Информационная безопасность гостиничного бизнеса

08.02.2021

Разместим ваш отель на Яндекс Картах, Ozon Travel, Циан и еще 40+ каналах

Никакой ручной работы и дублей! Синхронизируем данные между всеми ОТА

Хочу много гостей

Почему отель должен заботиться об информационной безопасности?

Для мошенников главная ценность – это данные кредитных карт гостей.
38% взлома данных произошло именно в отелях, а из украденных данных 98% было информацией о кредитных картах (По данным исследования Trustwave SpiderLabs)

Поскольку отель является оператором персональных данных, в случае кражи и распространения данных гостей, включая персональные данные и данные платежных карт, отель несет ответственность за их сохранность.
– Лица, виновные в нарушении требований 152 ФЗ РФ “О персональных данных”, несут гражданскую, уголовную, административную ответственность.
– На отель может быть наложен штраф до 18 млн рублей.

Более 50% гостей не поедут в отель, если узнают, что отель не соблюдает правила безопасности данных.
По статистике компании Morfices (системы кибербезопасности).

Чуть ли не каждую неделю появляются новости в СМИ об утечке данных пользователей.

Например:

– Персональные данные 1,2 млрд пользователей соц.сетей Facebook, Twitter, LinkedIn утекли в сеть.
– На продажу выставлена база данных 20 млн пользователей Instagram
– Данные 2,5 миллионов клиентов Yves Rocher оказались в открытом доступе
– Утечка данных 900 тыс. клиентов Сбербанка.
– Утечка данных 500 млн пользователей Marriott
– Утечка банковских данных почти 400 тыс. клиентов British Airways

Как защитить персональные данные в отеле?

Утечка персональных данных может случится в любом отеле прямо сегодня.
Это может произойти по вине человека или машины (программы).

Одна из причин утечки персональных данных – человеческий фактор.

По данным исследования Лаборатории Касперского около 58% всех киберинцидентов в компаниях (например, утечек данных в открытый доступ или краж денег со счетов клиентов) происходит по вине сотрудников.
Чаще всего безопасность фирмы под угрозу ставится не по злому умыслу работников, а из-за неосторожности или незнания.

Чтобы минимизировать риски утечки персональных данных советуем вам установить для сотрудников
правила работы с паролями.

Пример сложного пароля: !9)Liq3*Bz.

Например, Keepass или 1password. Вам не нужно будет запоминать все пароли, а только один – от менеджера паролей.

Например, info@hotel.com, для входа в сервисы на онлайн-платформы.

Двухэтапная верификация – это дополнительный уровень безопасности, который поможет защитить от хакеров, даже если им удастся найти ваш пароль.

Например, если взломают бизнес аккаунт отеля в фейсбук, то под тем же паролем нельзя было бы войти и в почту.

Этот сайт проверяет, не была ли ваша почта вовлечена в нарушения.

ТОП-5 самых популярных в мире паролей:

1 место – 12345
2 место – 12345678
3 место – qwerty
4 место – password
5 место – 123456

Кроме математических методов кражи данных (подбор пароля), мошенники используют психологические методы.
Так называемый Social Engineering.
Это когда вы сами даете злоумышленнику доступ к почте, социальным сетям или рабочим инструментам, таким как PMS.
Статистика из банковской сферы: в России 80% атак совершается по сценариям social engineering.
В большинстве таких случаев (79%) жертвы сами переводят злоумышленникам деньги.

Фишинг

Распространенный метод кражи данных, позволяющий обмануть пользователя и заставить его раскрыть свой пароль, номер кредитной карты и другую конфиденциальную информацию.
Пример фишинга:
Вы получаете письмо от известной вам компании и сами вводите логин и пароль, не замечая, что страница поддельная. Она очень похожа на оригинальную, но например с чуть измененным адресом.
Внимательно смотрите адрес электронной почты, с которой пришло письмо!

Вторая причина утечки персональных данных – это программное обеспечение.

Удостоверьтесь, что поставщик программного обеспечения использует для передачи информации стандарт шифрования TLS (Transport Layer Security), который используется в целях создания защищенных онлайн-соединений.

Удостоверьтесь, что данные банковских карт гостей хранятся в соответствии со стандартом Payment Card Industry Data Security Standard (PCI DSS), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.
К примеру, CVC код в Bnovo можно посмотреть только 1 раз. Это также стандарт PCIDSS.

Удостоверьтесь, что сервера, на которых хранятся персональные данные расположены в РФ , в соответствии с требованием 152 ФЗ, сертифицированные и соответствуют самым высоким стандартам безопасности.

Удостоверьтесь, что облачная система управления отелем обеспечивает сохранность персональных данных в соответствии с требованием 152 ФЗ, что подтверждено соответствующим сертификатом.
Одна из мер защиты в Bnovo – это ограниченное время сессии – после 20 минут бездействия в программе вам нужно заново ввести логин и пароль, на случай, если сотрудник покинул рабочее место и не заблокировал компьютер.

Информационная безопасность = безопасность вашего бизнеса. Создавайте правила информационной безопасности для сотрудников и выбирайте надежных поставщиков программного обеспечения..

Валентин Микляев
CEO Bnovo

Василиса Щебет

Окончила с отличием СЗАГС при Президенте РФ и уже более 20 лет успешно работает в сфере связей с общественностью. С 2022 года является ведущим специалистом по развитию и коммуникациям с партнёрами Bnovo в IT-компании Bnovo. Автор многочисленных статей, посвященных гостиничному бизнесу и индустрии гостеприимства.

Рассказать отельерам