Un video generico di "phishing 101" non soddisfa questo requisito. Sono necessari contenuti specifici per ruolo: un modulo diverso per il personale di front office (incentrato sul social engineering, la gestione dei dati delle carte e il problema del VCC in chiaro), un modulo diverso per il back office (incentrato sul controllo degli accessi al PMS e sul problema dell'. archivio fax) e un modulo diverso per l'. IT o chiunque amministri il motore di prenotazione. Documentare la consegna e il completamento annualmente.

Requisiti 3.3.2 e 3.5.1.1: hash crittografici con chiave per PAN

Se si memorizzano dati PAN in qualsiasi forma elettronica (si prega di non farlo), gli hash unidirezionali non sono più sufficienti a rendere il PAN illeggibile. È necessario utilizzare un hash crittografico con chiave con processi di gestione delle chiavi associati, come da Requisiti 3.6 e 3.7. In pratica, questo non si applica quasi mai a un hotel che utilizza un processore di tokenizzazione, poiché l'. hotel non dovrebbe avere un PAN da sottoporre a hash. La soluzione più pulita è quella di eliminare completamente il PAN dal proprio ambiente, il che lo colloca nell'. ambito di applicazione di SAQ A o SAQ B-IP ed esclude i Requisiti 3.3.2 e 3.5.1.1 insieme alla maggior parte del resto del Requisito 3.

Requisiti 6.3.2 e 6.3.3: inventario dei software su misura e personalizzati più applicazione delle patch

Tutto il software su misura e personalizzato deve essere inventariato e aggiornato. Per la maggior parte degli hotel questo fa emergere una responsabilità inaspettata: il sito WordPress, Squarespace o di marketing personalizzato che l'. agenzia di marketing ha realizzato nel 2018, non è stato aggiornato dal 2021 e carica script nel flusso di prenotazione. La cadenza delle patch nella versione 4.0.1 è tornata alla formulazione della versione 3.2.1: le vulnerabilità critiche devono essere corrette entro 30 giorni. La soluzione consiste nel mantenere un inventario del software (un foglio di calcolo va bene per un indipendente), assegnare un responsabile per ogni componente e applicare le patch secondo il programma o ritirare il componente.

Requisito 10.4.1.1: revisione automatizzata dei log

La revisione manuale dei log non è più accettabile per i requisiti di revisione giornaliera della v4.0.1. È necessario un meccanismo automatizzato che acquisisca i log dall'. ambiente dei dati dei titolari di carte e segnali le anomalie. Per un piccolo operatore indipendente, questo può essere semplice come la funzione di log di audit nel proprio PMS cloud (con avvisi via e-mail su eventi sospetti), oltre alle funzioni di avviso nella dashboard del proprio gateway di pagamento. Non è necessario un SIEM da 50.000 dollari all'. anno, ma è necessario dimostrare che qualcosa sta revisionando i log ogni giorno.

Requisito 12.10.7: procedure di risposta agli incidenti per i PAN archiviati trovati in luoghi inaspettati

Se la conferma dell'. ambito (12.5.2) rileva dati PAN in un luogo in cui non dovrebbero trovarsi, è necessaria una procedura documentata su come rispondere. Il minimo è: contenere (isolare il sistema), valutare (capire cosa è stato esposto e per quanto tempo), notificare (il proprio acquirente entro i tempi da loro richiesti, spesso da 24 a 72 ore) e porre rimedio (rimuovere i dati e risolvere la causa). Scrivi questa procedura una volta, conservala in un luogo dove il personale di turno possa trovarla alle 3 del mattino e rivedila annualmente.

I sette luoghi in cui si nascondono i dati delle carte di credito nel vostro hotel

La cifra del 34% del DBIR di Verizon che ho citato prima non è astratta. In ogni progetto PCI per hotel indipendenti a cui ho partecipato negli ultimi due anni, l'. esercizio di conferma dell'. ambito ha portato alla luce almeno tre dei seguenti sette luoghi in cui si trovano i dati dei titolari di carta, spesso anni dopo che sono stati inseriti lì e dimenticati. Ecco l'. elenco, ordinato per frequenza. Usalo come lista di controllo per il tuo esercizio 12.5.2.

