Preoccupazioni, buone pratiche e perchè prendere in considerazione di integrare la "Piattaforma Salesforce" con la sicurezza aggiunta da Booking Ninjas.
Le violazioni dei dati nel settore dell'ospitalità, in particolare negli hotel, sono diventate comuni. Negli ultimi anni, infatti, la maggior parte delle grandi catene alberghiere è stata vittima di violazioni della sicurezza informatica. Le grandi aziende alberghiere sono diventate rapidamente un obiettivo primario per i criminali informatici, il che rende fondamentali misure di sicurezza dei dati adeguate. Nel 2015, il Data Breach Investigation Report di Verizon ha stimato che il costo annuale della criminalità informatica globale ammonta a ben 100 miliardi di dollari.
La sicurezza dei dati è un aspetto cruciale per le aziende di molti settori, in particolare quello dell'ospitalità. A causa del tipo di dati raccolti da queste aziende, qualsiasi violazione dei dati si traduce in un panico esponenziale su intere fasce di clienti, da cui potrebbero essere necessari anni per riprendersi o addirittura senza potersi riprendere. L'attenzione dell'opinione pubblica, i danni alla reputazione e le enormi responsabilità finanziarie sono sufficienti a garantire che la sicurezza dei dati rappresenti una priorità assoluta in tutto il settore. Gli hotel, i motel, i resort, le proprietà commerciali in affitto e i complessi di appartamenti ospitano grandi quantità di dati personali sensibili degli ospiti, tra cui nomi, indirizzi, e-mail, numeri di telefono, informazioni sulle carte di credito, nonché passaporti e patenti di guida.
I criminali informatici, gli hacker, i truffatori o qualsiasi altro nome si voglia dare loro, prendono di mira il settore dell'ospitalità più frequentemente di altri. Dal loro punto di vista, l'ospitalità è il bersaglio perfetto. I database multipli e i numerosi dispositivi contenenti informazioni personali e dati delle carte di credito ne fanno un tesoro di opportunità per la loro sopravvivenza e il loro guadagno finanziario.
La pandemia di coronavirus ha determinato un aumento di questo tipo di attività criminali. Con milioni di persone senza lavoro, nuovi colpevoli con diverse abilità si dedicano al crimine informatico come mezzo di sopravvivenza. Nonostante l'enorme calo di attività registrato in questo periodo, i sistemi di sicurezza del settore alberghiero sono i più vulnerabili.
PROBLEMI DI SICUREZZA DEI DATI PER LE AZIENDE DEL SETTORE ALBERGHIERO
Sovranità dei dati
La sovranità dei dati riguarda i diritti di conservazione dei dati aziendali e dei clienti in base alla geografia. Le leggi ad essa associate sono in vigore per proteggere i dati e garantire la privacy delle popolazioni da minacce straniere. La questione ha assunto un ruolo centrale nel mondo, soprattutto a causa della forte opposizione dei Paesi occidentali, tra cui gli Stati Uniti, alla Cina, che in pratica controlla Internet del proprio Paese in ogni suo aspetto. Le diverse filosofie sono di estrema importanza se si considera il gran numero di sistemi di sicurezza informatica che la Cina fornisce e il modo in cui il loro diverso punto di vista filosofico si riflette nel funzionamento dei loro sistemi. Fondamentalmente, il governo cinese ha il diritto di vedere tutti i dati protetti contenuti in qualsiasi sistema di sicurezza informatica di fabbricazione cinese.
La sovranità democratica dei dati associata alle democrazie occidentali riflette direttamente i loro sistemi di controllo e bilanciamento. Qualsiasi azienda ha il diritto di rilasciare o rifiutare qualsiasi informazione protetta all'interno del proprio sistema di sicurezza informatica. Qualsiasi azienda statunitense o europea può combattere il governo e viceversa in questo ambito. Non è così in Cina. Pertanto, qualsiasi azienda alberghiera statunitense o europea deve comprendere il rischio che corre nell'implementare la tecnologia cinese ai fini della sicurezza informatica. Nel corso degli anni la Cina è stata coinvolta in molti attacchi informatici a catene alberghiere statunitensi.
