- BVB entspannt nach hartem Training im Balance Resort Stegersbach
- protel Survey: Sie fragen - Ihre Gäste antworten
- protel und hogast Österreich verstärken Zusammenarbeit
- Ouvertüre in Mailand: For You Hotel und Serenissima setzen auf protel
- protel-Kunden twittern ihre Zimmer mit protel Room Tweet
- Die besten Ferienhotels der Schweiz arbeiten mit protel
MIT PROTEL ZUR PCI-COMPLIANCE
"PCI-Compliance" ist der seit 2007 global verbindliche Sicherheitsstandard der weltweit größten Kreditkartenfirmen. Er besteht im Wesentlichen aus zwölf konkreten Handlungsanweisungen. Händlerbanken und Providern obliegt es, die Umsetzung dieser Regeln bei allen, die mit Kreditkarten arbeiten, zu überwachen und durchzusetzen.
Dieses Dokument beschreibt ausführlich, mit welchen Maßnahmen und Einstellungen in protel Sie die PCI-Compliance in Ihrem Hause vorantreiben können.
Darum geht es im Einzelnen:
- Einführung: Datenschutz im Hotel
- Strategische Vorüberlegungen zur Umsetzung
- PCI-Compliance mit protel: Voraussetzungen
- Den PCI-Modus in protel SD aktivieren
- Vorher/nachher 1: Reservierungsdialog OHNE PCI-Modus
- Vorher/nachher 2: Gästekartei OHNE PCI-Modus
- Vorher/nachher 3: protel IM PCI-Modus
- Zugriff auf Altdatenbestände unterbinden
- Zugriff auf CC-Daten über die Benutzerrechte steuern
- So setzen Sie die Rechte
- Zugriff auf CC-Daten kontrollieren
- Altdaten löschen
Einführung: Datenschutz im Hotel
Je nach Menge der in Ihrem Haus getätigten Kreditkartentransaktionen sind Sie zu mehr oder weniger aufwändigen Maßnahmen verpflichtet, die vom freiwilligen Ausfüllen eines Fragebogens bis zum ausgewachsenen "Security-Scan" des gesamten Unternehmens reichen.
Auch wenn die Sinnhaftigkeit vieler dieser gewissermaßen nachgeschobenen Maßnahmen durchaus kontrovers diskutiert wird, ändert das nichts daran, dass empfindliche Strafen drohen, wenn durch die Nichtbeachtung einer der zwölf PCI-Richtlinien Daten verloren gehen oder missbraucht werden.
Detaillierte Informationen zum Thema haben wir für Sie im protel PCI-Whitepaper zusammengestellt.
Strategische Vorüberlegungen zur Umsetzung
Der erste Grundsatz des Datenschutzes und gleichzeitig seine einfachste Lösung: Was nicht gespeichert wird, muss nicht geschützt werden. Dabei gilt beim Umgang mit Kreditkarten:
- Vertrauliche Identifizierungsdaten (Daten des Magnetstreifens und die Kartenprüfnummer) dürfen gar nicht gespeichert werden.
- Die Speicherung von Karteninhaberdaten (PAN, Karteninhabername und Ablaufdatum) sind unter der Voraussetzung erlaubt, dass kein unbefugter Zugriff darauf erfolgen kann.
Es empfiehlt sich, vor diesem Hintergrund einige strategische Überlegungen zur Handhabung von Kreditkartendaten in Ihrem Hause anzustellen:
- Welche Daten müssen unbedingt gespeichert werden?
- Wem muss es unbedingt möglich sein, Daten einzulesen / einzugeben?
- Wer benötigt im Anschluss unbedingt Zugriff auf die Daten?
- Wie lange müssen die Daten unbedingt aufbewahrt werden?
Die Umsetzung sollte dann so restriktiv wie möglich dafür sorgen, dass
- von Vornherein so wenig wie möglich gespeichert wird.
- die Eingabe neuer Daten kontrolliert erfolgt.
- jeder Zugriff auf gespeicherte Daten kontrolliert wird.
- die Daten so schnell wie möglich wieder gelöscht werden.
PCI-Compliance mit protel: Voraussetzungen
Die protel Hotelmanagement-Systeme verfügen über eine Reihe von Funktionen, die Sie dabei unterstützen, zentrale Vorgaben der zwölf PCI-Richtlinien einzuhalten.