  1. Archivio del server di posta elettronica. Ogni e-mail VCC in chiaro inviata da un'. OTA, o da qualsiasi ospite che una volta abbia digitato il proprio numero di carta in un'. e-mail del tipo "Addebitate il mio conto per il deposito", si trova nel vostro archivio IMAP. Cercate "numero di carta", "CVV", "scadenza" e lo schema "quattro cifre seguite da uno spazio". Rimarrete inorriditi da ciò che troverete.
  2. Vecchi backup del database PMS. Ogni backup notturno del PMS creato prima che il tuo hotel passasse a un processore di tokenizzazione contiene probabilmente dati PAN completi. Controlla il tuo fornitore di backup esterno, il NAS del tuo hotel, l'. unità esterna del responsabile della reception e la chiavetta USB non crittografata nella cassaforte. I backup precedenti al 2019 sono particolarmente suscettibili di contenere PAN grezzi.
  3. Archivio fax. Ogni fax VCC emesso da OTA, ogni modulo di autorizzazione per prenotazioni di gruppo, ogni modulo di autorizzazione al pagamento con carta di credito richiesto dal vostro back office. Le moderne stampanti multifunzione dispongono spesso di un archivio di 500 fax nella memoria interna che non è mai stato cancellato.
  4. Stampe dell'. archivio dei folio. La pila di folio stampati nel back office, l'. archivio rilegato dei folio degli ospiti precedenti al 2020, lo schedario del manager etichettato "copie di audit". Questi contengono dati PAN stampati, il che viola la regola SAQ A "cartaceo solo se non ricevuto elettronicamente" una volta che ci si rende conto che i folio sono stati generati da un PMS elettronico.
  5. File Excel per la gestione dei ricavi e dello yield. Il foglio di calcolo "depositi di questo mese" che qualcuno in contabilità tiene aggiornato. Il tracker delle "spese per mancata presentazione". La cartella di lavoro dei "pagamenti VCC in sospeso". Questi spesso contengono dati delle carte incollati da e-mail, a volte risalenti a anni fa.
  6. Registri scritti a mano. Il registro della reception dove il revisore notturno ha annotato "Ricevuto il deposito della signora Smith per telefono, Visa che termina con 4242, scadenza 27/06, addebitati 400 $". Sì, questo succede ancora nel 2026.
  7. Portali dei fornitori e strumenti di terze parti. Il CRM che qualcuno ha configurato per importare alla lettera le e-mail delle OTA. La casella di posta condivisa che la spa usa per scambiarsi i numeri delle carte tra il personale. La bacheca Trello che il reparto vendite di gruppo usa per tenere traccia dei depositi contrattuali. La cronologia dei messaggi diretti su Slack con il precedente responsabile della reception.

Il processo di individuazione è scomodo. La correzione è per lo più di natura amministrativa: identificare i dati, classificarli (si tratta di dati CHD attivi o storici?), distruggere o cancellare in modo sicuro i dati storici, progettare i flussi di dati attivi in modo che passino invece attraverso il tokenizer e documentare la nuova politica che impedisce il ritorno dei dati. Prevedete da tre a dieci giorni-persona per un hotel da 60 camere che esegue questa operazione per la prima volta. La maggior parte del lavoro consiste nella ricerca negli archivi di posta e nella distruzione dei backup dei folio.

Il costo reale: benchmark, non tattiche intimidatorie dei fornitori

Il settore della consulenza PCI ha un forte incentivo a gonfiare il costo della conformità, perché è così che vende i propri servizi. Le fasce di costo reali, in base al percorso SAQ e alle dimensioni del commerciante, sono ben documentate e convergono verso questi benchmark per un hotel indipendente nel 2026.

Percorso SAQ A (completamente esternalizzato, processore di tokenizzazione, nessun CHD elettronico sui sistemi dell'. hotel). Completamento annuale del SAQ: meno di 300 $. Scansioni esterne trimestrali da parte di un fornitore di scansione approvato (ASV): da 500 $ a 2.000 $ all'. anno a seconda del fornitore. Strumenti annuali per la formazione sulla sicurezza: da 500 $ a 1.000 $. Totale: da 1.500 a 3.000 dollari all'. anno. Questo è il percorso giusto per la maggior parte degli hotel indipendenti ed è quello verso cui il team di onboarding del vostro processore dovrebbe indirizzarvi.

Percorso SAQ A-EP (outsourcing parziale, reindirizzamento del flusso, nessuna archiviazione elettronica dei dati delle carte di credito, ma la pagina dell'. hotel può influire sulla sicurezza delle transazioni). Aggiungere: più domande (circa 190 contro 30), un inventario documentato degli script e un meccanismo di rilevamento delle manomissioni per i punti 6.4.3 e 11.6.1, e probabilmente un piccolo incarico di consulenza per impostare correttamente la postura di sicurezza nel primo anno. Totale: da 5.000 a 15.000 dollari all'. anno.

