Какие данные хранят отели
Отели — это среды с высоким объёмом данных. Каждое взаимодействие с гостем генерирует персональную информацию:
- Бронирование: Имя, контактные данные, даты поездки, предпочтения
- Регистрация: Данные паспорта/удостоверения личности, домашний адрес, платёжная информация
- Во время проживания: Журналы доступа в номер, телефонные звонки, использование интернета, расходы на еду и напитки
- Программы лояльности: Полная история, предпочтения, модели расходов
- Маркетинг: Взаимодействие по электронной почте, поведение при бронировании, демографические данные
Эти данные делают отели основными целями для киберпреступников и подчиняют их всё более строгим правилам защиты данных по всему миру.
Для руководителей отдела контроля качества (QA) и соответствия требованиям защита данных больше не является исключительно задачей ИТ-отдела. Операционные практики на стойке регистрации, в службе уборки и на протяжении всего пути гостя либо защищают, либо подвергают риску конфиденциальные данные. В этом руководстве рассмотрено, что необходимо знать и проверять.
Понимание нормативной базы
GDPR: Глобальный стандарт
Общий регламент по защите данных (GDPR), вступивший в силу в мае 2018 года, применяется к:
- Любой организации, зарегистрированной в ЕС
- Любой организации, обрабатывающей персональные данные жителей ЕС, независимо от её местонахождения
Основные принципы GDPR:
| Принцип | Применение в отелях |
|---|---|
| Законность | Для каждого случая использования данных должна быть правовая основа (согласие, договор, законный интерес) |
| Ограничение цели | Данные, собранные для бронирования, нельзя использовать для несвязанного маркетинга без согласия |
| Минимизация данных | Собирать только необходимые данные (действительно ли нужны копии паспортов?) |
| Точность | Поддерживать актуальность профилей гостей, разрешать внесение исправлений |
| Ограничение хранения | Удалять данные, когда они больше не нужны |
| Целостность и конфиденциальность | Технические и организационные меры безопасности |
| Подотчётность | Документировать соответствие требованиям, подтверждать его по запросу |
Права гостей по GDPR:
- Право знать, какие данные о них хранятся (запрос на доступ)
- Право на исправление неточных данных
- Право на удаление (“право быть забытым”)
- Право на переносимость данных (получение данных в пригодном для использования формате)
- Право возражать против обработки
- Право отозвать согласие
Совет от практика: “Сейчас мы получаем 3–5 запросов на доступ к данным по GDPR в месяц. Если вы не можете выполнить их в течение 30 дней, вы не соответствуете требованиям. Мы создали рабочий процесс, который немедленно направляет запросы как в ИТ-отдел, так и в операционный — потому что данные хранятся в обоих местах.” — Специалист по защите данных, европейская гостиничная сеть
PCI DSS: Защита данных карт
Стандарт безопасности данных индустрии платёжных карт (PCI DSS) применяется к любой организации, которая хранит, обрабатывает или передаёт данные держателей карт. Версия 4.0, выпущенная в 2022 году, вводит новые требования, поэтапное внедрение которых продлится до марта 2025 года.
