La protección de datos en los hoteles es hoy por hoy esencial para mantener la confianza del cliente. Cumplir con el estándar PCI-DSS (Payment Card Industry Data Security Standard) no es en la actualidad obligatorio para los hoteles, aunque según prevé Javier Silvestre, Director General de Idiso, pronto las empresas hoteleras tendrán que ponerse al día con esta normativa, ya que «ningún banco querrá trabajar con un hotel» que no cumpla con dicho estándar. Silvestre nos habla sobre la importancia de seguir un protocolo de protección de datos en los hoteles y nos muestra las exigencias del estándar PCI-DSS.
- ¿Están los hoteles preparados para proteger los datos de sus clientes?
En un contexto donde el comercio electrónico se ha convertido en una forma de compra totalmente asimilada y habitual por todos los usuarios y donde la información es más valiosa y delicada que nunca, el protocolo PCI-DSS, del que probablemente la gran mayoría de los hoteles hayan oído hablar en alguna ocasión, vigila por la seguridad de los datos de los usuarios que reservan y gestionan su pagos a través de los medios electrónicos del hotel como, por ejemplo, su propia web.
Recientemente, grandes cadenas hoteleras han tenido que lamentar filtraciones en la seguridad de sus sistemas que han afectado a los datos de cientos de clientes. Independientemente del tamaño del hotel, la protección de datos es, hoy por hoy, esencial para garantizar la confianza del cliente. Un fallo de seguridad no sólo conlleva graves multas, también afecta negativamente a la confianza del consumidor y a su lealtad en el futuro.
- ¿Sabes qué significa PCI-DSS?
Las siglas PCI-DSS significan Payment Card Industry Data Security Standard. El estándar desarrollado por PCI Security Standards Council y por las principales empresas emisoras de tarjetas de crédito es un manual de buenas prácticas que vela por la seguridad de los datos relacionados con dichas tarjetas, ya sea en TPV físicos como en pasarelas de pago online.
Desgraciadamente, aún así, no hay ningún sistema absolutamente infalible, es decir, esta certificación no garantiza que no se pueda producir un robo de información, pero en un futuro inminente será una exigencia de los bancos a hoteles de cualquier tamaño.
- ¿Es obligatorio para los hoteles estar al día?
Cumplir con la validación PCI-DSS no es obligatorio por ley para los hoteles pero sí imprescindible para su buen funcionamiento. Hasta ahora, la exigencia en el cumplimiento de esta normativa afectaba únicamente a los proveedores de los hoteles como motores de reserva, fabricantes de PMS, channel managers, etc. Pero muy pronto, los bancos exigirán a todos los hoteles que también se pongan al día, ya que ningún banco querrá trabajar con un hotel que no lo haga. Del mismo modo, también exigirán que el hotel trabaje en todos los casos con proveedores externos que cumplan escrupulosamente el estándar de seguridad.
- ¿Qué deben hacer los hoteles para obtener este certificado?
Conseguir y mantener la certificación PCI DSS al día es muy laborioso y costoso. Tanto en su gestión, ya que implica escaneos de toda la infraestructura para corregir posibles vulnerabilidades o la revisión de políticas de seguridad, como en el proceso, se hace absolutamente necesario ponerse en manos de una empresa de certificación cualificada. Es importante indicar que se trata de un proceso recurrente todo el año para garantizar el entorno seguro requerido.
- ¿Qué es lo que exige a los hoteles la validación PCI DSS?
Puedes descargar aquí una guía completa sobre el procedimiento y los requisitos para adaptar tu hotel a la norma pero, de manera esquemática, son estos doce elementos:
- Instalar y mantener una configuración segura del firewall
- Evitar utilizar parámetros determinados por defecto
- Garantizar la protección de los datos almacenados
- Codificar los datos de las tarjetas a través de redes públicas abiertas
- Actualizar constantemente las versiones de los antivirus
- Desarrollar y mantener aplicaciones y sistemas seguros
- Restringir el acceso de los clientes a determinados datos
- Asignar una ID única a cada cliente
- Limitar el acceso físico a los datos
- Rastrear y monitorizar a todos los datos
- Evaluar constantemente la seguridad del sistema
- Apostar por una política de seguridad sólida; desde los datos de los trabajadores de la empresa hasta los clientes.
A grandes rasgos, la adaptación al estándar PCI-DSS no sólo implica una inversión de tiempo y dinero, sino que hace que el tratamiento y gestión del hotel se complique en determinados aspectos.
Para empezar, cualquier empleado del hotel que tenga acceso a los datos de los clientes deberá contar con un perfil de usuario único, de modo que sea posible monitorizar el uso que se realiza de dichos datos o localizar un error en caso de producirse. En muchos casos será necesario habilitar espacios separados para toda la logística que gestiona datos de los usuarios e instalar cámaras de vigilancia en dichos espacios, así como controlar las entradas y salidas.
En lo que se refiere al personal del hotel será necesario planificar una serie de mecanismos de formación para todos aquellos profesionales que tengan contacto con los datos de los clientes. Una formación que, por otra parte, debe ser continua, ya que la validación debe renovarse año tras año.
- ¿Cómo deben tratar los hoteles los datos de las tarjetas de sus clientes?
Además de una protección extremadamente estricta en lo que se refiere al almacenamiento y transporte de datos, la normativa sólo permite almacenar el número completo de tarjeta, nombre del titular y fecha de caducidad. Está prohibido almacenar cualquier código de seguridad de la misma, o guardar el número de tarjeta completo en ningún sistema informático no permitido. Los datos de tarjeta, deben almacenarse cifrados, con algoritmos de cifrado robustos, pudiéndose almacenar únicamente durante el tiempo establecido. A la vez, tendrán que ser eliminados de forma segura.
Beneficios de contar con la validación PCI DSS
Obtener la certificación PCI-DSS puede parecer un proceso tremendamente complicado pero una vez puesto en marcha cada renovación será un poco más sencilla, siempre teniendo en cuenta que la norma evoluciona y puede ser necesario enfrentarse a nuevos requerimientos. En cualquier caso, activar este procedimiento pasará de ser una opción a una obligación que todo hotel deberá cumplir. Es mejor comenzar cuanto antes.
Además, el hotel debe contemplar este esfuerzo como una forma de diferenciación y excelencia de cara a sus clientes, gracias a estos cuatro elementos:
- La protección de los datos de tarjeta de los clientes
- El mantenimiento de la confianza de los consumidores a través de un mayor nivel de seguridad de datos.
- Salvaguarda de la reputación de marca.
- Disminución de las posibles pérdidas financieras y de imagen derivadas de riesgos de seguridad.