В эпоху цифровизации отели хранят огромные массивы персональных данных гостей. Как обеспечить их безопасность и не нарушить закон? Мы обсудили ключевые вопросы с экспертами компании «Контур.Отель», которая специализируется на комплексных IT-решениях для гостиничного бизнеса.
— Расскажите, как в отелях обычно организовано хранение персональных данных гостей?
— Хранение осуществляется тремя основными способами. Автоматизированный — это все, что в компьютерах: базы данных, системы бронирования (PMS), файлы на флеш-накопителях, серверах. Неавтоматизированный — это бумажные документы: анкеты, договоры, журналы и подписанные согласия на обработку данных. Смешанный – это сочетание автоматизированного и неавтоматизированного способов обработки таких данных.
Для каждого способа — свои правила безопасности:
- для бумаг: документы должны храниться в запирающихся шкафах или сейфах. Доступ к ним имеют только те сотрудники, которым это нужно для работы. А уничтожать их нужно вовремя — либо когда срок хранения истек, либо в течение 10 дней после того, как гость отозвал свое согласие;
- для электронных данных: нужно четко определить, кто из сотрудников имеет доступ к каким системам. Все носители информации (например, флешки или жесткие диски) должны учитываться. Обязательно используются специальные средства защиты, которые препятствуют несанкционированному доступу, и вся система проверяется на устойчивость к угрозам.
— Почему происходят утечки данных и как их можно предотвратить?
— Основная причина, к сожалению, — человеческий фактор. Сюда относится:
- фишинг: сотрудник получает поддельное письмо, например, от имени «техподдержки», и сам передает им свои пароли;
- небрежность: случайная отправка данных не тому гостю, потеря флешки с информацией или оставленный на столе распечатанный список гостей;
- социальная инженерия: злоумышленник может позвонить сотруднику, представиться начальником или IT-специалистом, и под предлогом «срочной проверки» выведать конфиденциальные сведения.
Другие частые причины:
- устаревшее ПО: если операционные системы или программы отеля не обновляются, в них остаются «дыры», через которые легко проникнуть хакерам;
- слабые пароли: простые пароли вроде «12345» или использование одного и того же пароля для разных систем;
- внутренний сговор: умышленная кража данных недовольным сотрудником;
- риски от партнеров: утечка может произойти не по вашей вине, а, например, через сервис бронирования, с которым вы работаете, если его взломают. То же касается и IT-подрядчиков, которые имеют доступ к вашим системам.
Как защититься?
- Учите сотрудников: регулярно проводите тренинги, чтобы они знали, как распознать обман и правильно обращаться с данными;
- Установите средства защиты информации: внедрите двухфакторную аутентификацию (когда для входа нужен не только пароль, но и код из SMS). Отдельно управляйте правами администраторов;
- Мониторьте действия: специальные системы помогают отслеживать подозрительную активность на рабочих компьютерах — например, попытки массового копирования данных;
- Обновляйтесь вовремя: установите строгий график установки всех обновлений безопасности;
- Проверяйте подрядчиков: убедитесь, что ваши партнеры (сервисы бронирования, хостинг-провайдеры) тоже соблюдают стандарты безопасности;
- Изолируйте сети: гостевой Wi-Fi должен быть полностью отделен от внутренней сети отеля, где хранятся данные;
- Проводите проверки: регулярный аудит и сканирование уязвимостей помогают находить слабые места до того, как ими воспользуются злоумышленники.
— Как часто отелям нужно проводить аудит безопасности?
— Аудит не должен быть разовой акцией. Это непрерывный процесс.
- Ежемесячно стоит анализировать логи доступа и проверять, у кого из сотрудников есть права доступа к данным.
- Ежеквартально — проводить сканирование систем на наличие новых уязвимостей.
- Ежегодно, но не реже раза в 3 года — заказывать полноценный внешний аудит у независимых специалистов, включая тестирование на проникновение (когда эксперты пытаются взломать систему как хакеры).
— Сколько времени отель имеет право хранить копию паспорта гостя?
— Здесь есть важное юридическое различие. Для россиян действующими правилами не предусмотрена обязанность отеля снимать и хранить копию паспорта. Для иностранных гостей в соответствии с Приказом МВД № 856, копия паспорта хранится вместе с уведомлением о прибытии в течение 1 года.
— Каков алгоритм действий отеля в случае утечки данных?
— Действовать нужно быстро и в строгом соответствии с законом.
Шаг 1: Первичное уведомление. В течение 24 часов с момента обнаружения утечки необходимо отправить первичное уведомление в Роскомнадзор через его официальный портал. Для этого нужна подтвержденная учетная запись на Госуслугах от имени организации.
Шаг 2: Дополнительное уведомление. В течение 72 часов проводится внутреннее расследование, выясняются причины и виновные. Все результаты оформляются в дополнительное уведомление, которое также отправляется в Роскомнадзор. В нем указываются все детали инцидента и сведения о лицах, действия которых стали причиной инцидента.
Важно: за сокрытие утечки или несвоевременное уведомление регулятора грозят штрафы: для должностных лиц — до 800 тысяч рублей, а для отеля как юридического лица — до 3 миллионов рублей.
Безопасность данных — это не просто требование закона, но и ключевой элемент доверия гостей. Инвестируя в построение комплексной системы защиты, отель инвестирует в свою репутацию и устойчивость бизнеса. Проще и дешевле предотвратить утечку, чем разбираться с ее последствиями.
Главный врач, педиатр, диетолог, специалист в вопросах функциональной превентивной медицины.
Генеральный менеджер Life Balance отеля Rosa Springs 5*, г. Сочи.
Mr. Eberhard knows hospitality industry inside out due to his 26 years of experience in the hotel and restaurant business, whether it is cooking, serving tables, healthy lifestyle rules or security in the hotels and restaurants.