Percorso SAQ B-IP (terminali IP autonomi approvati dal PTS, nessuna archiviazione elettronica dei CHD). Totale: da 1.500 a 5.000 dollari all'. anno. Il fornitore dei terminali spesso include gli strumenti di attestazione SAQ B-IP nel proprio servizio.

Percorso SAQ D (qualsiasi archiviazione elettronica di CHD o qualsiasi ambiente che non rientri in un SAQ più specifico). SAQ annuale: 330 domande, spesso richiede l'. aiuto di un consulente per essere completato correttamente (da 3.000 a 10.000 dollari il primo anno). Scansioni ASV trimestrali: da 500 a 2.000 dollari. Test di penetrazione: da 3.000 a 8.000 dollari all'. anno. Protezione degli endpoint e revisione di base dei log di tipo SIEM: da 2.000 a 5.000 dollari. Formazione annuale: da 500 a 1.500 dollari. Totale: da 15.000 a 50.000 dollari all'. anno per un piccolo esercizio indipendente, di più se si dispone di più sedi.

Rapporto sulla conformità redatto da un QSA (richiesto per i commercianti di Livello 1 con oltre 6 milioni di transazioni). Totale: da 30.000 a 80.000 dollari solo per la valutazione di un commerciante di medie dimensioni, più tutti i controlli sottostanti. Il benchmark di sicurezza informatica di Hotel Tech Insight 2026 per un hotel indipendente da 60 camere stima il costo complessivo della difesa tra i 3.500 e i 5.000 euro il primo anno e tra i 2.000 e i 3.500 euro negli anni successivi, il che è in linea con il percorso SAQ A sopra descritto, più i controlli di base sugli endpoint e sulla rete.

D'. altro canto, vale la pena ricordare il benchmark pubblicato da Antravia Advisory per il 2025: gli operatori del settore viaggi tokenizzati e conformi allo standard PCI 4.0 hanno pagato una commissione di interscambio media dell'. 1,8%, rispetto al 2,9% degli operatori non conformi. I chargeback sono scesi dall'. 1,8% allo 0,6% e i costi medi di audit sono diminuiti di due terzi. Per un hotel da 60 camere con un fatturato annuo di 2 milioni di dollari derivante dalle carte di credito, la sola differenza nella commissione di interscambio rappresenta un risparmio annuo ricorrente di 22.000 dollari, ovvero da dieci a quindici volte il costo del lavoro di conformità SAQ A. La conformità non è una tassa. È un fossato che vi garantisce un vantaggio in termini di prezzo al momento del pagamento.

A cel-shaded editorial illustration of an old four-drawer metal filing cabinet in a hotel back office, viewed in cross-section, with the top two drawers fully open to reveal labeled folders for guest VCC emails, PMS backup tapes, folio archives, and fax-received card authorizations, alongside a sealed envelope marked do not destroy, a USB stick, and an audit CD-R, with a magnifying glass and a card-data discovery checklist on top of the cabinet and a clear plastic bin labeled FOR SHREDDER beside it, illustrating the everyday places cardholder data hides inside an independent hotel that the PCI DSS 4.0.1 Requirement 12.5.2 scope-confirmation exercise is designed to surface.

Il piano di 90 giorni che una sola persona può gestire

Se il tuo hotel non ha ancora affrontato il PCI DSS 4.0.1, ecco il piano che ti permette di "superare l'. SAQ A con un'. architettura documentata" in 90 giorni. Una persona che sia competente dal punto di vista operativo e abbia un accesso ragionevole al direttore generale e al fornitore IT può gestirlo senza consulenze esterne. Riserva circa 8 ore a settimana alla persona incaricata per tutti i 90 giorni.

Giorni da 1 a 15: Ambito e analisi

Mappate il flusso dei dati delle carte su carta. Dove entra un numero di carta nel vostro ambiente (motore di prenotazione, terminale EMV alla reception, e-mail OTA, telefono, contratto di vendita di gruppo)? Dove va a finire (tokenizer, gateway, PMS, esportazione contabile)? Dove viene archiviato, se da qualche parte (non dovrebbe essere da nessuna parte)? Quindi eseguite la checklist dei sette luoghi in cui si nascondono i dati delle carte della sezione precedente. Documenta tutto ciò che trovi in un unico foglio di calcolo con tre colonne: posizione, classificazione (attivo o storico), rimedio pianificato. Scrivi la politica che vieta esplicitamente ogni occorrenza futura ("il personale non può accettare dettagli VCC in chiaro via e-mail. le OTA devono utilizzare l'. extranet sicura"). Questa fase produce tre risultati: un diagramma del flusso dei dati delle carte, un registro di individuazione e una politica scritta sulla gestione dei CHD.

