Почему отель должен заботиться об информационной безопасности?
Для мошенников главная ценность — это данные кредитных карт гостей.
38% взлома данных произошло именно в отелях, а из украденных данных 98% было информацией о кредитных картах (По данным исследования Trustwave SpiderLabs)
Поскольку отель является оператором персональных данных, в случае кражи и распространения данных гостей, включая персональные данные и данные платежных карт, отель несет ответственность за их сохранность.
— Лица, виновные в нарушении требований 152 ФЗ РФ «О персональных данных», несут гражданскую, уголовную, административную ответственность.
— На отель может быть наложен штраф до 18 млн рублей.
Более 50% гостей не поедут в отель, если узнают, что отель не соблюдает правила безопасности данных.
По статистике компании Morfices (системы кибербезопасности).
Чуть ли не каждую неделю появляются новости в СМИ об утечке данных пользователей.
Например:
— Персональные данные 1,2 млрд пользователей соц.сетей Facebook, Twitter, LinkedIn утекли в сеть.
— На продажу выставлена база данных 20 млн пользователей Instagram
— Данные 2,5 миллионов клиентов Yves Rocher оказались в открытом доступе
— Утечка данных 900 тыс. клиентов Сбербанка.
— Утечка данных 500 млн пользователей Marriott
— Утечка банковских данных почти 400 тыс. клиентов British Airways
Как защитить персональные данные в отеле?
Утечка персональных данных может случится в любом отеле прямо сегодня.
Это может произойти по вине человека или машины (программы).
Одна из причин утечки персональных данных — человеческий фактор.
По данным исследования Лаборатории Касперского около 58% всех киберинцидентов в компаниях (например, утечек данных в открытый доступ или краж денег со счетов клиентов) происходит по вине сотрудников.
Чаще всего безопасность фирмы под угрозу ставится не по злому умыслу работников, а из-за неосторожности или незнания.
Чтобы минимизировать риски утечки персональных данных советуем вам установить для сотрудников
правила работы с паролями.
Пример сложного пароля: !9)Liq3*Bz.
Например, Keepass или 1password. Вам не нужно будет запоминать все пароли, а только один — от менеджера паролей.
Например, info@hotel.com, для входа в сервисы на онлайн-платформы.
Двухэтапная верификация — это дополнительный уровень безопасности, который поможет защитить от хакеров, даже если им удастся найти ваш пароль.
Например, если взломают бизнес аккаунт отеля в фейсбук, то под тем же паролем нельзя было бы войти и в почту.
Этот сайт проверяет, не была ли ваша почта вовлечена в нарушения.
ТОП-5 самых популярных в мире паролей:
1 место — 12345
2 место — 12345678
3 место — qwerty
4 место — password
5 место — 123456
Кроме математических методов кражи данных (подбор пароля), мошенники используют психологические методы.
Так называемый Social Engineering.
Это когда вы сами даете злоумышленнику доступ к почте, социальным сетям или рабочим инструментам, таким как PMS.
Статистика из банковской сферы: в России 80% атак совершается по сценариям social engineering.
В большинстве таких случаев (79%) жертвы сами переводят злоумышленникам деньги.
Фишинг
Распространенный метод кражи данных, позволяющий обмануть пользователя и заставить его раскрыть свой пароль, номер кредитной карты и другую конфиденциальную информацию.
Пример фишинга:
Вы получаете письмо от известной вам компании и сами вводите логин и пароль, не замечая, что страница поддельная. Она очень похожа на оригинальную, но например с чуть измененным адресом.
Внимательно смотрите адрес электронной почты, с которой пришло письмо!
Вторая причина утечки персональных данных — это программное обеспечение.
Удостоверьтесь, что поставщик программного обеспечения использует для передачи информации стандарт шифрования TLS (Transport Layer Security), который используется в целях создания защищенных онлайн-соединений.
Удостоверьтесь, что данные банковских карт гостей хранятся в соответствии со стандартом Payment Card Industry Data Security Standard (PCI DSS), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.
К примеру, CVC код в
Bnovo можно посмотреть только 1 раз. Это также стандарт PCIDSS.
Удостоверьтесь, что сервера, на которых хранятся персональные данные расположены в РФ , в соответствии с требованием 152 ФЗ, сертифицированные и соответствуют самым высоким стандартам безопасности.
Удостоверьтесь, что облачная система управления отелем обеспечивает сохранность персональных данных в соответствии с требованием 152 ФЗ, что подтверждено соответствующим сертификатом.
Одна из мер защиты в Bnovo — это ограниченное время сессии — после 20 минут бездействия в программе вам нужно заново ввести логин и пароль, на случай, если сотрудник покинул рабочее место и не заблокировал компьютер.
Информационная безопасность = безопасность вашего бизнеса. Создавайте правила информационной безопасности для сотрудников и выбирайте надежных поставщиков программного обеспечения..
Валентин Микляев
CEO Bnovo