Fugas de información en hoteles: cómo proteger la información de tus clientes

A2Secure

La protección de datos en los hoteles hoy en día es muy importante para mantener la confianza de los clientes. Los hoteles se enfrentan a diversos retos relacionados con datos de tarjetas de clientes, ya que manejan gran cantidad de información sensible de todas las personas que pasan por sus alojamientos, incluyendo los datos de sus tarjetas de crédito.

¿Los hoteles están preparados para proteger los datos de tarjetas de sus huéspedes?

Hace unos años no era obligatorio para los hoteles cumplir con el estándar PCI-DSS (Payment Card Industry Data Security Standard), pero en la actualidad han ocurridos tantos fraudes en el sector hotelero que deben ponerse al día con esta normativa, ya que “ningún banco querrá trabajar con un hotel” que no cumpla con dicho estándar. Del mismo modo, también exigirán que el hotel trabaje en todos los casos con proveedores externos que cumplan escrupulosamente el estándar de seguridad, es decir, disponer de un PMS que cumpla con PCI-DSS, que las OTA’s con las que trabajen también cumplan con el estándar…

¿Qué deben hacer los hoteles para obtener este certificado y cumplir con PCI-DSS?

Ponerse en manos de una cualificada y experta consultora en la norma PCI-DSS ayudará a conseguir y mantener una infraestructura adecuada para lograr cumplir con la normativa PCI DSS, aunque no hay que olvidar que cumplir el estándar, es una tarea costosa y laboriosa. A su vez, es importante recalcar que se trata de un proceso recurrente y continuado en el tiempo para garantizar que el entorno sea seguro.

¿PCI DSS afectará al día a día de los hoteles?

A nivel de infraestructura, las empresas Hoteleras deben centrarse en cambiar o asegurar que los sistemas informáticos que guardan la información de las tarjetas de crédito estén correctamente protegidos y encriptados siguiendo con la PCI-DSS.
A nivel de procesos y procedimientos puede afectar al Departamento de Reservas y Recepción, ya que son los encargados de recoger esta información, realizar los cobros a los clientes, los No-shows, etc.

  Nuevos Requerimientos PCI-DSS para Service Provider

¿Existen soluciones?

Una posible solución para los hoteles es trabajar con Tokenización, donde en el momento de almacenar la numeración clásica de una tarjeta, se realice a través de un código (llamado token). De este modo, se certificará que la tarjeta es correcta y, por consiguiente, el hotel no almacena los datos de tarjeta, sino que estos son almacenados por el proveedor que proporciona el servicio de tokenización. De esta manera, cuando el cliente realiza el pago mediante el servicio de pago tokenizado, se envía un token que sustituye los datos confidenciales de la cuenta del titular de su tarjeta, consiguiendo evitar así toda posibilidad de uso fraudulento de dichos datos, en el desafortunado caso de que llegaran a manos de terceros.

Consejos para limitar el riesgo y gestionar un posible fraude

  • Nunca almacenar datos de autenticación de tarjetas dentro del entorno de tu web, ni siquiera en los logs del sistema. Asegúrate que esto se cumple también si tienes externalizado el alojamiento de tu web.
  • Revisa la seguridad del TPV con el proveedor.
  • Comprueba que las comunicaciones, tanto con el proveedor como con los clientes, se realizan con protocolos seguros.
  • Revisar si realmente necesitas almacenar datos de tarjetas de crédito/débito. Si no lo necesitas, no lo hagas, externaliza completamente las transacciones financieras en terceros que cumplan PCI-DSS.
  • Si se requiere almacenar datos de tarjetas, consolídalos y cífralos.
  • Implanta autenticación de doble factor para los accesos de administrador, sobre todo si el acceso es desde el exterior de tus instalaciones.
  • Recibir cursos de formación para los empleados del hotel sobre tratamientos de datos periódicamente.
  ¡Defiéndete ante un ataque de cryptojacking!

Leave a Comment