La Web de Negocios de la Hotelería y la Gastronomía
Texto
Nota de tapa
SEGURIDAD
Claves y estrategias de la protección de datos

La transformación digital dispuso nuevos riesgos en materia de ciberseguridad, haciendo necesario implementar medidas que resguarden la información de los huéspedes y la reputación del negocio, y prevengan contingencias económicas y legales.

La industria de la hospitalidad ha centrado sus esfuerzos en los últimos años en obtener un mayor conocimiento de sus huéspedes para ofrecerles servicios y experiencias a medida. En este sentido, la transformación digital del negocio se posicionó como una valiosa herramienta, pero paralelamente introdujo un cambio de paradigma en el concepto de la seguridad. En la actualidad, no basta con proteger a los PMS de posibles intrusiones, sino que también es preciso resguardar los datos de los clientes, convertidos en uno de los activos intangibles más importantes de las organizaciones hoteleras.

¿Qué se entiende por datos personales? Eduardo Cimato, director nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública de la República Argentina, los definió como “toda información que se relaciona con la persona y puede identificarla, como DNI, dirección, teléfono, situación crediticia, imagen, etcétera”.

Para Patricia Miralles, responsable de Innovación del Instituto Tecnológico Hotelero (ITH) de España, “la protección de datos es un aspecto fundamental en el sector hotelero, puesto que es una industria intensiva en la gestión de información de muy diversos ámbitos, desde datos económicos (tarjetas de crédito o débito, cuentas bancarias, etcétera); financieros (cuentas financieras, reservas y transacciones bancarias, balance de resultados y pérdidas y ganancias); y personales (gustos y preferencias del cliente, motivos del viaje, acompañantes, compras en el hotel, entre otros). Esto supone que sea uno de los sectores a los que deba prestarse mayor atención en la gestión, a pesar de que no sean datos sensibles, como aquellos relacionados con la salud, creencias o género”.

A pesar de su relevancia, la protección de datos personales aún no parece ocupar un papel central en la agenda de muchas compañías. Miralles sostuvo que en España sólo un 42% de los empresarios hoteleros dispone de un plan de seguridad integral, mientras que un 83% carece de programas de respuesta ante un ataque. “La entrada del Nuevo Reglamento Europeo de Protección de Datos (RGPD) en mayo pasado supuso una revisión de los procesos y gestión de la información sensible y la creación del puesto del Delegado del Dato. Sin embargo, será la nueva reglamentación europea relacionada con los servicios de pagos digitales (PSD2), que entrará en vigor a fines de año, lo que provocará que las empresas tengan que garantizar un mayor nivel de seguridad en los pagos de bienes y servicios y en el acceso a los datos de los clientes por parte de terceros”.

Sandra Arcos Valcárcel, abogada especializada en Derecho del Turismo, docente universitaria y miembro del Observatorio de Derecho del Turismo del Colegio de Abogados de la Ciudad de Buenos Aires, coincidió en que la nueva normativa europea “ha concientizado más aún el hecho de dejar a salvo la intimidad de las personas. En Argentina, si bien la Ley Nº 25.326 está vigente desde hace 18 años, recién en los últimos años se ha tomado real conciencia empresarial de la importancia de proteger la intimidad. Es fundamental que las compañías estén informadas sobre cuáles son sus obligaciones, puesto que todas las personas que intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional y son responsables”.

 

DATOS Y CIBERCRIMEN.   

Según el estudio de la consultora Deloitte “Expectativas 2017: tendencias del turismo en España”, el sector turístico es considerado como uno de los

tres targets preferidos del cibercrimen, “que trae consigo una serie de consecuencias para las organizaciones afectadas como la pérdida de confianza de los clientes, el daño a la reputación y la marca, pérdidas económicas y riesgos legales… El 89% de los ataques se produce por motivos financieros y de espionaje. Esto pone de manifiesto que cualquier información puede ser monetizable”, detalla el documento.

En septiembre pasado, British Airways admitió públicamente el robo de información personal y financiera de aproximadamente 400 mil clientes que habían realizado compras a través de su app y sitio web. Un mes después, Cathay Pacific reconoció un acceso no autorizado a su sistema de información integrado por más de nueve millones de pasajeros, aconsejando a los mismos el cambio de sus contraseñas y el chequeo de cualquier actividad sospechosa en sus cuentas.

Según la firma de soluciones de seguridad informática Panda Security, 2015 marcó un antes y un después en la problemática de la ciberseguridad en el ámbito hotelero, dado que gigantes como Mandarin Oriental, Starwood, Hyatt, Hilton Worldwide, Trump Hotels, Rosen Hotels & Resorts, Hard Rock Las Vegas y la empresa de servicios White Lodging fueron víctimas del robo de datos de tarjetas de crédito de sus clientes o vieron sus sistemas infectados con malware.

