I dati sono l’effettiva valuta dell’era digitale contemporanea: per questo motivo, molti criminali del web sono più interessati ad accedere ai dati finanziari di una banca, piuttosto che al denaro contante della stessa.
Mediante questa serie di informazioni, gli hacker potrebbero disporre delle identità dei clienti, eseguire transazioni, vendere i dati nel deep web, arrivando, in molti casi, a rovinare intere esistenze.
Un altro importante concetto che non si deve sottovalutare è che i criminali del web e i malintenzionati non discriminano, e possono concentrarsi non solo sulle grandi e celebri catene alberghiere, ma anche rivolgere la loro attenzione ai piccoli hotel e ai B&B locali.
Il punto di partenza per ottimizzazione la sicurezza? Formare il personale e tutti coloro che entrano in contatto con i dati sensibili di clienti, fornitori o dipendenti, in modo da ridurre al minimo il rischio di possibili fughe.
Formare il personale per circoscrivere ed evitare l’errore umano
Un rischio molto comune, oggigiorno, è diventare vittime di phishing, ossia di messaggi fraudolenti che hanno il preciso scopo di indurre il malcapitato a fornire dati personali sensibili (come ad esempio IBAN e coordinate bancarie).
Si presentano come e-mail o sms autentici, ma sono pure frodi. Il phishing è un fenomeno molto diffuso che coinvolge non solo gli hacker del web, ma anche i criminali telefonici, che circuiscono l’interlocutore per ottenere le informazioni. Il leit motiv è sempre uguale, si invita il cliente ad aprire un link, che in realtà è una vera e propria trappola in grado di innescare un flusso indistinto di dati dal database.
Ora, immagina un tuo cliente che riceve un’e-mail dalla tua struttura, con la quale è invitato a verificare che non ci siano stati errori nell’addebito. Se graficamente gli assomiglia, con un argomento tanto plausibile è possibile che commetta l’errore di fornire i propri dati di accesso.
Per ridurre il rischio che vengano sottratti i dati dei clienti memorizzati sui server da voi utilizzati, innescando così, in modo automatizzato, le azioni fraudolente appena citate, i consigli sono quelli che andrebbero applicati anche a casa:
– cambiare ciclicamente le password. Non è necessario farlo una volta al giorno, ma se hai ancora quella del primo giorno di attività nel lontano 2010, allora hai un problema;
– non utilizzare password troppo intuitive o semplici che possono essere dedotte facilmente. Una buona password deve essere una combinazione di codici, lettere, numeri, cifre e simboli speciali, per essere sicura;
– annota le password su agende analogiche, perché qualunque cassaforte digitale, prima o poi, viene scardinata;
– non rimanere connesso a dispositivi o portali al termine di un’attività;
Il fenomeno del phishing è sempre più diffuso e potrebbe prendere di mira chiunque con i modi più creativi. La debolezza sulla quale fa leva è il momento di confusione della singola persona, magari un tuo cliente oppure un tuo collaboratore, perfino tu potresti sbagliare in determinate condizioni.
Una rete informatica sicura e affidabile
In questo contesto, la tecnologia gioca un ruolo di primaria importanza. Esistono numerosi strumenti informatici dei quali è bene disporre per elevare il livello di sicurezza, ma sono la manutenzione e l’aggiornamento costanti che li rendono realmente efficaci.
Ecco cosa devi avere per ridurre i rischi dei c.d. Data Breach:
– sistemi di firewall, sia fisici che digitali;
– dispositivi di monitoraggio della rete, in modo da intercettare eventuali tentativi di accesso malevoli e possibili intrusioni criminali;
– software anti-malware, per bloccare e impedire qualsiasi tipo di software dannoso che potrebbe essere attivato sia intenzionalmente che per errore;
– antivirus su tutte le “macchine” e i dispositivi dell’azienda;
Come vedi sono strumenti che probabilmente utilizzi anche nel contesto privato, ma quando si parla di informazioni sensibili dei clienti, l’attenzione deve essere massima.
Il Garante della Privacy e il regolamento europeo prendono molto seriamente le violazioni dei dati personali, al punto da comminare ingenti sanzioni pecuniarie.
Il protocollo PCI DSS
Si chiama Payment Card Industry Data Security Standard (PCI DSS) ed è un insieme di pratiche e protocolli progettato per proteggere i dati sensibili presenti sulle carte di credito.
Tutte le strutture alberghiere che accettano carte di credito, prepagate con IBAN e bancomat devono, per legge, rispettare questi standard.
La mission del Payment Card Industry Data Security Standard è quella di garantire la sicurezza di tutte le parti coinvolte, dal proprietario della carta a te che devi ricevere il pagamento, circa le attività di inserimento dati, processo delle transazioni, conservazione dei dati e trasmissione.
Per semplificare, alla base di quasi tutti i protocolli di gestione c’è la crittografia.
In pratica, tutti i movimenti di denaro e le transazioni devono essere crittografate nel momento dell’invio e de-crittografate, successivamente, lato ricevente.
A questo punto si inserisce il gateway di pagamento, cioè l’intermediario chiamato a processare la transazione secondo il protocollo PCI DSS, uno strumento di tutela sia per te sia per il cliente, in un momento tanto delicato quanto quello del pagamento virtuale.
I più conosciuti sono PayPal, Stripe, Nexi, ma ce ne sono molti altri che potrai valutare sulla base delle loro caratteristiche e condizioni, fermo restando che averne uno non è solo una tutela, ma un vantaggio.
Un gateway è l’ambiente perfetto per conservare i dati sensibili di un cliente e gestirli, eventualmente, in totale sicurezza. Dobbiamo considerare che dalla prenotazione alla fruizione dell’esperienza, quindi all’accredito, potrebbe passare del tempo, senza contare le eventualità nelle quali il contratto non venga rispettato. Se dipendesse dal cliente, avresti un modo sicuro, garantito da terzi e perfettamente legale, per utilizzare i dati della carta ed incassare quanto contrattualmente stabilito.
Alcuni consigli per proteggere i dati finanziari dei tuoi ospiti e dei tuoi clienti
Il primo tra tutti è quello di affidarti a un partner tecnologico che conosca questi strumenti.
HotelNerds, ad esempio, li integra ormai da tempo in ogni sua soluzione legata alla disintermediazione, dal booking engine al nuovissimo e-commerce.
Ci sono poi i consigli di buon senso, spesso però ignorati se non eseguiti da chi è tecnicamente preparato a gestire ogni possibile problema.
Ad esempio, è consigliabile:
– eseguire il back up dei dati in modo regolare, possibilmente tutti i giorni. Questa procedura ti tutela in caso di violazioni ed eventuali emergenze che potrebbero compromettere la rete e, di conseguenza, il tuo business;
– aggiornare di frequente i dispositivi della rete dell’Hotel, per scongiurare violazioni, virus e malware, comprese le fughe di informazioni;
– entrare nel cloud, cioè limitare al massimo l’uso delle tue macchine per passare ad un ambiente virtuale più sicuro e garantito da terzi. Questi sono difficili da espugnare e la loro manutenzione ed aggiornamento sono competenza di aziende dedicate.
Se hai avuto problemi in passato oppure non sei sicuro della solidità della tua infrastruttura informatica, puoi chiedere a noi in qualunque momento, poiché sono anni che manuteniamo quella di molte strutture, dalle più piccole alle più complesse.
Sei pronto a progettare la sicurezza dei tuoi clienti?
Clicca e chiedi un consiglio a noi di HotelNerds