Основные требования PCI DSS:
| Требование | Применение в отелях |
|---|---|
| 1. Безопасность сети | Межсетевые экраны, сегментация сети |
| 2. Защищённые конфигурации | Изменение стандартных паролей, удаление ненужных сервисов |
| 3. Защита хранимых данных | Шифрование, контроль доступа, ограничения по хранению |
| 4. Шифрование передачи данных | TLS/SSL для всех данных карт при передаче |
| 5. Защита от вредоносного ПО | Антивирус на всех системах |
| 6. Защищённые системы | Управление исправлениями, безопасная разработка |
| 7. Контроль доступа | Ограничение круга лиц, имеющих доступ к данным карт |
| 8. Аутентификация | Надёжные пароли, многофакторная аутентификация |
| 9. Физическая безопасность | Защита сред с физическим присутствием карт |
| 10. Ведение журналов и мониторинг | Отслеживание доступа к данным карт |
| 11. Тестирование безопасности | Регулярное сканирование уязвимостей, тесты на проникновение |
| 12. Политики безопасности | Документированные политики, обучение |
Специфические для отелей аспекты PCI:
- PMS (система управления недвижимостью), хранящая данные карт
- Платёжные терминалы на стойке регистрации, в точках общественного питания, спа
- Обработка предварительных авторизаций и депозитов
- Передача данных карт по факсу и электронной почте (запрещено)
- Бумажные регистрационные карты с номерами карт
CCPA/CPRA: Закон о конфиденциальности потребителей Калифорнии
Закон о конфиденциальности потребителей Калифорнии (CCPA), усиленный Законом о правах на конфиденциальность Калифорнии (CPRA), вступившим в силу в 2023 году, применяется к компаниям, которые:
- Имеют валовой доход более 25 миллионов долларов, ИЛИ
- Покупают, продают или делятся персональной информацией 100 000+ жителей Калифорнии, ИЛИ
- Получают 50%+ дохода от продажи персональной информации
Основные требования CCPA/CPRA:
- Раскрытие практик сбора данных во время или до сбора
- Удовлетворение запросов на отказ от продажи/передачи персональной информации
- Предоставление доступа к данным и их удаление по запросу
- Внедрение разумных мер безопасности
Отелям, обслуживающим жителей Калифорнии (что включает многие отели США и международные объекты), необходимо соблюдать эти требования.
Другие юрисдикции
UK GDPR: После Brexit Великобритания сохранила GDPR с незначительными изменениями. Органы по защите данных ЕС и Великобритании осуществляют контроль независимо.
LGPD (Бразилия): Аналогичен GDPR, применяется к обработке данных жителей Бразилии.
POPIA (ЮАР): Комплексный закон о защите данных, вступивший в силу в 2021 году.
PIPL (Китай): Закон о защите персональной информации (2021) с жёсткими требованиями, включая локализацию данных.
Аудит конфиденциальности операционных данных
Работа стойки регистрации
Стойка регистрации является основной точкой сбора данных и зоной наивысшего риска нарушения конфиденциальности.
Аудит физической безопасности:
- Регистрационные карты хранятся в защищённом месте (закрытый ящик или немедленная оцифровка)
- Экраны компьютеров расположены вне поля зрения гостей
- Гостевая карта не видна другим гостям
- Удостоверение личности/паспорт возвращается сразу после проверки
- На стойке не остаётся видимой информации о гостях
Аудит процессов:
- Персонал обучен правильному обращению с документами (копии не делаются, если это не требуется по закону)
- Информация о кредитных картах никогда не записывается на бумаге
- Электронные письма с предварительной регистрацией не раскрывают данные других гостей
- При телефонных звонках личность звонящего проверяется до раскрытия информации о бронировании
- Печатные отчёты (прибытия, отъезды) защищены или уничтожаются
Аудит технологий:
- Доступ к PMS требует индивидуального входа (общие учётные записи не используются)
- Блокировка экрана активируется в течение 5 минут
- Мобильные устройства, используемые для регистрации, зашифрованы и защищены паролем
- Подписи гостей фиксируются в цифровом виде, где это возможно
Совет от практика: “Мы полностью отказались от бумажных регистрационных карт. Всё оцифровано, данные фиксируются на планшетах и сразу шифруются. Бумага была нашим главным риском — во время ремонта мы нашли старые регистрационные карты с номерами кредитных карт в подсобных помещениях.” — Менеджер службы приёма, городской отель
Бронирование и продажи
Служба бронирования обрабатывает данные до прибытия гостя, часто через несколько каналов.
Аудит управления каналами:
- У сторонних каналов бронирования (OTA) заключены соглашения об обработке данных
- Менеджер каналов шифрует данные при передаче
- Подтверждения бронирования не содержат полных номеров карт
- Списки размещения групп хранятся и передаются в защищённом виде
- Переговоры о тарифах не включают личные данные гостей в электронных письмах
Аудит электронной почты и коммуникаций:
- Маркетинговые письма содержат опцию отказа от рассылки
- Согласие получено до добавления гостей в маркетинговые списки
- Для передачи конфиденциальных данных используются защищённые каналы
- Номера кредитных карт никогда не передаются по электронной почте
Служба уборки и служебные помещения
Риски нарушения конфиденциальности выходят за рамки стойки регистрации.