Consultada sobre qué medidas deberían implementar los negocios hoteleros en pos de preservar la data de sus huéspedes, Miralles señaló que “debe abordarse desde un punto de vista integral, comenzando con una evaluación global de los potenciales riesgos. Debe contemplarse la protección del acceso a la infraestructura física (redes y servidores) desde la puesta en marcha de firewalls, redes diferenciales entre la gestión del negocio y los huéspedes o los portales de autentificación. Otros aspectos a considerar son los dispositivos –ordenadores, tablets, smartphones e impresoras– que deben llevar contraseñas seguras y ser cambiadas habitualmente, la protección de la BIOS (Basic Input/Output System), filtros en las pantallas para evitar visualizar información confidencial, cerrar los puertos abiertos, bloquear la impresión de documentos sensibles hasta la aprobación por el usuario y que las transacciones económicas tengan sistemas seguros que eviten la suplantación de identidad de terceros (proveedores, clientes o banca). Todo ello apoyado por acciones de concientización a los empleados, quienes son el eslabón más débil en la protección digital, por actuaciones incorrectas y desconocimiento en la mayor parte de los casos. Un 74% de los ataques se soluciona con la formación al personal y una estrategia de buenas prácticas”.

Para la especialista, es requisito indispensable fijar una política de ciberseguridad, que contemple variables como la utilización de las redes de forma segura para protegerse contra el malware, no pulsar enlaces desconocidos de los correos electrónicos, mantener las aplicaciones actualizadas, y diseñar y poner en práctica un plan de respuesta a incidentes.

Por su parte, Arcos Valcárcel manifestó que “como políticas proactivas, las agencias de viajes, los establecimientos gastronómicos y los hoteleros deben registrar sus bases de datos y mantenerlas actualizadas; descartar datos innecesarios; notificar sobre la utilización de cookies y pops up en la oferta en línea; informar políticas de privacidad; y no violar la confidencialidad de los datos aportados, al mismo tiempo que pueden utilizar la tecnología para sus procesos de fidelización”.

El registro de las bases de datos es un trámite gratuito en el país. Cimato explicó que “toda empresa, profesional u organismo público que haga tratamiento de datos personales, que no sean de uso exclusivamente personal, debe inscribirse en el Registro Nacional de Bases de Datos Personales. A través de la Resolución 132 de octubre pasado se implementó un nuevo sistema registral, íntegramente digital, a través de la plataforma de trámites a distancia”.

 

TECNOLOGÍAS VULNERABLES.

El avance de las tecnologías de la información y comunicación supone permanentes retos para la industria hotelera y su seguridad. Por caso, el almacenamiento en la “nube” –una de las tendencias observadas en los últimos tiempos, que permite mayor accesibilidad desde cualquier localización y dispositivo– “trae una serie de potenciales riesgos que se deben mitigar, teniendo en cuenta que la seguridad total no existe. Se tiene que vigilar la seguridad de las APIs (interfaces de conexión con terceros para el intercambio de información), la compartición de los mismos servidores para diferentes clientes, los secuestros de sesión que permiten la obtención de las credenciales de terceros para acceder fraudulentamente, los sistemas de copias de seguridad y restauración que podrían provocar pérdidas de información y la necesidad de actualización constante para evitar agujeros de seguridad, entre otros factores”, expresó Miralles.

Arcos Valcárcel precisó que la norma ISO 27018/2014 establece criterios sobre control y directrices en relación a la protección de la información de identificación personal para el almacenamiento público en la “nube”.

Otra de las aristas más sensibles es el pago a través de medios electrónicos, por implicar el ingreso de claves. La especialista en Innovación del ITH aportó posibles soluciones a este conflicto: “Puede trabajarse con la tokenización, para que al momento de almacenar la numeración clásica de una tarjeta se realice a través de un código llamado token o derivar el almacenaje de la información en un tercero, quien proporcione la seguridad en el proceso. Otras recomendaciones serían no almacenar los datos de las tarjetas dentro del entorno de la web, revisar la seguridad del TPV con el proveedor y contar con un cifrado en la web”.

Más allá de la tecnología, el factor humano es central en este tema. Cuando se registra un robo de información de forma interna, las organizaciones llevan adelante un análisis forense para determinar qué empleados están involucrados. Miralles aclaró que las empresas deben comunicar la situación a la autoridad competente, quien abrirá una investigación para precisar la responsabilidad del establecimiento en base a las medidas tomadas antes, durante y después de la filtración de datos, puesto que los afectados pueden pedir reclamaciones por daños y perjuicios.

En este punto, y según lo dispuesto por la Ley Nacional 25.326, “la responsabilidad puede ser civil, frente al titular de los datos por su manipulación o falta de cuidado y/o frente a daños y/o perjuicios que se le causaren. También, como titulares de bancos de datos, las empresas se someten a las sanciones administrativas que disponga la autoridad de aplicación y son pasibles de sanciones penales, por cuanto la ley ha incorporado tipos delictivos que han modificado el articulado del Código Penal de la Nación por la falta de protección frente a la divulgación de datos falsos, entre otros aspectos”, puntualizó Arcos Valcárcel.