Anche altri Paesi con sistemi governativi simili a quello cinese possono essere soggetti a fughe di notizie, hacking o confische di dati da parte dei governi locali. Ecco perché lo screening geografico è fondamentale nella scelta del software di sicurezza informatica.
Diligenza finanziaria
Un'altra considerazione importante da fare è la ricerca della solidità finanziaria del fornitore di sicurezza informatica. Le aziende a corto di liquidità o alle prime armi potrebbero non essere in grado di offrire lo stesso livello di sicurezza informatica e di innovazione dei fornitori più affermati. Spesso ricorreranno a servizi più convenienti, ma bisogna considerare il vecchio adagio "si ottiene ciò che si paga".
Proprietà complessa
Le aziende del settore alberghiero hanno di solito strutture immobiliari complesse in cui franchisor, singoli proprietari o gruppi di proprietari lavorano con una società di gestione come "occhi e orecchie" sul territorio. Si tratta di un team che lavora insieme e si assume responsabilità distinte per garantire il buon funzionamento dell'azienda. Di conseguenza, tutti utilizzano diversi sistemi informatici per archiviare i dati, che inevitabilmente si spostano frequentemente da un sistema all'altro su base giornaliera.
Affidamento sui metodi di pagamento elettronici
L'industria dell'ospitalità dipende molto dalle carte di credito e da altre forme di pagamento elettronico non cartaceo, data la natura della sua attività. Gli hotel richiedono spesso i dati della carta di credito per effettuare una prenotazione, e i pagamenti finali vengono per lo più effettuati con la stessa carta già in archivio. È una questione di comodità sia per i clienti che per il personale.
Questa conclusione scontata è musica per le orecchie dei criminali informatici, il cui pane quotidiano è infiltrarsi nei sistemi POS (Point-of-Sale) per rubare i dati delle carte di debito e di credito. Una volta che un singolo POS all'interno di un sistema è stato violato con successo, c'è un enorme potenziale di compromissione dell'intera serie di sistemi interconnessi. Ancora peggio, questo tipo di attacchi può passare inosservato nei sistemi più grandi per mesi e mesi.
Processi di smaltimento
Quasi il 20% delle aziende del settore alberghiero non dispone di alcuna politica per l'archiviazione o lo smaltimento di documenti cartacei riservati e quasi un terzo di esse non ha un protocollo regolamentato per l'archiviazione e lo smaltimento delle informazioni elettroniche dei clienti.
Rapido turnover del personale
La formazione del personale sui protocolli corretti per la raccolta e l'archiviazione sicura dei dati personali è una preoccupazione fondamentale per le aziende del settore alberghiero. È necessaria una formazione aggiuntiva per garantire che il personale sappia come identificare i tentativi di social engineering e abbia familiarità con le linee guida di conformità dell'azienda. Il fatto che molti dipendenti dell'industria dell'ospitalità siano solo lavoratori stagionali o abbiano diversi gradi di istruzione è fonte di grande preoccupazione. Anche i frequenti spostamenti dei dipendenti sono comuni nelle aziende del settore alberghiero. Soprattutto nelle grandi catene alberghiere, che pubblicizzano questa opzione al proprio personale come incentivo al lavoro.
Mantenere uno staff ben formato diventa sempre più difficile se si considera l'alto tasso di turnover e i frequenti trasferimenti di personale nel settore alberghiero. Basta un solo membro del personale che non conosce i necessari protocolli di sicurezza dei dati per essere sfruttato da un criminale informatico in attesa di entrare nel sistema di un'azienda e accedere a informazioni sensibili.
