Kreditkarten werden gemäß den folgenden PCI DSS-Anforderungen behandelt:
1. Physischer Zugang
Clock Cloud Anwendungen werden auf "Amazon Web Services" gehostet.
Die "Amazon Web Services" entsprechen den folgenden Vorschriften, Standards und Best-Practices: PCI DSS Level 1, HIPAA, SOC 1/S SAE 16/ISAE 3402 (früher SAS70), SOC 2, SOC 3, ISO 27001, FedRAMP(SM), DIACAP und FISMAITAR, FIPS 140-2, CSA, MPAA
2. HTTPS.
Alle Daten werden nur über das Hypertext Übertragen Protocol Secure (HTTPS) übertragen.
3. Verschlüsselung
Kreditkartendaten werden verschlüsselt, bevor sie gespeichert werden. Einfache Kreditkartendaten werden nirgendwo im gesamten System gespeichert, auch nicht in Datenbanken, Webserverprotokollen, Anwendungsprotokollen oder anderen Dateien.
4. Maskierung der PAN
Die maskierte PAN-Nummer der Kreditkarte wird zu Präsentationszwecken verwendet. In Berichten, Folios und Listen wird die PAN als 'XXXX-4567'
5. Benutzerzugang
Der Zugriff auf die vollständige Kreditkarte ist durch ein spezielles Recht eingeschränkt. Dieses Recht sollte von einem Administrator an andere Benutzer vergeben werden, damit diese die vollständigen Kreditkartendaten lesen können.
6. Benutzerzugriffshistorie
Alle Auslesungen der vollständigen Kreditkartendaten werden mit Benutzernamen, IP-Adresse und Datum/Uhrzeit in einem speziellen Bericht ("Kreditkarten Log")
7. Verantwortlichkeiten für die Löschung von Daten nach der Autorisierung
Nach der Autorisierung sollten die Kreditkartendaten gelöscht werden. Überprüfen Sie die folgende Tabelle, um Ihre und die Verantwortlichkeiten von Clock PMS+'s zu verstehen.
| Case | Zuständigkeiten |
|---|---|
| Online-Zahlung mit Kreditkarte im Web-Reservierungssystem, im Geschenkgutschein-Shop oder im Self Service Portal | Clock PMS+ speichert keine Kreditkartendaten |
| Erfassung und Speicherung von Kreditkartendaten in Buchungen zur späteren manuellen Bearbeitung mit Kreditkarte/virtuellem Terminal | Der Nutzer ist für die Entsorgung der Daten nach der Autorisierung verantwortlich. Lassen Sie das Kontrollkästchen “Kreditkartendaten löschen” beim Hinzufügen der Zahlung im System aktiviert oder löschen Sie die Karte aus der Buchung. |
| Online-Kreditkartenzahlung im Back-Office mit neu eingegebenen Kreditkartendaten | Uhr PMS+ speichert keine Kreditkartendaten. |
| Online-Kreditkartenzahlung im Backoffice mit vorhandenen Kreditkartendaten | Der Benutzer ist für die Entsorgung der Daten nach der Autorisierung verantwortlich. Lassen Sie das Kontrollkästchen “Kreditkartendaten löschen” aktiviert oder löschen Sie die Karte aus der Buchung |
| Unimportierte OTA Buchungen | Der Benutzer ist für die Entsorgung der Daten nach der Lösung des Problems verantwortlich. Löschen Sie die Daten aus dem Posteingang des Kanals. |
| Importierte OTA Buchungen | Clock PMS+ entsorgt die Kreditkartendaten aus dem Posteingang des Kanals |
8. Richtlinie zur Aufbewahrung von Kreditkartendaten
Clock PMS+ unterhält eine Aufbewahrungsrichtlinie für Kreditkartendaten. Wenn sensible Informationen nicht auf eine der oben genannten Arten gelöscht werden, löscht das System automatisch die Details der Kreditkarte wie folgt:
| Case | Verweildauer |
|---|---|
| Regelmäßige Buchungen | 3 Tage nach dem Abreisedatum der Buchung, unabhängig vom Check-Out |
| Stornierungen | 3 Tage nach dem Datum der Stornierung der Buchung |
| Unimportierte OTA Buchungen | 14 Tage nach dem erfolglosen Import der Buchungsinformationen wird diese aus dem Posteingang des Channel Managers gelöscht |
| Kreditkarten in einem Event | 3 Tage nach dem Abreisedatum |
| Kreditkarten im Profil einer Firma | 1 Tag nach Ablauf der Kreditkarte Monat / Jahr |