Alege o solutie care functioneaza

Date de contact

Stiri

Sunt hotelurile pregatite pentru GDPR?

Industria hotelieră este considerată una dintre cele mai vulnerabile la ameninţările de spargere a datelor. În conformitate cu Raportul 1 al investigaţiilor Verizon’s 2016 Data Breach Investigations, industria hotelieră evidenţiază cel mai mare număr de atacuri asupra datelor din toate sectoarele şi la volumul cel mai ridicat, mai ales atunci când se ajunge la pierderea cardurilor după un astfel de atac. Acest lucru nu constituie o surpriză, deoarece hotelurile procesează informaţii foarte importante pentru infractorii motivaţi financiar. Totuşi, odată cu reglementările UE referitoare la Protecţia Datelor (GDPR) care au intrat în vigoare de aproape un an, au fost implementate noi legi referitoare la datele utilizate pentru identificarea persoanelor, iar situaţia trebuie să se schimbe.

Ce este GDPR?
După data de 25 mai 2018, orice organizaţie din lume care procesează datele de identificare personală ale cetăţenilor UE – evidenţiate în limba engleză, adică orice date de identificare ale unei persoane – va fi afectată de GDPR. Aceste reglementări au drept scop unificarea şi întărirea legilor existente privind protecţia datelor şi de a realiza un flux facil a datelor personale în cadrul statelor membre UE. În momentul în care GDPR intră în vigoare, orice organizaţie care procesează date de identificare personală ale cetăţenilor UE trebuie să se conformeze unui număr de reglementări sau riscă a se confrunta cu sancţiuni importante. De exemplu, va fi obligatoriu a notifica reprezentanţilor legali orice încălcare a securităţii în decurs de 72 ore şi, în cazul unor încălcări grave, pot fi prevăzute amenzi de până la  4% din cifra de afaceri a organizaţiei.

Datorită faptului că în mai puţin de un an reglementările GDPR vor intra în vigoare, există un mare volum de lucru de efectuat şi se poate ca uşor să existe o subestimare din partea celor implicaţi pe calea conformării.

Industria hotelieră este considerată una dintre celei mai vulnerabile la ameninţările de spargere a datelor, din cauza faptului că hotelurile procesează, şi în multe cazuri, păstrează un timp îndelungat şi la un volum mare, informaţiile asupra datelor personale ale clienţilor şi zilnic datele de plată cu cardul. De asemenea, ele primesc aceste informaţii din mai multe surse, cum ar fi sisteme de rezervare prin terţi, sisteme de plată, formulare, site-urile proprii, emailuri, faxuri, telefonic şi intrări directe. În plus hotelurile tind să stocheze în mai multe locuri aceste date  privind plăţile cu cardul.

Ce trebuie sa faca hotelurile?
Pentru a asigura conformitatea cu noile reglementări,  hotelurile au nevoie de a realiza anumite acţiuni, evident clare, dar destul de intense, în vederea păstrării sigure a datelor clienţilor şi pentru a evita repercusiunile financiare, care ar putea rezulta din lipsa neconformării.

  • Un hotel trebuie să determine principiile sale fundamentale referitoare la datele vizitatorilor în legătură cu  GDPR şi să recunoască faptul că aceste date aparţin vizitatorilor şi nu hotelului.
  • Un hotel trebuie să elaboreze linii directoare pentru colectarea şi administrarea datelor de identificare personală ale cetăţenilor UE.
  • Trebuie să redacteze un cod de conduită pentru hotel şi personalul său.
  • Hotelul trebuie să elaboreze reglementări pentru problemele de auto-audit.