Manipolazione umana
I criminali informatici hanno spostato le loro tattiche dall'approccio tecnologico a quello più umano, sfruttando il comportamento umano di base. Il personale dell'azienda può essere la più grande minaccia per la sicurezza, perché è il più vulnerabile agli attacchi degli hacker. Gli intrusi sfruttano il normale comportamento umano per rubare le credenziali e infiltrarsi nelle reti. Giocheranno sulle emozioni umane di base come la paura, la fiducia, la moralità, il conformismo e la curiosità per estorcere informazioni.
Conformità
Il rischio di sicurezza dei dati nel settore dell'ospitalità è molto più grande delle semplici conseguenze negative per la reputazione di un'azienda in caso di violazione dei dati. Negli ultimi anni, il settore e le autorità di regolamentazione politica sono diventati più severi riguardo al modo in cui le organizzazioni elaborano e conservano le informazioni personali. La responsabilità di proteggere la privacy e i mezzi finanziari delle persone è cresciuta a dismisura nell'ultimo decennio. L'inosservanza delle norme più severe comporta gravi conseguenze, in grado di far fallire le aziende e di danneggiare gravemente la loro capacità di continuare a perseguire future iniziative di ospitalità. Inoltre, per chi non riesce a proteggere i propri clienti sono previste multe salatissime, che da sole bastano a far fallire molte aziende più piccole.
Attacchi dall'interno
Anche se meno comune di altri rischi, la minaccia che i dipendenti di un'azienda vendano dati a terzi all'insaputa del proprio datore di lavoro è una preoccupazione molto concreta per le aziende del settore alberghiero. I resort e le catene alberghiere più piccole, in particolare, non sono in grado di offrire benefit e incentivi come la concorrenza più grande, il che potrebbe aumentare l'incentivo per un lavoratore stagionale ad approfittare della sua posizione di fiducia.
LE MIGLIORI PRATICHE PER LA SICUREZZA DEI DATI NELL'OSPITALITÀ
Crittografare sempre i dati delle carte di pagamento
La crittografia dei dati di pagamento sensibili assicura che solo i dipendenti adeguatamente formati e fidati siano in grado di accedere e visualizzare le informazioni di pagamento dei clienti tramite le loro password o certificazioni di accesso.
Mantenere una forza lavoro ben formata
La preparazione completa di tutto il personale si è rivelata sempre più necessaria per garantire la sicurezza dei dati. Politiche chiare e rigorose sullo smaltimento di documenti fisici sensibili e sulla pulizia dei registri elettronici sono fondamentali per tutte le aziende del settore alberghiero.
La formazione del personale per identificare le potenziali minacce è un altro passo fondamentale per garantire la sicurezza dei dati aziendali. Istruire il personale sui metodi di base con cui gli hacker ottengono le informazioni aumenterà la sicurezza dell'azienda nel suo complesso.
Misure di sicurezza informatica
Firewalling, monitoraggio della rete, anti-malware e filtraggio del traffico sono tutti elementi che aiutano a contrastare le più comuni minacce alla sicurezza. Avere tutte le misure in un unico sistema aumenta la produzione e migliora la sicurezza aziendale. Uno di questi sistemi onnicomprensivi è fornito da Booking Ninjas.
Testa la tua sicurezza informatica
La conduzione di test "interni" delle difese di sicurezza informatica dell'organizzazione assicura che la protezione in atto funzioni correttamente. Rispecchiare il comportamento di un hacker reale per testare la risposta della tua sicurezza informatica è una misura precauzionale necessaria e intelligente.
L'assunzione di una società di revisione della sicurezza informatica garantisce la simulazione di hacker esperti per assicurare che il tuo sistema sia all'altezza degli attacchi più rigorosi.
Limitare l'accesso dei dipendenti ai dati
Non tutti devono avere accesso a tutte le informazioni. L'applicazione del principio della gerarchia, della catena di comando, dei codici di accesso, delle password e dei badge elettronici limita l'accesso alle informazioni sensibili. In questo modo l'azienda può garantire che solo i membri del personale più fidati, affidabili e ben addestrati siano incaricati di gestire i dati sensibili.
