Los hoteles se enfrentan a muy diversos retos relacionados con la protección de los datos de los clientes. No en vano, manejan gran cantidad de información sensible y valiosa de las personas que pasan por sus alojamientos. Entre esa información se encuentra, por supuesto, la de sus tarjetas de crédito.

Ante la necesidad de adaptarse a las nuevas certificaciones PCI DSS, específicas para este tipo de información, y a la nueva regulación de protección de datos a nivel europeo (GDPR) que entra en vigor el próximo 25 de mayo, hemos preguntado a Jesús Gutiérrez, director de Customer Support en la compañía Open Room, cuáles son los aspectos que deben abordar con urgencia los hoteles para cumplir con las nuevas certificaciones y normativas:

En este momento, ¿qué es realmente lo esencial que deben saber los hoteles sobre PCI DSS?

De lo que tienen que estar pendientes los hoteles es que, al igual que hace un tiempo se puso en marcha la Ley de Protección de Datos, el PCI se centra en los datos bancarios de los clientes. Los hoteles tienen que aprender cómo tratar esa información sensible, sobre todo si alguien se hace con el poder de esa información.

¿Qué acciones deben poner en marcha los hoteles con mayor urgencia?

Esta es una norma pensada para evitar el fraude. En los hoteles guardamos copias de las tarjetas de crédito de los clientes, de modo que esta normativa implica disponer de un servidor seguro para poder almacenar todos esos datos.

La operativa que llevaban hasta ahora muchos hoteles no podrá tener continuidad, ya que con muchas de las tareas que se realizan por costumbre se incumplirían todas esas medidas de seguridad.

El punto clave es el momento en el que el cliente ofrece los datos de su tarjeta de crédito. Nosotros nos debemos proteger contra todo tipo de ataques informáticos en el procesamiento de esos datos. El hotel debe cuidar los procedimientos de captación, que tendrán que cambiar en un futuro muy próximo, si bien de cara al cliente final no habrá ninguna diferencia.

¿Cuáles son los plazos para abordar esta actualización?

Los tiempos son flexibles ya que sobre todo se trata de recomendaciones. De momento la normativa hace hincapié en primer lugar en los sistemas informáticos que procesan esa información, más que en la operativa de un hotel.

Sin embargo, a partir del próximo 30 de junio la normativa cogerá fuerza, ya no será recomendable sino necesario implementar de manera seria esta certificación e incluso puede haber sanciones con determinadas operativas.

Empresas como la nuestra, que trata grandes volúmenes de información deben ser estrictas con su cumplimiento. De hecho, muchos proveedores piden esta certificación para poder acceder a datos de los clientes por medios informáticos.

¿Va a afectar al día a día de los hoteles?

Afectará al departamento de recepción y reservas, que son los encargados de recoger esta información y realizar los cobros a los clientes. Seguramente desde los propios bancos, sobre los que ha recaído la responsabilidad de que sus clientes cumplan con la normativa, podrán recibir cursos de formación para los empleados del hotel sobre tratamientos de datos.

¿PCI guarda relación o sirve para cumplir con la nueva ley de protección de datos que entra en vigor en Europa el próximo mes de mayo?

Son normativas complementarias, no son independientes una de la otra. GDPR se refiere a un ámbito más general y afecta a los datos que podemos guardar de los clientes (domicilio, número de pasaporte, etc), mientras que PCI hace hincapié en los datos bancarios y se centra en los sistemas informáticos que los almacenan, debido al crecimiento del entorno online para realizar compras.

¿Es complicado cumplir con esta certificación?

No es complicado para los hoteles. Son sencillamente cosas que debemos aplicar a la hora de tratar los datos de los clientes, como no apuntar el número de la tarjeta de crédito en la reserva. Ese pequeño detalle debe estar en un entorno seguro sin necesidad de apuntarlo. Son pequeños ajustes que los hoteles tendrán que realizar, pero la primera fase se centrará en los sistemas informáticos que guardan esa información, que deben estar correctamente protegidos y encriptados para evitar cualquier tipo de fuga.

Con los pagos móviles y biométricos en el futuro, ¿se complica esta recogida de datos para los hoteles? 

Al contrario, creo que esta tecnología facilitará la tarea a los hoteles. Trabajaremos con códigos de cobro y ni siquiera manejaremos el número de tarjeta. Con la tokenización no almacenaremos la clásica numeración sino un código que certifica que la tarjeta es correcta. Todas las nuevas tecnologías ayudarán a los hoteles y evitarán el fraude, ya que se podrán despreocupar de la exactitud de los datos bancarios de sus clientes.