Giorni da 16 a 45: Ridurre l'. ambito a SAQ A

Per ogni flusso di dati delle carte attive che passa attraverso un sistema alberghiero, progettalo invece sul tokenizer. Se il tuo motore di prenotazione visualizza il modulo di pagamento sul tuo dominio, passa alla pagina di pagamento ospitata nell'. iframe del processore (la maggior parte dei processori offre entrambe le opzioni. chiedi). Se la reception accetta i numeri delle carte comunicati telefonicamente e li digita su un terminale virtuale, assicurati che tale terminale sia ospitato dal processore e non dall'. hotel. Se il team vendite di gruppo accetta i dettagli delle carte di credito virtuali (VCC) via e-mail, trasferisci la raccolta dei depositi al prodotto di collegamento sicuro del processore. Distruggi i dati storici delle carte individuati nella Fase 1 (i cartacei nel cestino del distruggidocumenti chiuso a chiave, quelli elettronici tramite cancellazione sicura con registro di audit). Al termine di questa fase, il diagramma di flusso dei dati delle carte dovrebbe mostrare ogni numero di carta che entra ed esce dall'. ambiente del gestore senza mai toccare un sistema di proprietà dell'. hotel. Questa è l'. architettura che consente di presentare un SAQ A.

Giorni da 46 a 75: implementare i controlli ancora richiesti dall'. SAQ A

L'. SAQ A è breve ma non è vuoto. I 30 controlli riguardano la gestione degli accessi del personale, la gestione dei fornitori dei vostri TPSP, la formazione sulla consapevolezza della sicurezza e (secondo l'. aggiornamento di gennaio 2025 della v4.0.1) l'. attestazione di e-skimming. Procedere come segue: abilitare l'. autenticazione a più fattori (MFA) su ogni account cloud che interagisce con il motore di prenotazione, il gateway di pagamento o il PMS. Documentare i TPSP utilizzati, recuperare la loro attuale Attestazione di Conformità PCI (ognuno dovrebbe pubblicare o condividere la propria) e archiviarle in una cartella di gestione dei fornitori con promemoria di rinnovo annuali. Implementare una formazione sulla consapevolezza della sicurezza specifica per ruolo (reception, back office, IT) utilizzando uno strumento ospitato come KnowBe4, Hoxhunt o un equivalente gratuito. Implementa il rilevamento delle manomissioni degli script sulla pagina di prenotazione (Visualping, Feroot o una configurazione personalizzata CSP con monitoraggio) e redigi la procedura di escalation degli avvisi. Implementa o stipula un contratto per scansioni ASV trimestrali dei tuoi indirizzi IP esterni (se ne hai. per un hotel interamente SaaS questo potrebbe essere di fatto di portata nulla).

Giorni dal 76 al 90: Presentare il SAQ A e attestare

Completa il SAQ A v4.0.1 utilizzando i modelli dal sito web del PCI SSC. Fai firmare al direttore generale o al proprietario la Parte 3a dell'. Attestazione di Conformità. Invia l'. AoC insieme al rapporto di scansione ASV superata più recente alla tua banca acquirente tramite qualsiasi portale da loro specificato. Conferma la ricezione. Impostare promemoria sul calendario per il prossimo SAQ annuale, le scansioni ASV trimestrali, la revisione semestrale di conferma dell'. ambito di applicazione (12.5.2.1 se si è un fornitore di servizi, altrimenti annualmente), il rinnovo della formazione specifica per ruolo e il ciclo di rinnovo dell'. AoC TPSP. Questo è il lavoro che fa progredire il programma senza che nessuno debba riscoprirlo da capo tra un anno.

A cel-shaded editorial illustration in three horizontal comic-strip panels, titled 6.4.3 and 11.6.1, depicting an e-skimming attack on a hotel booking page. In panel one a laptop displays the Grandview Hotel checkout page surrounded by four authorized script tags labeled Analytics, Chat, Stripe.js, and Reviews, each marked with a green check. In panel two a fifth dark-purple script tag with a question mark sneaks in from the right with a wisp of smoke. In panel three the laptop screen shows a red tamper-detected alert citing PCI DSS Requirement 11.6.1, with the intruder script being lifted out and a handwritten note reading alert in less than seven days, illustrating the complementary preventive and detective controls in PCI DSS 4.0.1 Requirements 6.4.3 and 11.6.1 that hotels must implement on payment pages.