A CHI PUOI AFFIDARE LA TUA SICUREZZA INFORMATICA?
Comprendere i rischi della sicurezza dei dati e implementare misure di sicurezza per mitigarli sono passi necessari per tutte le organizzazioni che operano nel settore dell'ospitalità. Ma nessuno dei due garantisce la tua protezione o quella dei tuoi clienti dagli attacchi informatici e dalle violazioni dei dati.
Per ogni azienda ricettiva che si appresta a implementare un sistema di sicurezza informatica, ci sono fattori importanti da considerare. I principali sono la selezione geografica, la diligenza finanziaria e l'architettura IT.
La priorità assoluta per qualsiasi hotel o azienda ricettiva, quando si tratta di limitare il rischio informatico, è la scelta meticolosa di un fornitore di sicurezza informatica. A prescindere dalla completezza di un software di sicurezza informatica o dalle garanzie offerte, la responsabilità della protezione dei dati dei clienti nel settore alberghiero e della ristorazione ricade in ultima analisi sull'azienda stessa. Ecco perché la scelta del giusto software di sicurezza è fondamentale.
SISTEMA PMS BOOKING NINJAS: Limitare i rischi con la sicurezza aggiuntiva della piattaforma Salesforce
Un passo completo ed efficace per garantire una maggiore sicurezza dei dati è l'implementazione della piattaforma Salesforce con la sicurezza aggiuntiva di Booking Ninja. In qualità di esperto di sistemi di gestione immobiliare, Booking Ninja si occupa di creare strumenti completi che integrano tutti i settori dell'ospitalità. Quando si tratta di sicurezza dei dati, Booking Ninjas combina protezioni avanzate e integrate con molteplici livelli di opzioni e impostazioni di preferenza per personalizzare le risposte dell'azienda a tutti i problemi di sicurezza dei dati. Booking Ninjas ti copre per ogni possibile evento di violazione.
Con la firma del California Consumer Privacy Act (CCPA) all'inizio del 2020, la legge si affianca a un regolamento già esistente, il General Data Protection Regulation (GDPR), per garantire che le aziende seguano le linee guida sulla sicurezza e sul trattamento dei dati. Per ignoranza e perché il CCPA è una novità di quest'anno, molte aziende non hanno ancora iniziato a seguire queste norme e regolamenti, il che le mette a rischio di multe e altri problemi di conformità. Booking Ninjas e la sicurezza aggiunta della piattaforma Salesforce sono pienamente conformi alle normative CCPA e GDPR, quindi si può stare certi che le misure di sicurezza rispetteranno la lettera della legge più aggiornata.
La soluzione PMS di Booking Ninjas protegge i dati della tua organizzazione da qualsiasi estraneo utilizzando identificatori unici, che cambiano costantemente perché si basano sulle sessioni di ogni utente. Quando si effettua il log-in, vengono personalizzati identificatori specifici basati sulla propria azienda e sulla propria posizione, il che garantisce che si possiedano le conoscenze e le competenze della persona che si dichiara di essere.
Salesforce è ospitato esclusivamente in ambienti server sicuri che utilizzano firewalling e altre tecnologie avanzate per prevenire interferenze o accessi da parte di intrusi esterni.
Sicurezza del livello di trasporto (TLS)
Salesforce utilizza alcune delle migliori tecnologie di sicurezza disponibili al mondo. Per accedere al sistema è necessario utilizzare un browser supportato da Salesforce. Da lì, TLS protegge i dati utilizzando sia l'autenticazione del server che la crittografia classica, assicurando che le informazioni siano sicure, protette e disponibili solo per gli utenti registrati all'interno dell'organizzazione.
