Sécurité des paiements online : êtes-vous au point ?

Les secteurs de l’hôtellerie et de la restauration vivent une transformation digitale majeure, poussée par des standards de voyage, de réservation et de consommation qui ont largement évolué, notamment depuis la crise du Covid. Les volumes des paiements électroniques ne cessent d’augmenter, répondant à une forte influence du e-commerce et des OTAs. Le paiement mobile par Wallet (Apple Pay) ou sans contact démocratise l’acte de paiement sans friction et ultra-rapide.

Nous apportons ici notre éclairage sur l’impact en matière de sécurité électronique de la place grandissante des paiements en ligne dans votre activité.

Hausse des paiements en ligne : les chiffres significatifs

Au 2^e trimestre 2022, l’hôtellerie française occupait la 15^e position des volumes de transactions bancaires en France, avec 2,9 milliards d’euros. Le mode de paiement carte bancaire a connu un taux de croissance de + 37,2 % par rapport au 2^e trimestre 2021 (source : Observatoire des cartes bancaires).

La restauration se positionne à la 3^e place du podium au regard des montants payés par carte bancaire, soit 9,8 milliards d’euros, et également à la 3^e place du taux de croissance pour ce mode de règlement, à + 68,8 %. Elle récupère par ailleurs la 2^e place du podium en nombre de paiements avec 356,5 millions de transactions bancaires.

La crise du Covid et les dispositifs sanitaires sans contact ont précipité le passage de la carte bancaire parmi les modes de paiement préférés au restaurant. La carte représente désormais 80 % des règlements contre seulement 60 % avant le Covid (étude SumUp/OpinionWay de 2021).

Votre établissement est-il prêt à relever les enjeux de dématérialisation et de sécurisation des paiements ?

2023 réserve 4 défis majeurs aux professionnels de l’hôtellerie et de la restauration en matière de paiements.

1 – Maîtriser et sécuriser les flux de paiement électroniques en adoptant un écosystème de qualité (TPE/V, PMS, PSP, etc…) tel que l’exige le référentiel PCI DSS. Cela concerne :

• La collecte de l’autorisation de paiement : Les cas de piratages et de fraudes massives se multiplient, tout comme les contestations de paiements non sécurisés sur des ventes à distance manuelles. Toutefois, on observe une baisse du taux de fraude à 0,135 % en 2021 (versus 0,174 % en 2020), notamment grâce aux directives DSP2 et à l’authentification forte (source Observatoire CB).

• Le stockage des informations bancaires : La cybersécurité est un point sensible qui repose aujourd’hui essentiellement sur les éditeurs de logiciels et les PSP (prestataires de services de paiement).

2 – Augmenter la productivité des équipes en s’appuyant sur des dispositifs d’automatisation des communications transactionnelles tout au long du parcours client : réservation, empreintes et pré-autorisations, pré check-in, vente en front desk, vente en point de vente…

3 – Choisir la passerelle de paiement / PSP (prestataire de services de paiement) la plus avantageuse financièrement. En général, un système de paiement en ligne intègre un contrat de vente à distance sécurisé (VADS), l’abonnement à la passerelle de paiement (TPE virtuel) ainsi que des commissions sur les transactions électroniques (le plus souvent entre 0,3 et 0,6 %, voire au-delà sur les cartes étrangères), et des frais fixes par transactions.

4 – Proposer au client une expérience de paiement fluide, effacée, simplifiée, sécurisée et rassurante, que le paiement concerne la prise d’empreinte ou le paiement partiel ou total d’un séjour. Les paiements et les pré-autorisations bancaires en ligne sur TPE virtuel ou sur TPE physique sont un moyen de garantir le paiement du séjour à l’hôtelier et de supprimer le moment contraignant du paiement en réception. Les hôteliers et restaurateurs doivent également considérer fortement l’acceptation des nouveaux modes de paiement sans contact par carte bancaire (NFC) ou sur mobile (Wallet, Apple Pay…) au titre de la création d’expérience client.