Dove si inserisce Prostay, in breve e onestamente

Scrivo per Prostay, quindi questa sezione è inevitabile, ma sarò onesto. Prostay Pay è un processore di pagamento tokenizzato progettato per mantenere il vostro hotel all'. interno dell'. ambito SAQ A per impostazione predefinita. Quando un ospite paga tramite il motore di prenotazione Prostay o la reception accetta una carta tramite il POS Prostay, il numero della carta non passa mai attraverso il database PMS di Prostay. passa solo un riferimento token. È questa architettura che rende possibile il percorso SAQ A per un hotel indipendente che utilizza Prostay, ed è la stessa architettura offerta da Stripe, Adyen, Mews Payments, Cloudbeds Payments e Profitroom Payments. Scegliete uno qualsiasi di questi, comprese le opzioni non Prostay, e potrete seguire il percorso SAQ A entro 90 giorni. Scegliete un processore che si integra inserendo i numeri delle carte nel vostro PMS, e vi troverete sul percorso SAQ A-EP o SAQ D con tutti i costi e la complessità che ciò comporta.

Le scelte specifiche di Prostay che contano per il PCI: il motore di prenotazione utilizza un checkout ospitato su iframe che soddisfa il criterio SAQ A "ogni elemento della pagina di pagamento proviene esclusivamente e direttamente da un TPSP conforme allo standard PCI DSS". l'. API non restituisce mai i dati PAN alle integrazioni. l'. integrazione e-mail OTA analizza i dettagli VCC all'. interno dell'. ambiente Prostay e riporta al front office dell'. hotel solo il riferimento tokenizzato. Nulla di tutto ciò è esclusivo di Prostay. È tuttavia più facile ottenere risultati ottimali quando il motore di prenotazione, il PMS e il tokenizer condividono un unico ambito di audit, il che costituisce l'. argomento strutturale effettivo per scegliere uno stack a fornitore unico piuttosto che un assemblaggio best-of-breed.

Se desiderate una visione più approfondita di come Prostay Pay gestisce specificamente la tokenizzazione e l'. architettura PCI SAQ A, la pagina del prodotto Prostay Pay ne offre una panoramica. Se state migrando da un PMS legacy con i dati delle carte memorizzati nel database (il che vi colloca per definizione nell'. ambito SAQ D), il playbook di migrazione di Prostay PMS copre la fase di rimozione dei dati. E se desiderate assistenza per l'. attuazione del piano di 90 giorni sopra descritto con il nostro team pagamenti in una chiamata, prenotate una demo e ve la illustreremo senza cercare di vendervi un servizio di consulenza sulla conformità separato.

Domande frequenti

Le cinque domande che ricevo più spesso dagli albergatori indipendenti riguardo al PCI DSS 4.0.1, con risposte basate sulla norma effettivamente pubblicata piuttosto che sul riassunto riportato dalla stampa specializzata.

