La gestión de cobros y devoluciones es un gran quebradero de cabeza para la inmensa mayoría de los hoteles. Exige cada vez más tiempo, genera costes directos, es fuente de incidencias y reclamaciones de clientes y la devolución de cargos por parte de éstos resulta altamente frustrante.

El problema radica en la falta de herramientas y automatizaciones en la operativa hotelera al recibir reservas de pago directo garantizadas por tarjeta de crédito. Esto desemboca en procesos manuales, poco seguros y, en muchos casos, fuera de la normativa vigente de tratamiento de tarjetas PCI.

Pago seguro o 3D-Secure para evitar el retroceso de cargos

El disponer de la tarjeta del cliente, incluso el CVV2, ya no es suficiente para garantizar el cobro. El elevado fraude en los pagos por internet han hecho que la devolución de cargos sea una operativa nada ajena al sector, que genera un gran sentimiento de indefensión. Hablamos siempre de reservas de pago directo:

• En tarifas no-reembolsables ¿cómo realizar el cargo de manera segura?
• En tarifas flexibles, ¿cómo cobrar la penalización en caso de cancelación fuera de plazo o no showde manera segura?

El “pago seguro” o “3D Secure” es la única manera de realizar un cargo con tarjeta de crédito sin posibilidad de retroceso por parte del cliente. Implica la confirmación de la identidad del cliente mediante el uso de un PIN de validación que el cliente introduce siempre en la web del banco (nunca en la del comercio) y que a efectos legales es como si el cliente ha estado en el hotel, mostrado su identificación y firmado.

Por otro lado tenemos los “pagos no seguros”, donde el cliente no ha validado su identidad y dispone de un plazo de tiempo para retrocederlos sin demasiado esfuerzo (por ejemplo, una denuncia policial) que, hasta que no vence, no puedes estar tranquilo de que has cobrado.

Un problema añadido es que no todas las tarjetas de crédito son aptas para el “pago seguro” y sólo aceptan “pagos no seguros”. El sólo aceptar “pago seguro” hará que pierdas las ventas de los usuarios que utilizan las tarjetas que no estén todavía habilitadas.

Otros medios de pago alternativo como Paypal tampoco garantizan el “pago seguro” a no ser que se active la opción 3D Secure en el momento del pago. Amazon Pay no trabaja directamente con 3D Secure y aplican algoritmos de riesgo propios con los que consiguen, según ellos, llevar los casos de fraudes a mínimos a la altura de la validación 3D Secure. 

Normativa de seguridad PCI para evitar el riesgo de fraude en tu hotel

Pero la problemática no acaba ahí. Los cada vez más exigentes estándares de seguridad, como PCI, también obligan al sector a reevaluar y modificar su operativa de cobros al completo.

Los principales emisores de tarjetas, con Visa y Mastercard a la cabeza, imponen una creciente presión a los bancos para que exijan el cumplimiento de la normativa PCI a todos sus clientes. En el sector hotelero y de distribución, empezaron por los que más volumen de tarjetas de crédito gestionaban como grandes redes, agencias online y herramientas de e-commerce como channel managers y motores de reservas.

La realidad es que muy pocos hoteles cumplen la normativa PCI, algo que tendrá que cambiar más pronto que tarde. Es momento de que el sector se ponga manos a la obra, asigne los presupuestos necesarios y esté dispuesto a hacer muchos cambios en su operativa.

Tres alternativas para cumplir la normativa PCI:

• La primera, bastante irreal: Trabajar solo con canales a crédito(donde ellos cobran al cliente y luego te pagan a ti). En este caso no necesitas cumplir la normativa PCI al no manejar tarjeta alguna de clientes.
• La segunda alternativa es obtener la certificación PCI,con las implicaciones que conlleva que son muchas, profundas e inasumibles en muchos casos (formación y reciclaje continuo del personal, vigilancia permanente y guardado de un registro escrito de toda actividad relativa al acceso a una tarjeta, recertificación y auditoría anual…)
• La tercera es no necesitar certificarse consiguiendo que toda la operativa del hotel esté libre del uso directo de tarjetasde crédito. Esto no quiere decir que el hotel no pueda guardar tarjetas de crédito de sus clientes. Puede y debe hacerlo, pero siempre vía un proveedor sí certificado PCI que le abstraiga de la complejidad que requiere este almacenamiento. Tampoco quiere decir que no pueda usar estas tarjetas para hacer cargos o devoluciones. Puede, pero siempre mediante herramientas adaptadas y certificadas que faciliten esa labor y nunca haciendo trabajo manual con la numeración de la tarjeta

¿Cómo consigo una operativa sin acceso en ningún momento a la tarjeta del cliente? Introduciendo una herramienta que automáticamente tokenice todas las tarjetas de tus clientes. Lo que hará esta herramienta es guardar todos los datos por ti, ocultándote el PAN (numeración de la tarjeta) a cambio de un número de referencia (o token) que podrás usar para hacer consultas, cargos y devoluciones.

