Un hotel depende de PMS, motores de reserva, cerraduras, pagos, wifi, channel managers, telefonía y proveedores externos. ISO/IEC 27001 permite gobernar estos riesgos mediante un sistema de gestión basado en alcance, riesgos, controles, incidentes, continuidad y mejora. Certificar no consiste en proteger solo el servidor: debe incluir las dependencias que sostienen la operación y los datos de huéspedes.
Definir el alcance
El alcance puede cubrir uno o varios hoteles y servicios centrales. Debe incluir interfaces críticas:
- PMS.
- Web y motor de reservas.
- Channel manager.
- TPV y pagos.
- Wifi.
- Cerraduras y CCTV.
- Correo y Microsoft 365.
- Copias.
- Proveedores de soporte.
- Sistemas corporativos.
No se excluye una dependencia porque sea SaaS.
Activos y procesos
| Proceso | Activos |
|---|---|
| Reserva | Datos, web, motor y correo. |
| Check-in | PMS, documentos y terminales. |
| Estancia | Llaves, wifi, cargos y preferencias. |
| Pago | TPV, pasarela y conciliación. |
| Operación | Housekeeping, mantenimiento y proveedores. |
| Salida | Factura, fidelización y conservación. |
El inventario relaciona propietario, ubicación, clasificación, dependencia y recuperación.
Riesgos específicos
- Phishing con reservas reales.
- Ransomware del PMS.
- Compromiso de cuentas de plataforma.
- Malware en el TPV.
- Wifi mal segmentado.
- Cerraduras o IoT vulnerables.
- Copias conectadas al dominio.
- Proveedor con acceso permanente.
- Suplantación en cambios bancarios.
- Fuga de documentos de huéspedes.
El análisis considera la temporada alta y la operación 24/7.
Identidad y accesos
- Cuentas nominativas.
- MFA para administración y acceso remoto.
- Roles por función.
- Baja inmediata.
- Revisiones periódicas.
- Acceso temporal de proveedor.
- Bloqueo de terminales.
- Segregación de pagos.
Recepción no necesita privilegios de sistema y soporte no debe usar cuentas genéricas.
PMS y reservas
Se revisan permisos, exportaciones, API, integraciones y logs. Los informes descargados a escritorio son un riesgo recurrente.
La información de huésped se limita y los datos de documentos se tratan conforme a obligación y minimización. Las integraciones con channel managers deben usar credenciales restringidas y rotables.
Pagos
ISO 27001 no sustituye a PCI DSS. El alcance debe minimizar los datos de tarjeta y utilizar proveedores adecuados. No se almacenan datos completos en notas del PMS o en el correo.
Los reembolsos y los cambios de cuenta requieren doble control.
Redes y wifi
Separar:
- Huéspedes.
- Administración.
- TPV.
- IoT/cerraduras.
- Cámaras.
- Proveedores.
El portal de clientes no da acceso a la red interna. Se monitorizan los equipos y se actualiza el firmware.
Proveedores
Para PMS, nube, reservas, lavandería conectada, mantenimiento o seguridad:
- Criticidad.
- Contrato y SLA.
- Acceso.
- Incidentes.
- Subcontratistas.
- Continuidad.
- Seguridad.
- Salida.
Un certificado del proveedor debe comprobarse por alcance y vigencia.
Copias y ransomware
La estrategia incluye copias separadas, inmutables cuando proceda, cifradas y restauradas en pruebas. Se define el RTO/RPO para PMS, reservas, facturación y cerraduras.
El modo degradado debe permitir operar sin improvisar hojas con datos excesivos.
Continuidad
Escenarios:
- PMS caído.
- Internet indisponible.
- Pasarela de pago caída.
- Cerraduras no operativas.
- Ransomware.
- Proveedor crítico caído.
- Evacuación o indisponibilidad física.
Cada plan indica responsables, datos mínimos, comunicación, recuperación y conciliación posterior.
Gestión de incidentes
Se establece un canal 24/7, clasificación, contención, evidencia y comunicación. Un incidente puede activar RGPD, obligaciones contractuales, seguros o autoridades.
Se ensaya con recepción, dirección, IT y proveedores.
Datos personales
ISO 27001 apoya la seguridad, pero no demuestra por sí sola el cumplimiento del RGPD. Deben existir bases, información, conservación y derechos. Puede integrarse ISO/IEC 27701 si resulta apropiado.
Declaración de aplicabilidad
La SoA selecciona los controles del anexo A y justifica su inclusión o exclusión según los riesgos. Debe coincidir con la operación.
Ejemplos de evidencia:
- Política.
- Matriz de accesos.
- Segmentación.
- Logs.
- Parches.
- Copias.
- Pruebas.
- Contratos.
- Formación.
- Incidentes.
Formación
Recepción, reservas, administración y mantenimiento enfrentan amenazas distintas. La formación incluye phishing, llamadas fraudulentas, documentos, pagos, llaves y escalado.
Se mide la competencia con simulaciones, no solo con la asistencia.
Plan de 120 días
Días 1-30
Alcance, activos, procesos y brecha.
Días 31-60
Riesgos, SoA, accesos y proveedores.
Días 61-90
Controles, continuidad, incidentes y formación.
Días 91-120
Auditoría interna, correcciones y revisión por dirección.
Errores frecuentes
- Limitar el alcance a IT.
- Ignorar el SaaS.
- Mezclar wifi y administración.
- Compartir cuentas de recepción.
- Mantener acceso de proveedores.
- No restaurar copias.
- Guardar tarjetas en notas.
- Carecer de modo degradado.
- