Como todos sin duda sabemos, la adaptación de un negocio al estándar de seguridad PCI DSS es una tarea ardua y complicada, pero que sin duda tiene cuantiosos beneficios. Además, hay ciertos tipos de sectores en los que, por su lógica de negocio, dicha adaptación puede representar una tarea todavía más compleja. Un ejemplo de dichos sectores es el hotelero, que cuenta con una serie de particularidades específicas que pueden dificultar el cumplimiento del estándar.

No obstante, con los conocimientos y la experiencia adecuadas, dichas particularidades pueden ser abordadas para que la implementación de la PCI DSS en este tipo de negocios sea una realidad.

Así pues, en este artículo veremos algunas de las particularidades del sector hotelero que dificultan la adaptación con el estándar PCI DSS, así como algunas recomendaciones para lograr el cumplimiento del mismo, con base en nuestra amplia experiencia en dicho sector.

Entornos ampliamente distribuidos

Si una cadena hotelera tiene una cobertura geográfica muy amplia (hoteles en diferentes ubicaciones (ciudades, países, continentes), oficinas distribuidas, sedes centrales, etc.), la creación de una adecuada estructura de red que satisfaga los requerimientos de la PCI DSS es una tarea complicada. Además, en cada una de dichas ubicaciones nos podemos encontrar con diferentes tipos de sistemas y tecnologías, que nos compliquen todavía más el cumplimiento del estándar.

En estos casos, la más aconsejable es inventariar muy bien todas las ubicaciones y tecnologías implicadas en cada una de las ubicaciones que conformarán el entorno de cumplimiento global, para poder establecer un plan estratégico de implantación del estándar adecuado para cada caso concreto. Si el plan estratégico está debidamente definido para cada una de estas situaciones, lograremos optimizar esfuerzos y recursos en cada una de las tareas de implantación con el estándar PCI DSS.

Múltiples puntos de entrada de datos de tarjeta

Uno de los escenarios habituales en dichos entornos es que convivan diferentes puntos de entrada de datos de tarjeta, ya que lo que el negocio persigue precisamente es que los clientes finales tengan como opción realizar una reserva hotelera desde diferentes tipos de canales.

Algunos ejemplos de los canales de entrada de datos de tarjeta que nos podemos encontrar en los entornos hoteleros son los siguientes:

  • Portales web.
  • Centralitas telefónicas y reservas a través de correo electrónico (Canales MOTO (Mail Order/Telephone Order)).
  • Reservas a través de Fax.
  • Terminales POS (Point Of Sale) en los propios hoteles.
  • Proveedores (Channel Managers, agencias de viajes, otros hoteles, etc.).

Como es de esperar, deberemos aplicar todos los requerimientos del estándar PCI DSS necesarios en cada uno de estos canales, con la dificultad operativa que esto conlleva.

En estos casos, se recomienda analizar detalladamente el flujo de datos de tarjeta en cada uno de los canales de entrada de datos disponibles por el negocio, para posteriormente, desgranar las medidas de implantación PCI DSS a aplicar en cada uno de ellos. Entre las medidas de análisis a llevar a cabo para estudiar debidamente los flujos de datos de tarjeta existentes destacan la revisión de documentación técnica de cada uno de los canales existentes, la revisión de documentación operativa, la realización de entrevistas con el personal implicado, etc.

Si analizamos bien los flujos de datos de tarjeta para cada canal, tendremos claramente definidos todos los puntos que almacenen, proceses y/o transmitan datos de tarjeta, y conseguiremos focalizar muy bien los esfuerzos de adaptación al estándar, y además evitaremos descuidos/sorpresas en el camino.

Almacenamiento de datos sensibles de autenticación en reservas anticipadas

Este es uno de los puntos que suele traer más problemas en este tipo de entornos, y por eso, lo trataremos con más detalle.

Para ponernos en situación, vemos que el requerimiento 3.2 del estándar PCI DSS prohíbe explícitamente el almacenamiento de los datos sensibles de autenticación (SAD) después de la autorización bancaria, entre ellos los datos CVV2/CVC2/CAV2/CID (a partir de ahora les llamaremos solo CVV2), que son los valores de 3 o 4 dígitos que se pueden encontrar detrás de las tarjetas de pago, y que sirven para autenticar el dueño de una tarjeta en las compras online.

Dicha medida está pensada para compras por internet, donde en el momento del pago, el cliente introduce sus datos CVV2 en el portal web del comercio, y posteriormente, dicho comercio se comunica con la entidad adquiriente para autorizar la transacción. Si todo se realiza de manera correcta, el producto es vendido al cliente, y el comercio recibe la suma acordada por el mismo a través de la entidad adquiriente y emisora de la tarjeta. En dicho escenario típico, y según el estándar PCI DSS, el comercio no debe almacenar los datos CVV2 después de la autorización bancaria.

En entornos hoteleros no obstante, cuando se realiza una transacción web, lo que se está haciendo no es comprar un producto, sino contratar un servicio, concretamente, el alojamiento en una habitación de hotel para un día determinado.

En algunos portales web hoteleros se debe pagar la habitación en el momento en que se realiza la reserva (pago adelantado), pero en muchos otros, el huésped simplemente realiza una reserva de la habitación de manera online, con el objetivo de pagar la habitación en el propio hotel de manera presencial cuando haya finalizado su estancia en el mismo (proceso denominado “pago en destino“). En este último escenario, el huésped debe indicar al hotel sus datos de tarjeta como garantía en el momento de la reserva online, entre ellos, los datos del CVV2. El hotel necesita disponer de dichos datos para que en el caso de que el huésped no se presente en el hotel en la fecha prevista para la reserva, o bien no pague en el hotel el día del check-out, pueda efectuar un cobro en su cuenta bancaria.

En este tipo de casos, se puede dar el caso de que el hotel necesite almacenar dichos datos sensibles de autenticación durante varios días o incluso semanas, hasta el momento en que se realice la autorización bancaria.

Hay que tener en cuenta que el estándar PCI DSS no prohíbe el almacenamiento de los datos sensibles de autenticación antes de la autorización bancaria, solo después de la misma, como hemos visto anteriormente. Por lo tanto, si existe la necesidad justificada de efectuar dicho almacenamiento, será posible cumplir con el estándar PCI DSS almacenando los datos CVV2 hasta el momento de la autorización. No obstante, las medidas de protección que se deberá aplicar a dichos datos hasta el momento de la autorización bancaria deberán ser muy estrictas, ya que se trata de un dato altamente sensible. Dichas medidas deberán incluir todos los requerimientos del estándar PCI DSS aplicables al procesado, almacenamiento y/o transmisión de los datos PAN, además de otras medidas específicas para cada entorno concreto, que deberán ser contrastadas con las entidades adquirientes, para obtener su adecuada aceptación.

Algunos ejemplos reales de medidas específicas para lograr un correcto almacenamiento de los datos CVV2 hasta el momento de la autorización bancaria son los siguientes:

  • Almacenamiento de los datos con cifrado robusto, con algoritmos AES256 o superiores.
  • Almacenamiento independiente del dato PAN, en bases de datos diferentes.
  • Acceso a los datos solamente a través aplicaciones internas (sin accesos públicos), o a través de soluciones de envío de datos específicas, como correo electrónico seguro.
  • Acceso a un sólo dato CVV2 cada vez, evitando volcados de información a gran escala en caso de compromiso.
  • Borrado automático del dato en todas sus ubicaciones una vez sea consultado la primera vez por el hotel, cuando se habrá realizado la autorización bancaria.
  • Borrado automático de los datos en todas sus ubicaciones en la fecha del check-out de la reserva, por si el cliente ha pagado en efectivo en el hotel y el dato no ha sido consultado en su almacenamiento interno.

Gran cantidad de personal implicado en el entorno

Al tener varios canales de entrada de datos de tarjeta, así como múltiples ubicaciones físicas en el entorno global, el volumen de personal implicado en el entorno de cumplimiento será también elevado, dificultando los procedimientos operativos relacionados con la gestión de usuarios finales. Algunos ejemplos de dichos procedimientos son la gestión de usuarios con acceso a los sistemas del entorno, los procesos de formación en materia de seguridad al personal, la difusión y adhesión a las políticas de seguridad internas, etc.

De la misma forma que en los casos anteriores, será muy importante identificar todo el personal implicado en el entorno de cumplimiento, para poder establecer una correcta estrategia de cumplimiento PCI DSS en todos los procesos relacionados con la gestión del personal. Se recomienda agrupar los usuarios por perfiles, creando planes de actuación y gestión para grupos de usuarios concretos según su perfil o rol en el entorno de cumplimiento.

Gran cantidad de terminales POS

En cada hotel podremos encontrar varios dispositivos POS (Point-of-Sale), destinados a los pagos presenciales realizados por huéspedes en las recepciones de los distintos hoteles.

Dichos terminales son un punto de ataque muy sensible, existiendo múltiples ataques de skimming diferentes para ellos, que un atacante podría utilizar para obtener los datos de tarjeta procesados por los terminales infectados.

Será por lo tanto muy importante implantar unos correctos procedimientos de custodia y gestión de dichos dispositivos, como indica el requerimiento 9.9 del estándar PCI DSS:

Existencia de ubicaciones no controladas

En general, las recepciones de los hoteles son entornos con mucha rotación de personal, donde un alto número de usuarios es susceptible a gestionar pagos de tarjeta a través de terminales POS. Además, normalmente nos encontramos con entornos con mucha actividad, donde llevar un control de ciertos activos (como los datos de tarjeta) se puede convertir en una tarea compleja.

En estos casos, será necesario definir e implementar políticas/procedimientos/manuales para el adecuado tratamiento de los datos de tarjeta en los puestos de usuario final, que dejen claro a los empleados sus responsabilidades en todas las interacciones con dichos datos. Además, será necesario impartir formaciones de seguridad periódicas a los empleados, donde se les indiquen todas las consideraciones de seguridad que deban tener en cuenta en su día a día para garantizar una correcta seguridad en el entorno de cumplimiento, tal y como indica el requerimiento 12.6 del estándar: