Kreditkarten werden gemäß den folgenden PCI DSS-Anforderungen behandelt:

1. Physischer Zugang 

Clock Cloud-Anwendungen werden auf "Amazon Web Services" gehostet.

Die "Amazon Web Services" entsprechen den folgenden Vorschriften, Standards und Best Practices: PCI DSS Level 1, HIPAA, SOC 1/S SAE 16/ISAE 3402 (ehemals SAS70), SOC 2, SOC 3, ISO 27001, FedRAMP(SM), DIACAP und FISMAITAR, FIPS 140-2, CSA, MPAA

2. HTTPS.

Alle Daten werden nur über HTTPS (Hypertext Transfer Protocol Secure) übertragen.

3. Verschlüsselung

Kreditkartendaten werden verschlüsselt, bevor sie gespeichert werden. Reine Kreditkartendaten werden nirgendwo im gesamten System gespeichert, einschließlich Datenbank, Webserverprotokollen, Anwendungsprotokollen oder anderen Dateien.

4. Masking PAN

Die maskierte PAN-Nummer der Kreditkarte wird für Präsentationszwecke verwendet. In Berichten, Folios und Listen wird PAN als "XXXX-4567" dargestellt.

5. Benutzerzugriff

Der Zugang zur vollständigen Kreditkarte ist mit einem Sonderrecht eingeschränkt. Das Recht sollte von einem Administrator anderen Benutzern gewährt werden, damit diese die vollständigen Kreditkartendaten einsehen können.

6. Benutzerzugriffsverlauf

Alle Messwerte der vollständigen Kreditkartendaten werden mit dem Benutzernamen, der IP-Adresse und Datum / Uhrzeit in einem speziellen Bericht ("Kreditkartenprotokoll") protokolliert.

7. Verantwortlichkeiten für das Löschen von Daten nach der Autorisierung

Nach der Autorisierung sollten Kreditkartendaten gelöscht werden. Überprüfen Sie die folgende Tabelle, um Ihre und die Verantwortlichkeiten von Clock PMS+ besser verstehen zu können.

FallVerantwortlichkeiten
Online-Kreditkartenzahlung im Web-Reservierungssystem, im Geschenkgutschein-Shop oder im Self-Service-PortalClock PMS+ speichert die Kreditkartendaten nicht.
Sammeln und Speichern von Kreditkartendaten in Buchungen zur späteren manuellen Verarbeitung mit Kreditkarten/virtuellem TerminalDer Benutzer ist für die Entsorgung der Daten nach dessen Autorisierung verantwortlich. Lassen Sie das Kontrollkästchen "Kreditkartendaten löschen" aktiviert, wenn Sie eine Zahlung im System hinzufügen, oder löschen Sie die Karte aus der Buchung.
Online-Kreditkartenzahlung im Backoffice mit neu eingegebenen KreditkartendatenClock PMS+ speichert die Kreditkartendaten nicht.
Online-Kreditkartenzahlung im Backoffice unter Verwendung vorhandener KreditkartendatenDer Benutzer ist für die Entsorgung der Daten nach dessen Autorisierung verantwortlich. Lassen Sie das Kontrollkästchen "Kreditkartendaten löschen" aktiviert oder löschen Sie die Karte aus der Buchung
Nicht importierte OTA-BuchungenDer Benutzer ist für die Entsorgung der Daten nach Behebung des Problems verantwortlich. Löschen Sie die Daten aus dem Kanalposteingang.
Importierte OTA-BuchungenClock PMS+ entsorgt die Kreditkartendaten aus dem Posteingang des Kanals.

8. Richtlinie zur Aufbewahrung von Kreditkartendaten

Clock PMS+ bewahrt eine Aufbewahrungsrichtlinie für Kreditkartendaten bei. Wenn vertrauliche Informationen auf eine der oben genannten Arten nicht gelöscht werden, löscht das System automatisch die Kreditkartendaten wie folgt:

FallAufbewahrungsfrist
Normale Buchungen3 Tage nach dem Abreisetag der Buchung, unabhängig vom Check-out
Stornierungen3 Tage nach dem Datum der Stornierung der Buchung
Nicht importierte OTA Buchungen14 Tage nach dem erfolglosen Import der Buchungsinformationen wird aus dem Posteingang des Channel Managers gelöscht
Firmenkreditkarten1 Tag nach Ablauf des Gültigkeitsdatums der Kreditkarte (Monat / Jahr)