Аудит службы уборки:
- Процедуры работы с забытыми вещами защищают информацию о гостях
- Просьбы гостей “Не беспокоить” документируются и соблюдаются
- Отчёты службы уборки не раскрывают имена гостей без необходимости
- Уничтоженные документы гостей измельчаются, а не выбрасываются в обычный мусор
Аудит технического обслуживания и инженерной службы:
- Доступ в номера гостей документируется (журналы входа)
- Заявки на обслуживание не раскрывают имена гостей в общедоступных зонах
- Записи с камер видеонаблюдения хранятся в защищённом месте с контролем доступа
ИТ и системы
Технические меры контроля лежат в основе операционного соответствия требованиям.
Аудит контроля доступа:
- Индивидуальные учётные записи для всех пользователей (общие логины не используются)
- Доступ на основе ролей (сотрудники стойки регистрации не имеют доступа к данным HR)
- Доступ уволенных сотрудников удаляется в течение 24 часов
- Привилегированный доступ пересматривается ежеквартально
- Многофакторная аутентификация для чувствительных систем
Аудит хранения данных:
- Данные гостей зашифрованы при хранении
- Резервные копии зашифрованы и хранятся в защищённом месте
- Реализованы графики хранения данных (автоматическое удаление)
- Места хранения документированы (где хранятся данные гостей?)
Аудит сетевой безопасности:
- Гостевая сеть Wi-Fi изолирована от операционной сети
- Системы POS (торговые терминалы) находятся в отдельном сетевом сегменте
- Правила межсетевого экрана пересматриваются ежеквартально
- Системы обнаружения/предотвращения вторжений активны и находятся под наблюдением
Контрольный список PCI DSS для отелей
Среда данных держателей карт
Определение и документирование:
- Определены все системы, которые хранят, обрабатывают или передают данные карт
- Схема сети с потоками данных карт
- Диаграмма потоков данных, показывающая движение данных карт
- Область применения документирована и пересматривается ежегодно
Требования к хранению:
- Полный номер карты никогда не хранится после авторизации
- CVV/CVC никогда не хранится (ни при каких обстоятельствах)
- Период хранения данных карт определён и соблюдается
- Старые данные карт надёжно удаляются
Требования к передаче:
- Все данные карт шифруются при передаче (TLS 1.2 или выше)
- Данные карт не передаются по факсу (исключить эту практику)
- Данные карт не передаются по электронной почте (исключить эту практику)
- Беспроводные передачи зашифрованы
Физическая безопасность платежей
Безопасность терминалов:
- Терминалы регулярно проверяются на предмет вмешательства
- Серийные номера документированы и проверяются
- Терминалы не оставляются без присмотра с картами
- Персонал обучен выявлению скиммеров
Обращение с бумажными документами:
- Полные номера карт не записываются на бумаге
- Если существуют бумажные чеки, они сразу защищаются
- Уничтожение документов с данными карт производится перекрёстной резкой
- На копиях чеков для продавца отображаются только последние 4 цифры
Проверка соответствия
Требования к оценке (в зависимости от объёма транзакций):
| Уровень | Годовой объём транзакций | Требование |
|---|---|---|
| 1 | 6+ млн | Ежегодная очная оценка QSA |
| 2 | 1–6 млн | Ежегодный SAQ, ежеквартальное сканирование сети |
| 3 | 20 000–1 млн (электронная коммерция) | Ежегодный SAQ, ежеквартальное сканирование сети |
| 4 | <20 000 (электронная коммерция) или <1 млн (всего) | Ежегодный SAQ, ежеквартальное сканирование сети |
Большинство отдельных отелей относятся к уровням 3 или 4. Отельные компании, обрабатывающие совокупные транзакции, могут относиться к уровням 1 или 2.