A modo de conclusión, Miralles reflexionó que “es necesario aprovechar el gran esfuerzo de las empresas turísticas para encaminarse hacia la transformación digital para incluir estrategias de prevención, planificación, sensibilización y concienciación, antes de que la ciberdelincuencia se convierta en una amenaza real. Un aspecto fundamental para el éxito de la prevención es transmitir a todos los implicados, desde la dirección hasta el nivel más bajo de los empleados, y abarcar todas las áreas de negocio, no solamente la parte técnica, de manera que se den a conocer los riesgos y amenazas a las que se enfrentan, así como formarlos con procedimientos claramente definidos para convertirlos en ‘human firewalls’”.

 
SEIS MEDIDAS PARA LA PROTECCIÓN DE DATOS

La consultora Deloitte enumera una serie de recomendaciones de seguridad que pueden poner en práctica las organizaciones del sector turístico para prevenir y reducir el riesgo de ataques a su información confidencial:

• Seguridad en los datos. No reunir información personal de los clientes que no sea necesaria y limitar su acceso a terceros (partners, agencias de marketing y distribuidores). Realizar un almacenamiento seguro de la información y un test periódico de vulnerabilidades en los sistemas.
• Restringir a los empleados el acceso a datos sensibles y limitar el número de accesos de administrador.

• Monitorización y segmentación de la red 24x7 para detectar accesos no autorizados y cualquier actividad maliciosa sobre los sistemas. Segmentar la red y localizar los datos más sensibles en un lugar seguro.
• Limitar los accesos remotos para clientes y empleados.

• Exigir medidas de seguridad a los proveedores de servicios, monitorizar en forma continua el cumplimiento de las medidas de seguridad adoptadas por terceros y el testeo periódico de aplicaciones.
• Establecer medidas organizativas que complementen y den sentido a las medidas técnicas implantadas. Cumplimiento de los requerimientos regulatorios. Elevar el discurso sobre seguridad hasta la agenda del CEO.

MARCO LEGAL

En Argentina, la protección de datos personales está alcanzada por la Ley Nº 25.326. Sancionada en 2000, su órgano de aplicación es la Agencia de Acceso a la Información Pública, cuyo titular, Cimato, refirió que “la tecnología y su uso intensivo ha eliminado fronteras, y esto deriva en un problema de jurisdicción y ley aplicable, a efectos de determinar responsabilidades. En ese sentido, la ley vigente en nuestro país necesita una actualización acorde a los avances internacionales en la materia. Trabajamos en un anteproyecto enviado al Congreso por el Poder Ejecutivo en el que se incorporan nuevos principios, como el tratamiento de datos de niños, niñas y adolescentes, el concepto de responsabilidad proactiva, nuevas obligaciones por parte del encargado de tratamiento de datos y la notificación de incidentes de seguridad, entre otros”.

El funcionario detalló que no existe una normativa específica para las empresas de la industria de la hospitalidad, al tiempo que aclaró que “pueden enviarse consultas a la Agencia respecto a criterios interpretativos para el sector”.

Consultado sobre las compañías hoteleras y gastronómicas que tienen declaradas sus bases de datos de clientes en el Registro Nacional de Bases de Datos Personales, el entrevistado manifestó que “nos encontramos en un proceso de reempadronamiento, acorde a la Resolución 132/2018, que fijó como plazo máximo el 31 de octubre de 2019. Finalizado ese proceso, podrá estimarse el número de empresas de dichos rubros registradas”.

Por su parte, Arcos Valcárcel agregó que dicha ley “desarrolló y amplió el reconocimiento que la Constitución Nacional de 1994 había garantizado: el habeas data, una de las herramientas con que cuentan los ciudadanos para lograr la protección integral de los datos contenidos en las bases y/o registros. La reforma constitucional de dicho año incorporó en el tercer párrafo del artículo 43 la posibilidad de conocer, a través de una acción de amparo, qué datos existen en un determinado banco y cuál es la finalidad de ese registro y, en caso de falsedad o discriminación, poder exigir la supresión, rectificación, confidencialidad o actualización de aquellos. El bien jurídico tutelado por el habeas data es el derecho a la intimidad de las personas y, por lo tanto, la protección de sus datos personales”.

La abogada especializada en Derecho del Turismo también mencionó que el inciso 3º del artículo 8 del Código de Ética del Turismo de la OMT de 2001 dispone expresamente que “los turistas y visitantes gozarán de los mismos derechos que los ciudadanos del país que visiten en cuanto a la confidencialidad de los datos de su persona, especialmente los almacenados en soportes electrónicos”.

Finalmente, afirmó que existen diferentes normas ISO aplicables a la protección de datos y al big data, como la 17779, la 29100/2011, la 27001/2013 y la 27018/2014, para el control de datos personales almacenados en sistemas cloud.