Compliance PCI DSS sin fricción operativa.

El dolor del segmento

PCI DSS v4.0.1 entró en vigor el 31 de marzo de 2025 con requisitos significativamente más estrictos: Req 6.4.3 (inventario y monitoreo continuo de scripts en páginas de pago), Req 11.6.1 (detección de cambios en headers HTTP y scripts), Req 8.3.10.1 (autenticación multi-factor obligatoria para acceso admin a CDE), Req 12.3.1 (risk analysis documentado para cada control customized). Para hoteles individuales y cadenas medianas, cumplir con v4.0.1 en un ambiente PMS + motor de reservas + terminal físico + correo del concierge + WhatsApp de ventas es operativamente inviable sin arquitectura especializada.

Cinco vectores de exposición PCI en hoteles

1. El correo de ventas y revenue management: recepción diaria de tarjetas de crédito por email desde OTAs, travel agents, y corporate buyers. Cada mensaje que contiene PAN en texto plano ingresa al scope PCI del hotel: el servidor de correo (on-prem o Office 365/Google Workspace), los endpoints del revenue team, la carpeta de archivo donde se archiva el correo, el backup del mail server. La remediación tradicional requiere cifrado S/MIME end-to-end que ni las OTAs ni los corporate buyers implementan.

2. El PMS y su base de datos: Opera Cloud, Cloudbeds, Mews, SiteMinder y Stayntouch almacenan tokens en la mayoría de casos, pero hay flujos donde el PAN sí toca la BD del PMS (mass uploads desde OTA, folios manuales en front desk, split payments multi-tarjeta). Ese PAN transitorio pone a la BD del PMS, sus backups, y sus replicas en scope.

3. Las terminales del front desk: si las terminales no son P2PE certificadas, el PAN desencripta dentro del perímetro del hotel, exponiendo la red LAN, el WiFi de staff, el controlador de dominio, las estaciones del front desk.

4. El motor de reservas y el checkout del sitio web: si el checkout no usa tokenización directa (hosted fields o iframe del PSP), el PAN pasa por el servidor web del motor, sus logs, su CDN, su WAF. Con Req 6.4.3 y 11.6.1 de v4.0.1, cualquier script de terceros cargado en la página de pago (analytics, chatbots, píxeles de marketing) entra en inventario obligatorio.

5. WhatsApp de ventas y comunicación directa: el canal de ventas directas donde el concierge o revenue agent pide tarjeta por mensaje es el vector más oculto. Cada screenshot, cada historial de chat exportado, cada backup del dispositivo móvil del agente contiene PAN en texto plano.

Lo que cuesta un scope mal contenido

• Auditoría QSA anual: USD 25K – 80K para hoteles medianos, USD 80K – 200K para cadenas.
• Remediation tras hallazgo: USD 50K – 400K por gap identificado (cifrado en reposo, segmentación de red, MFA enterprise, logging centralizado).
• Multa por breach: USD 5,000 – 100,000 mensuales desde el descubrimiento hasta la remediación certificada, por tarjeta comprometida USD 35 – 65 en fees, y potencial suspensión del merchant ID por las redes Visa/MC.

Lo que obtiene con Retrypay

Retrypay reduce el scope crítico del hotel a un perímetro mínimo:

• PAN nunca toca sistemas del hotel: captura en hosted fields del vault Retrypay, tokenización inmediata, devolución de token al PMS/motor de reservas.
• Vault PCI SP Level 1 operado por Retrypay: el cardholder data reside en infra certificada, con scan ASV trimestral, pentest anual, DRP/BCP probados, logs inmutables.
• Matriz de responsabilidad compartida firmada con el hotel y la cadena (si aplica), especificando exactamente qué controles son de cada parte.
• Canal alternativo para ingesta de tarjetas vía email/WhatsApp: link de pago seguro que reemplaza el envío de PAN por texto plano. El huésped recibe un link único, paga vía página tokenizada de Retrypay, el hotel recibe confirmación sin jamás ver el PAN.
• Terminales P2PE opcionales (Ingenico Lane/5000, PAX A920 Pro) como módulo premium con hardware incluido para reducción de scope en F&B y check-in presencial.

Caso ilustrativo

Hotel boutique de 180 llaves, grupo independiente. Scope pre-Retrypay: 14 sistemas en CDE, 4 segmentos de red, 45 endpoints con acceso justificable. SAQ-D anual. Post-Retrypay (6 meses):

• Sistemas en CDE: de 14 a 3 (-78%).
• Segmentos de red: de 4 a 1 (-75%).
• Endpoints con acceso justificable: de 45 a 8 (-82%).
• SAQ reducido a SAQ-A.
• Costo anual de auditoría QSA: de USD 55K a USD 12K (-78%).

Entregables de compliance

Retrypay entrega a su QSA un paquete completo listo para auditoría:

• AoC Service Provider Level 1 actualizado.
• Matriz de responsabilidad compartida firmada.
• Diagrama de flujo de datos actualizado.
• Evidencia de scans ASV trimestrales.
• Evidencia de pentest anual.
• Inventario de scripts (Req 6.4.3 v4.0.1).
• Change detection reports (Req 11.6.1 v4.0.1).