Varför PCI DSS är viktigt för hotellbranschen

Enligt Verizon Risk Teams senaste Data Breach Investigations Report (DBIR) rankas hotellbranschen högt när det kommer till cyberattacker. Branschen har i många år varit mål för cyberkriminella som är ute efter kreditkortsinformation. Orsaken är främst för att det handlar om höga antal transaktioner och att man rätt enkelt kan rikta sina attacker mot flera hotell inom samma hotellkedja samtidigt.

Varför har hotellbranschen drabbats av cyberattacker?

Hotell brukar i regel lagra kortdata på flera olika platser: centralt bokningssystem, reception, mejl och kortformulär – både fysiska och virtuella POS system och PMS (Property Management Systems), inklusive anslutna system. Det finns helt enkelt väldigt många platser där kortdata finns tillgängligt vilket ökar riskerna för stöld och säkerhetsintrång.

Tyvärr är hotellbranschen väldigt långsam med att identifiera luckor och potentiella säkerhetsrisker. Många hotell får reda på att ett intrång har skett först när kunderna själva uppmärksammar hotellet om att de har blivit offer för kortbedrägerier.

När en hackare väl har komprimerat ett POS eller PMS så kan de vara inloggade i systemet i flera dagar, månader, till och med år, utan att bli upptäckta. Och när de väl är inne i systemet är det oftast inte bara kreditkortsinformation som är i fara, utan även personlig data som namn, adresser, personnummer och passinformation. Dessa uppgifter, i synnerhet kreditkortsuppgifter, stjäls inte bara av hackare för att användas för inköp, men också för att säljas. På ’The Dark Web’ kan värdet av ett giltigt kreditkort med SAD (Sensitive Authentication Data) ligga på över 50 dollar!

Många hotell tror att de behöver lagra kreditkortsdata, främst för att erbjuda bättre kundservice – vilket snarare blir varför de är i fara!

PCI DSS och hotellbranschen

För ett hotell är första steget i försvaret mot cyberkriminella att ändra hur kreditkortsuppgifter lagras. Att bara inhämta och lagra kortdata när det absolut är nödvändigt kan dramatiskt minska risken för att det hamnar i fel händer.

Att upprätta och upprätthålla ett korrekt PCI DSS-program inom IT-avdelningen är avgörande, inte bara för att påvisa efterlevnad gentemot inlösare och betalningsföretag, utan framförallt för att utmana och förbättra den interna IT-säkerhetsprocessen. PCI-standarden tvingar IT-chefer att utvärdera om nuvarande teknik och processer är lämpliga eller inte och om alla kritiska datalagringsplatser är nödvändiga. Ju mindre kortdatamiljö (så länge skyddet implementeras ordentligt) desto svårare blir det för brottslingar att stjäla kortdata.

Huvudsakligt fokus för den som hanterar kreditkortsdata bör vara: "om du inte behöver det, lagra det inte".

Mitt tips är, gör allt för att eliminera data – utbilda personal, skapa processer och hitta verktyg som underlättar det arbetet. Ofta är det möjligt att ersätta data som lagras med kryptering eller tokenization vilket även bidrar till att minska omfattningen av en PCI DSS-bedömning och förenklar compliance.

Om möjligt, outsourca hela kreditkortsadministrationsprocessen till en PCI-kompatibel tjänsteleverantör. Att outsourca minskar inte bara risken för intrång och stöld av kreditkortsinformation, det reducerar också dramatiskt arbetet som behövs för att uppnå PCI DSS-efterlevnad.