Совет от практика: “Мы не прошли первое сканирование PCI из-за принтеров на стойке регистрации. Они имели сетевое подключение для удобства, но это включило их в область проверки. Мы перенесли их в изолированную сеть и сразу прошли проверку. Знайте свою область применения.” — Менеджер по ИТ-безопасности, сеть курортов
Готовность к реагированию на инциденты
План реагирования на утечку данных
Каждому отелю необходим документированный план реагирования:
Роли команды реагирования:
- Руководитель инцидента (обычно генеральный менеджер или старший руководитель)
- Руководитель ИТ (техническое расследование и локализация)
- Руководитель по правовым вопросам/соответствию (требования регуляторов)
- Руководитель по коммуникациям (общение с гостями и СМИ)
- Руководитель по операциям (непрерывность бизнеса)
Этапы реагирования:
-
Обнаружение и отчётность (немедленно)
- Распознавание потенциальной утечки
- Отчёт по установленным каналам
- Сохранение доказательств
-
Локализация (первые 24 часа)
- Изоляция поражённых систем
- Остановка продолжающейся утечки данных
- Документирование предпринятых действий
-
Расследование (24–72 часа)
- Определение масштаба и характера утечки
- Выявление пострадавших лиц
- Определение требований к уведомлению регуляторов
-
Уведомление (в соответствии с требованиями регуляторов)
- GDPR: 72 часа для уведомления надзорного органа
- PCI: немедленное уведомление банка-эквайера
- Законы штатов: различаются (некоторые требуют 24–48 часов)
- Пострадавшие лица: в соответствии с требованиями регуляторов
-
Восстановление и устранение
- Безопасное восстановление систем
- Устранение первопричины
- Внедрение дополнительных мер контроля
-
Анализ после инцидента
- Документирование извлечённых уроков
- Обновление политик и процедур
- Проведение последующего обучения
Требования к уведомлению о нарушениях
| Регулирование | Срок уведомления | Кого уведомлять |
|---|---|---|
| GDPR | 72 часа | Надзорный орган (и пострадавшие лица при высоком риске) |
| PCI DSS | Немедленно | Банк-эквайер, платёжные системы |
| CCPA | Безотлагательно | Жители Калифорнии |
| Законы штатов | От 24 часов до 90 дней | Генеральный прокурор и/или пострадавшие лица |
Обучение и осведомлённость
Обязательные темы обучения
Для всего персонала:
- Распознавание персональных данных
- Основные принципы конфиденциальности
- Порядок сообщения о подозрительных инцидентах
- Процедуры обработки запросов гостей о данных
Для сотрудников стойки регистрации и отдела бронирования:
- Правильное обращение с удостоверениями личности
- Безопасность банковских карт
- Процедуры телефонной верификации
- Контроль доступа и практики выхода из системы
Для IT-персонала:
- Углублённые требования PCI DSS
- Процедуры реагирования на инциденты
- Управление доступом
- Шифрование и управление ключами
Для руководства:
- Обзор нормативных требований
- Ответственность и последствия
- Роли в плане реагирования
- Требования к отчётности
Документация по обучению
- Ведение записей о посещаемости обучения
- Документирование оценки компетенций
- Отслеживание ежегодного повторного обучения
- Проверка обучения, специфичного для роли
- Обучение новых сотрудников до предоставления доступа к системам
Управление поставщиками и третьими сторонами
Отели полагаются на многочисленных поставщиков, имеющих доступ к данным гостей.
