A2SECURE ofrece las claves para proteger al hotel ante al robo de tarjetas

El robo de datos se ha convertido en una práctica muy habitual en el sector turístico. En los últimos meses grandes empresas como British Airways han perdido más de 380.000 datos pertenecientes a las tarjetas de crédito de sus clientes. El fraude se efectuó en la página web de la aerolínea y a través de su aplicación móvil. Asimismo, Cathay Pacific asegura que 9,4 millones de sus clientes se han visto afectados por robo de datos.

También los hoteles han sufrido ataques. La cadena Hyatt tuvo una brecha de seguridad con los TPV’s de 41 de sus establecimientos a través de un malware (virus) que infectó los terminales, extrayendo todos los datos de tarjeta de crédito (titular, número, fecha de caducidad e incluso el CVV). Radisson Hotel Group confirmó hace poco tiempo que tuvo una brecha de seguridad que afectó a buena parte de sus clientes “Rewards members”.

El fraude va en aumento

Según los bancos adquirientes con los que A2SECURE tiene contacto, la cifra de casos de fraude en turismo va en aumento. Este sector gestiona muchos datos de carácter personal de sus clientes y de tarjetas de crédito que hace que sea muy jugoso para el hacker o ciberdelincuente. Éste intenta extraer la información y venderla en la Deep web (https://en.wikipedia.org/wiki/Deep_web) o realizar compras por internet.

Pero, ¿cómo es posible que una aerolínea como British Airways o una cadena hotelera como Hyatt hayan perdido toda esta información? ¿No disponían de las medidas de seguridad adecuadas? ¿Están a salvo nuestros datos cuando realizamos compras por internet o cuando vamos a un hotel?

Los hoteles reciben datos e información sobre sus clientes por numerosos medios.

Si analizamos la casuística concreta de los hoteles, es evidente que disponen de muchas entradas de datos. Por ejemplo, en la recepción es habitual pedir la tarjeta de crédito como garantía por si el cliente realiza algún gasto; también reciben ficheros desde OTA’s y Channel Managers con los datos bancarios para realizar el cobro o incluso para cobrar los no-show. Además, existen otros canales, como llamadas telefónicas o la recepción de correos electrónicos con las tarjetas escaneadas, entre otros.

Por tanto, son muchos los canales por donde se reciben datos de los clientes y a los hoteles les resulta muy complicado gestionar toda esta información y minimizar el riesgo de fuga de la misma y el robo de datos.

Por ello, los bancos adquirientes obligan a los hoteles a cumplir con la normativa PCI-DSS (para proteger los datos de tarjeta de crédito). No obstante, cumplir con la misma es muchas veces una tarea muy ardua.

Expertos de A2SECURE en el sector turístico y en la normativa PCI-DSS explican los principales aspectos a tener en cuenta en los hoteles para cumplir con este reglamento sin perder lo más importante: beneficios, rendimiento y operatividad.

• PMS compliance. Si el hotel almacena datos de tarjeta de crédito en el PMS, debe asegurar que éste cumple con la normativa PCI-DSS para proteger la información.
• Usuarios nominales. Los clientes que puedan visualizar los datos de tarjeta de crédito o introducir estos datos en el PMS deben ser usuarios nominales. El sistema debe disponer de auditorías para tener el control sobre quién visualiza o introduce estos datos.
• Recepción de ficheros OTA’s compliance. Algunas OTA’s y Channel Managers envían los datos de la reserva incluyendo los 16 dígitos de la tarjeta de crédito de los clientes. En cumplimiento de la normativa, los hoteles deben asegurarse de recibir los datos de manera cifrada y enmascarada. Para ello es necesario disponer de registros de auditoría y de sistemas que tokenicen (transformar datos) estos datos para que cuando lleguen a los sistemas, como el PMS, cumplan con la normativa PCI-DSS.
• Documentos en papel. Muchos establecimientos apuntan los datos de tarjeta de crédito en un papel para introducirlos después en el PMS o simplemente para guardarlos por si el cliente realiza algún consumo que no ha sido identificado en el check-out. La normativa PCI-DSS es muy estricta y exige que la información anotada en un papel debe almacenarse en un lugar seguro, con control de acceso, y adoptar, por parte del hotel, medidas de seguridad para protegerlos ante cualquier empleado que pudiera hacer un mal uso de los datos. Por ello, es importante cambiar los procedimientos internos de los hoteles y erradicar prácticas como apuntar o almacenar datos de tarjeta de crédito en papel.
• CVV. Los 3 o 4 dígitos que aparecen en el reverso de la tarjeta de crédito no se pueden almacenar tras la autorización de la transacción.
• Datáfonos, TPV Virtuales compliance. La mayoría de estos dispositivos son PCI-DSS compliance. No obstante, se debe realizar un seguimiento y un control de los mismos para asegurar que no son manipulados y que cumplen con los controles estrictos de seguridad.
• Password visibles. Los sistemas que utilizan datos de tarjeta no deben situar las contraseñas en lugares visibles. Por ejemplo, cuando se accede a los portales de las OTA’s para ver las reservas, desde la recepción de los hoteles se utiliza el mismo usuario y contraseña. A veces, incluso existe un documento Excel con el listado de todas las OTA’s con el acceso directo, el usuario y la contraseña para entrar. Esto implica que cualquier persona que accediera a un terminal de la recepción del hotel podría ver todas las reservas y extraer datos de carácter personal y de las tarjetas de crédito.

Es conveniente no olvidar, por tanto, que si los sistemas son seguros pero las personas que trabajan con ellos no saben cómo actuar, el riesgo de pérdida de información no disminuye. La formación continuada de los empleados se convierte así en un factor fundamental para asegurar que todos entienden los riesgos que supone el manejo de datos y cumplen los procedimientos de los hoteles de acuerdo con la normativa PCI-DSS.

Si necesitas asesoramiento, no dudes en contactar con uno de nuestros expertos de A2SECURE. A través de info@a2secure.com o a través de nuestra web: https://www.a2secure.com/contact/