Dos proyectos estratégicos de seguridad de la información indispensables en la industria de los viajes

0

Por Flor Páez, Security Manager BCD Travel México

La información se ha convertido en el activo más valioso de todas las organizaciones, por lo tanto la privacidad de la información es un tema de mayor prioridad tanto para los clientes como para las empresas que la custodian. Existen 2 proyectos estratégicos en los cuales BCD Travel está en cumplimiento con el fin de proteger la información de nuestros clientes: el primero se trata de PCI DSS y el segundo la implementación de la Ley Federal de Datos Personales (LFPDPPP).

Últimamente se han dado a conocer a nivel mundial más ataques, fraudes con tarjetas de crédito, débito, monederos electrónicos, robos de información, robos de identidad, espionajes a distintas víctimas sin importar distinción tales como empresas, artistas, políticos, gobiernos, etc. Estos eventos están empujando a las organizaciones a tomar en cuenta a la seguridad de la información como un tema de mayor prioridad pues nadie les puede garantizar que no serán víctimas de estos atacantes en algún momento.

Hablando de comercio electrónico, según la CONDUSEF del total de compras autorizadas en comercios electrónicos, el 63% corresponde a tarjetas de crédito y el 37% a tarjetas de débito. Estos porcentajes indican que el eCommerce es el blanco más atractivo para los atacantes debido a que este tipo de negocio maneja, procesa y transmite tarjetas de crédito, débito, entre otras, siendo la información necesaria para cometer fraudes en línea principalmente. Por tal motivo, los clientes deben tener cuidado donde realizan las compras tanto física como virtualmente. A continuación se recomiendan algunos tips a tomar en cuenta antes de realizar compras en línea para que la transacción sea más segura.

Para mitigar esta problemática existente y que va a la alza existe el estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS el cual fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes. Fue fundado por American Express, Discover Financial Services, JCB International, MasterCard y Visa Inc.

El estándar está compuesto por 12 requerimientos traducidos a 260 controles de seguridad aproximadamente, el cual sirve como una guía que ayuda a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito, principalmente. Entre los principales beneficios de PCI está reducir fugas de información de tarjetas de crédito, evitar multas y altos costos de las emisoras de tarjetas de crédito, obtener la confianza de nuestros clientes al proteger su información sensible.

Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar de lo contrario arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Pérdida de franquicias) y pueden enfrentar auditorías rigurosas o pagos de multas. Los Comerciantes (merchants) y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica a través de casas certificadoras y auditores autorizados QSAs (Qualified Security Assesor) establecidos por el PCI Council.

Seguridad-2

Otro de los retos a los que se enfrenta la industria de los viajes es la privacidad de la información de los clientes, puesto que para una reservación de un viaje se transfiere información de los clientes a proveedores de aerolíneas, hoteles, rentas de autos, etc los cuales deben tener implementados al menos avisos de privacidad, la existencia de cláusulas de privacidad en los contratos, medidas de seguridad física (controles de acceso, lógica (sistemas) y administrativas (procesos) que son algunos de los requerimientos que pide la Ley Federal de Datos Personales que entró en vigor desde el 2011 y que ya ha aplicado multas millonarias a diversas empresas de distintos giros y tamaños.

Esta ley aplica a los particulares que sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. Para efectos de esta ley, se entiende por datos personales cualquier información concerniente a una persona física identificada o identificable tales como nombre, dirección, fecha nacimiento, nacionalidad, estudios, etc. y datos personales sensibles como son etnia, creencias religiosas, preferencias sexuales, opinión política etc.

¿Qué elementos considera la LFPDPPP? Los elementos de la ley se engloban en 4 temas:
1.Aviso de privacidad: Es un documento físico, electrónico o en cualquier otro formato (visual o sonoro) que debe de estar publicado donde se recolecta la información del cliente y tiene como propósito informar a los clientes que su información personal será recabada y utilizada para ciertos fines y dependiendo del tipo de información con la que cuente la organización (datos personales sensibles o no sensibles) , se deberá de considerar el consentimiento tácito(por escrito) o expreso (verbalmente) del cliente para el manejo de su información.

2. Derechos ARCO: Toda persona que haya proporcionado sus datos personales, tiene derecho al Acceso de su información, Rectificación, que es la actualización o cambio de sus datos, Cancelación del uso de uno o varios datos personales a través de eliminar esa información, y Oposición a algún tratamiento o acción derivada del uso de la información. Estos son los derechos ARCO, y la empresa (responsable) deberá proporcionar a la persona los medios gratuitos para poder ejercer estos derechos, y deberá también tomar en cuenta los lineamientos establecidos para cumplir en tiempo y forma a cualquier solicitud de la persona referente a sus derechos, y así evitar sanciones.

3. Relaciones con Terceros: Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a los titulares e l aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.

Seguridad

4. Sanciones: El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y vigilar la observancia de las disposiciones.

Las repercusiones del no cumplimiento van desde los $8,000 MN hasta $25,600,000 MN por recurrencia. El monto de las multas se aplica de acuerdo a la capacidad económica (con base en sus ingresos) del responsable de los datos personales. Las sanciones dependerán del tipo y la gravedad de la falta, del tipo de datos que estén involucrados (sensibles o no sensibles) y del número de personas que realizan las quejas. Otra repercusión importante es la reputación de la empresa (pérdida económica intangible) y la pérdida de confianza por parte de los clientes.

Flor Páez, Security Manager en BCD Travel México, explica que: “Para estar en cumplimiento con las leyes y regulaciones que aplican a cada empresa, se necesita que todas las áreas internas estén conscientes de cómo usan la información en sus actividades y cómo la comparten tanto internamente como externamente recordando que los datos personales pertenecen a la persona y no a la empresa que los trata y cualquier negligencia puede impactar altamente tanto al usuario final como al negocio”.

Por último es importante que todos los empleados de la organización conozcan de manera detallada los alcances y objetivos de los proyectos estratégicos de seguridad de la información a través de las campañas de concientización que deben ser periódicas y no solamente una vez al año. Pues cada vez más surgen nuevas vulnerabilidades y nuevos ataques cibernéticos que desafortunadamente son efectivos a través de empleados negligentes o que desconocen el tema de seguridad de la información.•

Consulta nuestro aviso de privacidad en https://www.bcdtravelmexico.com.mx/Default.asp

Share.

About Author

Leave A Reply