Um die im Folgenden beschriebenen Einstellungen vornehmen zu können
- benötigen Sie protel in der Version 12.167 (oder höher). Falls ein Update notwendig ist, unterstützt Sie Ihr protel-Support bei der Durchführung.
- brauchen Sie Zugriff auf die Stammdaten.
- benötigen Sie das Benutzerrecht 000 "Bedienerverwaltung"
Den PCI-Compliance-Modus in protel SD aktivieren
- protel SD | PCI-Dialog: PCI-Modus einschalten
Öffnen Sie protel SD. Rufen Sie über das Menü Buchhaltung | Allgemeine Einstellungen | PCI-Compliance den Dialog "PCI-Compliance" auf.
Aktivieren Sie dort den PCI-Compliance-Modus, indem Sie ein Häkchen in die Checkbox setzen. Legen Sie anschließend fest, nach wievielen Tagen nach dem Check-out die Kreditkartendaten aus den Reservierungen gelöscht werden sollen. Bestätigen Sie mit [OK]. Ein Klick auf die Schaltfläche [Informationen] führt auf diese Seite des protel-Webs.
Speichern von Kreditkartendaten verhindern - Altdatenbestände aus den Gästekarteien entfernen
- protel SD | PCI-Dialog: Alle CC-Daten löschen
Imselben Dialog bietet protel Ihnen an, Kreditkartendaten aus der Zeit "vor PCI" zu löschen.
Wenn Sie ALLE Kreditkartendaten aus ALLEN Gästekarteien löschen möchten, setzen Sie ein Häkchen in die entsprechende Checkbox und bestätigen Sie mit [OK].
- Sicherheitsabfrage 1:
Keine Kreditkartendaten mehr speichern?
Beantworten Sie die folgende Sicherheitsabfrage mit "ja", wenn Sie sicher sind, dass in Zukunft keine Kreditkartendaten mehr über die Gästekartei erfasst und bearbeitet werden sollen.
- Sicherheitsabfrage 2:
ALLE alten Kreditkartendaten löschen?
Eine zweite Sicherheitsabfrage prüft, ob Sie wirklich entschlossen sind, ALLE Kreditkartendaten aus ALLEN Gästekarteien zu löschen. Klicken Sie auf [Ja], wenn dies der Fall ist.
Falls Ihnen diese Lösung zu weit geht, besteht natürlich auch die Möglichkeit, die Gästekarteien "von Hand" zu durchforsten. Bei der Erstellung einer entsprechenden Datenbankabfrage ist Ihnen auf Anfrage der protel-Support behilflich.
In diesem Fall klicken Sie hier auf [Nein]. Schließen Sie zuletzt den Vorgang im PCI-Dialog mit [OK] ab.
protel OHNE PCI-Modus: der Reservierungsdialog
- protel FO | Reservierungsdialog: Zusatzinformationen
Ist der PCI-Modus NICHT aktiviert, können im Reservierungsdialog Kreditkarteninformationen hinterlegt, gespeichert und an die / von der Gästekartei übertragen werden.
Dazu öffnet man mit einem Klick auf die Schaltfläche [CC] den kleinen Zusatzdialog "Reservierungszusatzinformationen". Dort können Kartentyp und -nummer, die Gültigkeitsdauer und der Name des Karteninhabers eingetragen werden. Mit [OK] werden diese Angaben gespeichert.
Die Daten können wahlweise in die Gästekartei übertragen oder auch von dort übernommen werden, falls bereits schon bei früheren Reservierungen dort Daten abgespeichert worden sind.
protel OHNE PCI-Modus: die Gästekartei
- protel FO | Gästekartei: Kreditkartendaten
In der Gästekartei findet man die Kreditkartendaten auf der Registerkarte "Persönliche Daten" in der Baumstruktur unter "Kreditkarten" zur Ansicht und/oder zur Bearbeitung.
protel IM PCI-Modus
- protel FO | Gästekartei: Persönliche Daten
Ist der PCI-Modus aktiviert, werden die Kreditkartendaten, die im Reservierungsdialog eingegeben werden, nur noch für die Dauer der Reservierung vorgehalten.
Nach Ablauf der hinterlegten Anzahl von Tagen nach dem Check-out werden sie automatisch gelöscht. (Die Anzahl der Tage definieren Sie im PCI-Compliance-Dialog, s.o.)
In der Gästekartei können gar keine Kreditkartendaten mehr eingelesen, eingegeben und gespeichert werden.