Dans ce contexte, Asterio se distingue

Asterio est un PMS hôtelier développé par Septeo Hospitality permettant de gérer de l’hébergement (hôtelier ou locatif), de la restauration, des produits boutiques, du spa, des activités, à l’intérieur du même univers logiciel. En mesure de traiter de grosses capacités d’hébergement ou la gestion en mode multi-établissements, le logiciel Asterio peut absorber des volumes de flux bancaires électroniques allant de standards à très élevés.

Comme prestataire de services de paiement, Asterio a sélectionné Worldline (Ingenico) pour l’attractivité de ses solutions.

Connecté à une solution de stockage sécurisé (périmètre de la certification PCI-DSS), Asterio permet de couvrir les cas d’usage fonctionnels liés au paiement sécurisé et apporte toutes les garanties de sécurité à l’hébergeur ou au restaurateur. 

PCI-DSS, PSD2 : pourquoi choisir un PMS proposant des systèmes de paiements sécurisés ?

Pour protéger son établissement et les données de ses clients

Il appartient à chaque hôtelier et restaurateur de vérifier que son PMS répond aux exigences du référentiel PCI-DSS.

Le référentiel PCI-DSS fournit une base d’exigences techniques, opérationnelle, et de sécurité destinées à protéger les données des titulaires de cartes, il permet notamment de garantir à l’hôtelier :

• un dispositif de paiement en ligne assuré par un prestataire de services de paiement agréé (PSP) ;
• le stockage des données bancaires dans un coffre-fort numérique, bastion et propriété de Septeo Hospitality ;
• le chiffrement des numéros de cartes, des CVV /CVC associés, stockés par le coffre-fort numérique
• l’anonymisation des numéros de cartes sur les reçus, excepté les 4 derniers chiffres
• la gestion des droits d’accès aux données sensibles

Une norme renforcée PSD2 intègre des directives plus strictes pour éviter le vol de données bancaires grâce à des protocoles d’authentifications fortes (SCA) et moyennant un code PIN, un code de vérification SMS, la validation d’une notification, ou la reconnaissance biométrique.

À noter : le processus d’authentification forte a pour objectif de prouver que la personne vous ayant donné une autorisation de paiement par carte bancaire est bien le porteur de la carte. Ce processus dépend de la règlementation.

Pour remplacer la prise d’empreintes bancaires manuelle aujourd’hui dépassée

La vente à distance (VAD) manuelle est un usage empirique, fortement promu à une certaine époque par la réservation en ligne. Aujourd’hui, ce mode de réservation va à l’encontre de toutes les normes et recommandations de sécurité bancaire. La fracture numérique est le principal frein à la suppression de cet usage, notamment auprès des personnes âgées ne disposant pas de carte bleue, ni de mobile.

Pourtant, dans moins de 10 ans, cette pratique sera totalement supprimée afin d’éviter de prendre les risques suivants :

• erreur de saisie ;
• temps perdu par les équipes ;
• non-solvabilité du client ;
• contestation en cas de fraude et perte totale pour l’hébergeur des sommes saisies ;
• image négative et peu rassurante renvoyée au client sur votre établissement.

Important : votre client est avant tout un consommateur fortement imprégné des normes de paiements sécurisés en e-commerce. Une saisie manuelle de carte bancaire ne peut que diffuser une image vieillissante de votre établissement

Pour bénéficier de fonctionnalités automatiques libérant de tâches chronophages

Les fonctionnalités d’automatisation d’un PMS autour des transactions bancaires occupent un rôle central pour assister les équipes dans le volume immense d’opérations à effectuer dans un minutage serré.

Ainsi, à l’instar de la prise d’empreinte, la pré-autorisation est un dispositif financier de prise de caution sécurisée valable 7 jours et émise par la banque du porteur de la carte sur le montant du séjour. L’émission d’une pré-autorisation ayant une incidence sur la capacité d’achat liée à la carte bancaire du client, il est important :

• de ne pas surestimer ce montant pour ne pas impacter de façon injustifiée la capacité de paiement ;
• de relâcher le surplus si le montant était bien inférieur ;
• de procéder à une libération d’autorisation si le paiement n’a au final pas lieu (annulation ou no-show) ou s’il est effectué par un autre mode de règlement.

Pour tous ces aspects, le PMS intégrant un système de paiement sécurisé est une aide au quotidien.