Proteggere i dati di Salesforce
Una volta installata la soluzione PMS di Booking Ninjas, è importante selezionare con attenzione le impostazioni di sicurezza che manterranno i tuoi dati il più possibile al sicuro, consentendoti al contempo di mantenere l'efficienza all'interno del programma per ottenere il massimo beneficio. Devi essere in grado di proteggere i dati della tua azienda da accessi non autorizzati al di fuori dell'azienda, ma anche di salvaguardarli da un uso inappropriato da parte dei tuoi utenti interni.
LIVELLI DI SICUREZZA
La protezione delle informazioni aziendali è un compito che è meglio svolgere in collaborazione con Salesforce. Le funzioni di sicurezza consentono al tuo team di raggiungere la massima efficienza senza intralci, ma fornendo la protezione necessaria.
Il tuo team per la sicurezza
In qualità di amministratore Salesforce del tuo team, fai automaticamente parte del team di sicurezza dell'azienda. La sicurezza è alla base dell'intero servizio Salesforce. Oltre a proteggere i dati e le applicazioni, Salesforce consente di costruire uno schema di sicurezza su misura per le esigenze della tua azienda. Selezionando i dipendenti che hanno accesso ai dati, Salesforce e Booking Ninjas ti danno la possibilità di tenere traccia dell'attività dei tuoi utenti all'interno del sistema e di assicurarti che gli utenti giusti possano lavorare sui dati giusti.
Fai entrare gli utenti giusti
Un elemento fondamentale del sistema di sicurezza di Salesforce è la richiesta di un secondo livello di autenticazione quando gli utenti effettuano il login. Gli utenti rispondono a un avviso dell'autenticatore di Salesforce dalla loro app mobile oppure inseriscono un codice di accesso inviato al loro telefono via SMS o e-mail. Questo garantisce la protezione dell'account dell'utente, anche se le sue credenziali sono state compromesse.
Due tipi di autenticazione
Il "Salesforce-Authenticator" semplifica l'impostazione dell'autenticazione a due fattori. È facilmente configurabile con istruzioni passo-passo, semplicemente andando su "setup". È anche possibile specificare quali utenti necessitano di "autenticazione a due fattori". Questo è utile e consigliato per gli utenti che hanno accesso a dati più sensibili. Nel contempo, non c'è bisogno di richiederla per tutti gli utenti che non hanno accesso ai dati, per aumentare l'efficienza e la convenienza per gli utenti più semplici di Salesforce.
Limitazione degli indirizzi IP disponibili per l'accesso degli utenti
L'accesso a Salesforce può essere limitato agli indirizzi appartenenti esclusivamente alla tua azienda. Chiunque tenti di accedere da un indirizzo esterno non può accedere alla pagina di login. In questo modo, anche se un hacker accede alle credenziali di accesso necessarie, non può utilizzarle al di fuori della rete aziendale. Gli indirizzi IP attendibili possono essere impostati per l'intera organizzazione o per specifici profili utente.
Disattivazione degli ex utenti
Gli utenti di Salesforce cambiano costantemente a causa di una serie di fattori in un ambiente di lavoro che cambia più velocemente che mai. Con i dipendenti che lasciano l'azienda o cambiano posizione regolarmente, vengono aggiunti nuovi utenti su base giornaliera. Controllando la tua sicurezza, quando un utente non lavora più per la tua azienda, può essere disattivato rapidamente e semplicemente in pochi minuti. Le loro credenziali Salesforce vengono disattivate in modo permanente e, se tornano a lavorare, devono esserne concesse di nuove.
LIMITA CIÒ CHE GLI UTENTI POSSONO FARE
All'interno della piattaforma di sicurezza Salesforce, è possibile specificare più livelli di accesso per determinare chi può fare e vedere cosa. Le diverse aree dell'azienda possono essere configurate individualmente per ottenere la massima efficienza.
Cosa possono fare?