Zugriff auf Altdatenbestände kontrollieren
Kreditkartendaten, die noch in der "Vor-PCI-Zeit" in Gästekarteien gespeichert wurden, bleiben vom PCI-Modus zunächst unberührt! Solche Daten werden zwar in der Gästekartei nicht mehr angezeigt, können aber auch weiterhin über die Funktion "Übernahme aus Gastdaten" in den Reservierungsdialog übernommen werden.
Wie Sie den Zugriff auf solche Altdatenbestände vermeiden, erfahren Sie im folgenden Kapitel zu den Benutzerrechten.
Falls Sie es bevorzugen, sich von solchen Altdaten auf einen Schlag zu trennen, wählen Sie die Funktion "Alle CC-Daten aus Karteien löschen" (s. oben).
Zugriff auf Kreditkartendaten über die Benutzerrechte steuern
Über die Benutzeradministration steuern und kontrollieren Sie punktgenau, wer wie auf die sensiblen Kreditkartendaten zugreifen kann. Wir empfehlen Ihnen, diese Rechte entsprechend restriktiv zu setzen und auf einen möglichst kleinen Personenkreis zu beschränken. Nur diejenigen, die tatsächlich mit den Kreditkartendaten arbeiten (und z. B. nicht die Mitarbeiter des Housekeeping), sollten darauf zugreifen können.
| Recht | Bezeichnung | Wirkung / Empfehlung |
| 370 | FO Reservierung CC aus Gastdaten lesen |
Regelt die Ansicht von Kreditkartendaten in der Gästekartei (Registerkarte "Pers. Daten") in den Reservierungsdialog ([CC]: Reservierungszusatzinformationen). |
| 371 | FO Reservierung CC in Gastdaten speichern |
Regelt die Übertragung der Kreditkartendaten aus dem Reservierungsdialog ([CC]: Reservierungszusatzinformationen) in die Gästekartei (Registerkarte "Pers. Daten").
Dieses Recht sollte allen Benutzern entzogen werden. |
| 373 | FO Reservierung CC Nummer anzeigen |
Erlaubt / verwehrt das Lesen der Kreditkartennummer im Reservierungsdialog ([CC]: Reservierungszusatzinformationen). ACHTUNG: Auch OHNE dieses Recht kann die Nummer in der Gästekartei gesehen und bearbeitet werden. Dieses Recht sollte alle Benutzern entzogen werden. |
822 | FO Kreditkarten bearbeiten CC Nummer anzeigen |
Regelt den Zugriff auf die Reservierungszusatzinformationen aus dem Reservierungsdialog (über Button [CC]). Dieses Recht sollten nur die Benutzer haben, die wirklich mit den Daten arbeiten müssen. |
So setzen Sie die Rechte
- protel SD | Manager: Gruppenrechte bearbeiten
Öffnen Sie protel SD. Rufen Sie über das Menü Manager | Bedienerverwaltung den Dialog "Bedienerverwaltung"auf. Klicken Sie dort im linken Teil des Dialogs auf die Benutzergruppe, deren Rechte Sie bearbeiten möchten und anschließend auf die Schaltfläche [Gruppenrechte ändern].
Im Dialog "Gruppenrechte für ..." scrollen Sie durch die linke Liste der "Erlaubten Funktionen". Markieren Sie die Rechte, die Sie dieser Gruppe entziehen möchten. (Halten Sie die Taste [strg] gedrückt, um mehrere Rechte gleichzeitig zu markieren.) Klicken Sie auf die Schaltfläche [Verbieten], um die ausgewählten Rechte in die Liste der "Verbotenen Funktionen" zu verschieben. Bestätigen Sie den Vorgang mit [OK].
Zugriff kontrollieren
Jeder Zugriff wird von protel automatisch überwacht und protokolliert. Diese Ereignisprotokolle können jederzeit abgefragt werden und geben detailliert Auskunft darüber, welcher Benutzer an welcher Stelle des Systems welche Funktionen ausgeführt hat.
Die Log-Funktion ist immer aktiv; sie kann nicht abgeschaltet werden.
Die diversen Berichte finden Sie in protel FO unter Büro | Berichtswesen | Aktionsprotokoll.
Haftungsausschluss
Wir übernehmen keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen; Irrtümer, Druckfehler und abweichende Abbildungen vorbehalten.
Haftungsansprüche gegen uns, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden durch uns vorliegt.
Wir behalten es uns ausdrücklich vor, Teile der Anleitung oder das gesamte Dokument ohne gesonderte Ankündigung zu verändern, zu ergänzen oder zu löschen.