FAQ

Domande frequenti

  • Quando è diventato obbligatorio per gli hotel il PCI DSS 4.0.1?
    PCI DSS v4.0.1 è l'unica versione attualmente attiva dello standard dal 31 dicembre 2024, quando la v4.0 è stata ritirata. I 51 requisiti futuri introdotti nella v4.0 sono diventati obbligatori il 31 marzo 2025 senza alcun periodo di tolleranza. Qualsiasi valutazione dell'hotel effettuata in base a una versione precedente o alla v4.0 con i requisiti futuri ancora contrassegnati come Non applicabile, non è conforme a partire dal 1° aprile 2025. Se il vostro hotel non ha rifatto un SAQ negli ultimi 12 mesi, è quasi certamente necessario presentarne uno nuovo.
  • Qual è la differenza tra SAQ A e SAQ A-EP per un hotel?
    Il SAQ A (circa 30 domande) si applica a un hotel che ha completamente esternalizzato l'archiviazione, l'elaborazione e la trasmissione dei dati della carta a un fornitore di servizi di terze parti conforme agli standard PCI DSS, senza dati elettronici dei titolari di carta nei sistemi dell'hotel e con una pagina di pagamento in cui ogni elemento proviene solo e direttamente dal TPSP (in genere un checkout ospitato da iframe). Il SAQ A-EP (circa 190 domande) si applica quando il sito web dell'hotel può ancora influire sulla sicurezza della transazione di pagamento, come nel caso di un flusso di reindirizzamento e ritorno in cui la pagina dell'hotel passa il browser all'elaboratore e lo riceve indietro. L'aggiornamento del SAQ A del gennaio 2025 richiede inoltre che l'hotel attesti che il sito di e-commerce non è suscettibile di attacchi basati su script, il che ha spinto alcuni hotel dal SAQ A all'ambito del SAQ A-EP.
  • Un hotel indipendente di 60 camere può davvero qualificarsi per il SAQ A?
    Sì, nella maggior parte dei casi, ma solo se l'architettura è impostata correttamente. L'hotel deve utilizzare un processore di pagamento con tokenizzazione (Stripe, Adyen, Mews Payments, Cloudbeds Payments, Profitroom Payments o Prostay Pay) con un checkout ospitato da iframe sul motore di prenotazione, nessuna archiviazione elettronica dei dati dei titolari di carta di credito in nessun punto del PMS o del sistema di contabilità, nessun dato di carta di credito virtuale in chiaro negli archivi di posta elettronica e un meccanismo di inventario e di rilevamento delle manomissioni su qualsiasi script di terze parti caricato sulle pagine di prenotazione. Il piano di 90 giorni descritto in questo articolo spiega esattamente come portare un'azienda indipendente da 30 a 150 camere nella posizione SAQ A partendo da un punto di partenza tipico.
  • Quanto costa effettivamente la conformità agli standard PCI DSS per un piccolo hotel?
    Per un hotel indipendente che segue il percorso SAQ A (completamente esternalizzato, processore di tokenizzazione, nessun CHD elettronico sui sistemi dell'hotel), il costo annuale complessivo è di 1.500-3.000 dollari: meno di 300 dollari per il SAQ stesso, da 500 a 2.000 dollari per le scansioni esterne trimestrali dell'ASV e da 500 a 1.000 dollari per gli strumenti di formazione sulla sicurezza. Il percorso SAQ A-EP costa da 5.000 a 15.000 dollari all'anno. Il percorso SAQ B-IP (solo terminali IP standalone approvati da PIN Transaction Security) va da 1.500 a 5.000 dollari. Il percorso SAQ D (qualsiasi archiviazione elettronica di CHD sui sistemi dell'hotel) costa da 15.000 a 50.000 dollari all'anno per una piccola azienda indipendente. Il benchmark Hotel Tech Insight 2026 per un'azienda indipendente di 60 camere indica che lo stack di difesa completo va da 3.500 a 5.000 euro il primo anno e da 2.000 a 3.500 euro in seguito, il che corrisponde al percorso SAQ A più la protezione di base degli endpoint.
  • Cosa succede se il mio hotel non è conforme a PCI DSS 4.0.1?
    Tre cose, in ordine crescente. In primo luogo, le commissioni mensili per la non conformità da parte della vostra banca affiliante: da 5.000 a 10.000 dollari al mese per i mesi da uno a tre, da 25.000 a 50.000 dollari al mese per i mesi da quattro a sei, e da 50.000 a 100.000 dollari al mese dal settimo mese in poi, fino a quando non raggiungerete la conformità. In secondo luogo, se si verifica una violazione dei dati della carta mentre non si è conformi, le sanzioni per la compromissione dei dati del conto da parte di Visa partono da 50.000 dollari per incidente e arrivano a 500.000 dollari, con valutazioni parallele da parte di Mastercard, oltre ai costi delle indagini forensi, della notifica ai clienti e del monitoraggio del credito. In terzo luogo, l'acquirer può rescindere il contratto commerciale e l'hotel perde la possibilità di accettare pagamenti con carta. L'accordo di Marriott e Starwood finalizzato dalla FTC il 20 dicembre 2024 comprendeva un accordo parallelo di 52 milioni di dollari con 49 procuratori generali statali, che si aggiungeva all'ammenda di 18,4 milioni di sterline del Regno Unito per il GDPR del 2020 e all'ordine di consenso ventennale in corso della FTC. Nessuno di questi numeri è teorico.
Continua a leggere

Prova Prostay

Gestisci il tuo hotel sulla piattaforma di cui scriviamo.

Porta i tuoi dati e le abitudini del tuo team. Ti mostreremo una configurazione Prostay equivalente sui tuoi ultimi 30 giorni.

Richiedi una demoScopri il PMS

A proposito di questo articolo

Categoria: Hotel Operations Optimization. Pubblicato il 23 mag 2026 da Mika Takahashi.