L'accesso a diverse risorse può essere limitato a tua discrezione in base a un livello di autorizzazione di sicurezza, determinato dall'autenticazione dell'utente al momento dell'accesso. È possibile impostare un livello di sicurezza "standard" o "ad alta sicurezza", che stabilisce quali risorse specifiche sono disponibili per gli utenti con determinati livelli di autorizzazione di sicurezza.
Cosa hanno fatto?
Field Audit Trail ti permette di determinare con preferenze specifiche per quanto tempo possono essere conservati i dati della cronologia dei campi archiviati. È possibile proteggere fino a 10 anni di attività senza tracciamento della cronologia di campo. Questa funzione è estremamente preziosa perché massimizza l'efficienza e la sicurezza nel caso in cui si renda necessaria la conformità alle normative di settore per gli audit. La tracciabilità di tutte le modifiche alle impostazioni effettuate dall'utente e da tutti gli altri utenti è una funzione inclusa. La cronologia delle verifiche è fondamentale per le aziende con più utenti.
ALTRE OPZIONI DI SICUREZZA
Crittografia dei dati
La soluzione PMS di Booking Ninjas si avvale della "Platform-Encryption" di Salesforce, che aggiunge un nuovo livello di sicurezza per i tuoi dati, mantenendo al contempo la funzionalità degli utenti. Utilizza un esclusivo sistema avanzato di derivazione delle chiavi per selezionare i dati che possono essere crittografati a riposo. In questo modo le informazioni vengono protette come mai prima d'ora, pur rispettando le politiche sulla privacy, gli obblighi contrattuali e i requisiti normativi, necessari quando si tratta di gestire informazioni private. La crittografia della piattaforma è inclusa in un pacchetto di funzioni di sicurezza aggiuntive avanzate chiamato "Salesforce Shield".
Attivazione di azioni automatiche su eventi di sicurezza
È possibile specificare le azioni da intraprendere quando si verificano eventi di sicurezza, come notifiche, blocchi o richiesta di autenticazione a due fattori. È anche possibile impostare criteri di sicurezza per cui una sessione termina semplicemente se si tenta un'azione di violazione. Queste azioni sono chiamate "politiche di sicurezza delle transazioni" e sono incluse nel pacchetto "Salesforce Shield".
Monitoraggio degli eventi nell'organizzazione
Il monitoraggio degli eventi consente di accedere ai file di log degli eventi per tenere traccia delle attività degli utenti. Questa funzione può essere integrata con altri strumenti di analisi dei dati. Fa anche parte del pacchetto "Salesforce Shield".
CONCLUSIONI SULL'IMPLEMENTAZIONE DELLA SICUREZZA DEI DATI CON IL SOFTWARE
La sicurezza dei dati è diventata una considerazione primaria nel settore dell'ospitalità. Una delle ragioni principali è che non esistono metodi garantiti per fermare le violazioni dei dati. Un'azienda può solo fare ricerche, istruire il proprio personale e implementare i sistemi di sicurezza che ritiene più adatti. Personalizzare l'implementazione della sicurezza diminuisce le possibilità di compromissione dei dati e riduce la quantità di perdite di dati in caso di violazione della sicurezza.
In base alle mie ricerche, la piattaforma Salesforce con l'aggiunta della sicurezza dei PMS Booking Ninjas soddisfa tutte le esigenze, se si considerano le preoccupazioni e le considerazioni esposte in precedenza nella prima parte del blog. La piattaforma è conforme a tutte le normative più recenti, rientra nella giurisdizione degli Stati Uniti ed è progettata specificamente per le aziende del settore alberghiero. Fornendo una formazione di qualità al tuo team su come utilizzare al meglio Salesforce, si crea un fronte unificato per mantenere i dati al sicuro. Si tratta solo di fornire una formazione di qualità al personale per garantire che la piattaforma funzioni al massimo dell'efficienza.
Sei interessato a saperne di più sul nostro software PMS? Dai un'occhiata al nostro processo di implementazione o semplicemente programma una breve telefonata introduttiva di 10 minuti.