Concret, implementările necesită:

  • Procesarea internă. Un hotel trebuie să furnizeze informaţii foarte detailate asupra modului în care va procesa datele personale şi termenul în care planifică a le păstra. Această procedură implică organizarea de politici de păstrare , astfel încât hotelul să poată oricând cunoaşte situaţia unor astfel de informaţii.
  • Un hotel trebuie să păstreze înregistrări tehnice şi organizatorice pentru a putea dovedi că datele sunt protejate. Are, de asemenea, nevoie să prezinte autorităţii de supraveghere că aceste mecanisme sunt implementate.
  • Hotelurile au nevoie de o secţiune de pe website–ul lor care permite “opţiunea de intrare” şi care dau posibilitate hotelurilor să păstreze datele de identificare personală ale cetăţenilor UE.  În plus, ele trebuie să explice procedura, pentru a permite clienţilor să acceseze, modifice şi şterge informaţiile. Acest fapt reprezintă în sine probleme importante, atunci când datele sunt păstrate în diferite locaţii.

Stabilirea locului in care se tin datele
Este esenţial ca hotelurile să cunoască locaţia în care sunt păstrate  toate datele de identificare personală ale cetăţenilor UE. Aceste date pot fi găsite într-un număr de locuri, de ex. dosare, în arhiva cu emailuri vechi – chiar  şi pe notiţe mâzgălite lăsate la recepţie sau în spatele biroului. O dată ce toate datele sunt înregistrate, trebuie luate decizii  în privinţa modului de administrare a acestora, luând în considerare principiile hotelului şi codul de bună practică. Acţiunile pot  include ştergerea, redactarea, criptarea sau stocarea printr-o soluţie tip cloud acreditat, în care să poată  fi accesate uşor  numai  de către personal şi prin utilizarea unui control sever al accesului şi audit. Este, de asemenea,.important ca sistemele IT să fie sigure şi controlate, setate şi actualizate pentru o protecţie maximă a datelor. Din păcate multe firme utilizează încă sisteme de securitate vechi şi software de protecţie datelor, depăşite. Luand in considerare că zilnic apar noi atacuri informatice, este esenţial sa se faca investiţii in sisteme de securitate a datelor.

Training-ul personalului
Hotelierii trebuie să se asigure asupra perfecţionării personalului său pentru accelerarea procedurii ,în special pentru a se conforma intrării în vigoare a GDPR. Personalul hotelului trebuie să fie antrenat referitor la modul de colectare, acces, utilizare şi dezvăluire a informaţiilor personale şi modul de restricţionare a datelor de acces la carduri. Angajaţii trebuie de asemenea să fi informaţii asupra modului de creare a unor parole sigure şi să cunoască modul de distrugere a documentelor care cuprind date ale  plăţii cu cardul.

Conformitatea PCI şi GDPR
În cazul în care hotelul este deja conform cu PCI, atunci această acreditare stă la baza conformităţii pentru GDPR. Pentru a fi conform PCI DSS un hotel trebuie să parcurgă faze adecvate cum ar fi:

    • menţinerea unei politici de securizare a informaţiilor şi stabilirea celor care sunt responsabili pentru protecţia datelor;
    • introducerea şi menţinerea unor sisteme de securitate pentru prevenirea spargerii datelor – inclusiv un firewall şi un software anti-virus permanent actualizat, un control al accesului şi alte sisteme destinate a preveni spargerea datelor;
    • codificarea deţinătorului cardului şi a altor date sensibile  şi asigurarea că sistemele IT sunt setate corespunzător, şi
    • continua investire în tehnologii de securitate.
    • Este vital ca hotelurile să înceapă de pe acum pregătirea pentru GDPR, astfel încât la data din mai 2018, ele să fie sigure că previn spargerea datelor – precum şi importante sancţiuni financiare. Mai 2018 poate părea a fi departe, dar pentru anumite hoteluri, a realiza o conformitate cu GDPR va dura mai mult decât se prognozează. Indiferent de ceea ce hotelurile decid  să facă pentru atingerea conformităţii cu GDPR, este essential ca ei să acţioneze de pe acum.

Daca in urma citirii acestui articol considerati ca aveti nevoie de mai multe detalii sau informatii, nu ezitati sa ne contactati telefonic la 021-410.95.38 / 021-410.94.97 sau pe e-mail la office@tcnet.ro.

Author

happyadmin