Con millones de transacciones a diario a nivel global, la industria hotelera es la más afectada por los ciberataques que cada vez son más frecuentes. ¿Solucionara la entrada en vigor de la GDPR (General Data Protection Regulation) este problema?
¿Porque se han convertido los hoteles en el talón de Aquiles de la seguridad de datos?
El aumento de los ciberataques de los últimos años en la industria hotelera y sobre todo en los hoteles independientes, es debido al nivel bajo de protección del que disponen los hoteles.
Recientemente, la industria hotelera ha tenido que adaptarse a las nuevas tecnologías para poder automatizar procesos y ofrecer un canal directo de contacto y reserva al cliente, pero la seguridad de datos, en muchos de los casos, no ha sido una prioridad. Por esta razón, las inversiones realizadas en seguridad han sido inferiores y el hotel se ha convertido en el actor más vulnerable que sufre ataques a diario.
Existen también otros motivos por los que el hotel, hoy en día, es una de las estructuras más inseguras en materia de protección de datos, entre ellos y el más importante es el factor humano. El personal del hotel, en muchos casos carece de una formación acerca de la importancia de la seguridad y el correcto uso de las tecnologías implementadas con este objetivo. De esta forma nos encontramos en muchas ocasiones con números de tarjetas guardadas en un documento en el escritorio, screenshots con datos de clientes enviados por email, llamadas telefónicas a clientes solicitando datos de tarjeta, etc.
Si realizamos una inversión en una plataforma segura, es necesario que la implementación de la misma venga acompañada de formación al personal del hotel, para darle el uso adecuado y de esta forma evitar que los datos se traspasen de un mundo online y seguro a un mundo offline y vulnerable.
Unas de las medidas inmediatas que pueden tomar con el fin de cumplir la nueva Ley de Protección de Datos (GDPR), que entrará en vigor a partir del 25 de mayo 2018, serian la implementación de un motor de reservas con Certificado PCI y la formación del personal en materia de tratamiento de datos con carácter personal.
¿Qué es la Certificación PCI?
El PCI Security Standards Council es un foro mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas. Establece una serie de standards que deben cumplir las plataformas de ecommerce como los motores de reservas. Para que un motor tenga la certificación PCI debe someterse a una auditoria que garantiza que cumple todos los standards de seguridad que exige.
Mas sobre la GDPR
La entrada en vigor de la nueva Ley de Protección de Datos Europea (GDPR), busca garantizar la privacidad de todos los ciudadanos de la Unión Europea y las consecuencias por no seguir estas estrictas leyes son severas y pueden perjudicar a los ingresos de los hoteles que no adopten las medidas recomendadas en la fecha de 25 de mayo del 2018.
¿Cuáles son las sanciones por incumplimiento de la GDPR?
Las organizaciones pueden recibir una multa de hasta el 4% de la facturación global anual por incumplimiento de GDPR o de 20 M €. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por diseño. Hay un enfoque escalonado de multas. Una empresa puede recibir una multa del 2% por no tener sus registros en orden (artículo 28), no notificar a la autoridad supervisora y al sujeto de datos sobre una infracción o no realizar una evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las «nubes» no estarán exentas del cumplimiento de la GDPR.
¿Qué ocurre con los datos de los menores de 16 años?
Se requerirá el consentimiento de los padres para procesar los datos personales de niños menores de 16 años para las reservas online. Los estados miembros pueden legislar por una edad menor de consentimiento, pero esta no será menor de 13 años.
Con el fin de cumplir con el nuevo reglamento, evitar sanciones y ofrecer confianza a los huéspedes, les recomendamos ver la información completa acerca de la GDPR, proporcionada por la Unión Europea.