Требования к оценке поставщиков
До заключения договора:
- Наличие соглашения об обработке данных (DPA)
- Проверка сертификатов безопасности (SOC 2, ISO 27001)
- Подтверждение соответствия PCI (при обработке данных карт)
- Документирование списка субпроцессоров
Текущий мониторинг:
- Ежегодная анкета по безопасности
- Проверка сертификатов соответствия
- Подтверждение положений об уведомлении об инцидентах
- Проверка удаления данных при расторжении договора
Основные категории поставщиков
| Тип поставщика | Ключевые требования |
|---|---|
| Поставщик PMS | Соответствие PCI, шифрование, контроль доступа |
| Платёжный процессор | Сертификация PCI Level 1 |
| OTA и каналы бронирования | Соглашения об обработке данных, безопасность передачи |
| Программа лояльности | Управление согласием на маркетинг, соглашения о совместном использовании данных |
| Облачные провайдеры | Раскрытие местоположения данных, шифрование, контроль доступа |
| Поставщик WiFi | Сегментация сети, возможности ведения логов |
Документация и ведение записей
Обязательная документация
Политики:
- Политика защиты данных
- Политика информационной безопасности
- Политика допустимого использования
- Политика реагирования на инциденты
- Политика хранения данных
Записи:
- Инвентаризация данных (какие данные, где хранятся, цель)
- Документация правового основания
- Записи о согласии
- Журналы запросов субъектов данных
- Журналы инцидентов
- Записи об обучении
- Договоры с поставщиками
Техническая документация:
- Схемы сети
- Диаграммы потоков данных
- Матрицы контроля доступа
- Детали реализации шифрования
Требования к хранению
| Тип документа | Срок хранения |
|---|---|
| Данные бронирования гостей | Зависит от юрисдикции (обычно 1–7 лет) |
| Данные банковских карт | Удаление сразу после авторизации |
| Записи об обучении | На протяжении трудоустройства + 5 лет |
| Отчёты об инцидентах | 7+ лет |
| Записи о согласии | На протяжении действия согласия + 3 года |
| Запросы субъектов данных | 3 года с момента разрешения |
Подготовка к аудиту на соответствие
Ежемесячные проверки
- Проверка изменений в контроле доступа
- Подтверждение удаления доступа уволенных сотрудников
- Проверка журнала инцидентов
- Проверка статуса соответствия поставщиков
- Проверка показателей завершения обучения
Ежеквартальные проверки
- Проверка и обновление политик
- Анализ результатов сканирования уязвимостей
- Подтверждение соблюдения политики хранения данных
- Сбор анкет по безопасности поставщиков
- Проведение теста на проникновение (ежегодно) или оценки уязвимостей
Ежегодные мероприятия
- Комплексная оценка влияния на конфиденциальность
- Валидация соответствия PCI DSS (SAQ или оценка)
- Полный пересмотр и обновление политик
- Аудит третьей стороной областей высокого риска
- Тренировочное упражнение по реагированию на инциденты
- Доклад руководству/совету директоров по вопросам конфиденциальности
Совет от практика: “Мы относимся к защите данных так же, как к пожарной безопасности — регулярные тренировки, видимая приверженность, обучение всех сотрудников. Когда регулятор пришёл на аудит, его впечатлило не столько наличие наших политик, сколько то, что сотрудники хозяйственной службы могли объяснить процедуры защиты данных гостей”. — Директор по комплаенсу, международная гостиничная сеть
Заключение: Конфиденциальность как операционное совершенство
Соответствие требованиям защиты данных — это не разовый проект. Это постоянная операционная дисциплина, затрагивающая каждый отдел, каждое взаимодействие, каждую систему.
Отели, которые внедряют конфиденциальность в свою культуру:
- Избегают разрушительных штрафов и утечек данных
- Формируют доверие и лояльность гостей
- Выделяются в эпоху осведомлённости о конфиденциальности
- Снижают юридические и финансовые риски
- Создают операционную ясность в вопросах обработки данных
Нормативные требования будут только ужесточаться. Ожидания гостей в отношении конфиденциальности будут только расти. Отели, которые инвестируют сейчас в инфраструктуру и культуру соответствия, будут готовы; те, кто откладывает, столкнутся с всё более дорогостоящим и разрушительным процессом наверстывания упущенного.
Готовы внедрить комплексный аудит защиты данных в свою программу контроля качества? Узнайте, как HAS отслеживает соответствие различным нормативным требованиям →
Дополнительные ресурсы
Об авторе
Orvia Team
Hotel Audit Experts
The Orvia team brings decades of combined experience in hospitality operations, quality assurance, and technology. We're passionate about helping hotels maintain exceptional standards.