La gran pregunta es ¿en qué nivel integramos esta tokenización?

Desde nuestro punto de vista el lugar natural es el PMS que es donde se descargan todas las reservas (y las tarjetas como garantía). Si, tras consultar a tu PMS, no te da respuesta, te tocará abordarlo en el channel manager, que es quien normalmente gestiona las reservas de todos los canales hacia el PMS. Si tu channel manager tampoco te ofrece alternativas de tokenización tendrás que resolverlo canal a canal, con la complejidad y desgaste que ello supone.

1. EnBooking.com y Expedia en la modalidad de “Hotel collect”, hasta la fecha sólo puedes resolver los cobros sin acceder a la tarjeta del cliente mediante “tarjetas virtuales”, lo que operativamente está muy bien, pero que añade un elevado coste, de hasta el 3% en algunos casos, cobrado por tu banco, que frena su adopción por parte de la mayoría de los hoteles.
2. En tu web directa, deberás integrar una herramienta de tokenizaciónen tu motor de reservas para que cada reserva que entre automáticamente te genere un token sobre el que operar posteriormente. Una buena alternativa sería AddonPayments de Comercia Global Payments y participada por CaixaBank, con quien Mirai se acaba de integrar.
3. En las reservas telefónicasy por email la operativa debería cambiar por completo, redirigiendo al cliente en el momento del pago a un sistema robotizado de voz o una aplicación web segura para recoger y tokenizar las tarjetas automáticamente.

¿Cómo combinan la seguridad en el cobro y cumplimiento con la normativa PCI?

Son temas totalmente diferentes pero a la vez muy relacionados lo cual puede generar confusión. A día de hoy, la inmensa mayoría de los hoteles usan medios manuales para cobrar y, por tanto, no seguros ni compatibles PCI. Aún sin estar directamente relacionados, el cambio a pagos seguros y compatibles PCI debe ser abordado como un mismo proyecto y ejecutado con visión estratégica y a largo plazo.

En esta tabla resumimos las diferentes alternativas y cómo combinan entre ellas.

Un nuevo concepto: la paridad de “calidad y seguridad del cobro”

En el sector estamos acostumbradosa hablar de paridad de precios, inventario o incluso de condiciones de reserva. Pero nunca se ha hablado de la diferencia entre canales del riesgo de retroceso de cobro o su compatibilidad PCI.Las OTA de pago directo generan más costes y riesgos que la mera comisión: no aseguran la no retrocesión del cargo,  no facilitan el cumplimiento PCI y su alternativa para solucionar ambos problemas, el uso de “tarjetas virtuales”, incrementa los costes.

Si, en cambio, en nuestro canal directo podemos automatizar los cobros, securizarlos mediante pasarelas de pago seguro, tokenizando todas las tarjetas y todo sin incrementar el coste, ¿no debería tener el canal directo una ventaja competitiva en precio respecto a las OTA? A fin de cuentas, las reservas de tu web son más seguras, más rentables y más PCI. ¿No deberías favorecerlas con un mejor precio para el cliente?

Es una mala práctica implementar una pasarela de pago segura en tu web dejando abierta esta misma tarifa en Booking.com (aunque sea no reembolsable ya que el cobro será “no seguro” y manual en el hotel) y manteniendo paridad de precios.  De hacerlo, asegúrate que la tarifa publicada en la web es más competitiva que la de Booking.com, repercutiendo en el cliente final parte de los beneficios que te ofrece a ti que elija tu web sobre cualquier otro canal.

Conclusión

Hay mucho trabajo por hacer y muchas herramientas que cambiar o incorporar. Es momento de empezar a pensar en cómo abordar toda esta transformación y aprovecharlo en beneficio de los intereses del hotel, antes de que las exigencias bancarias se eleven y las restricciones que impongan sean inasumibles. Tienes la oportunidad de que tu venta directa vaya un paso por delante, de momento.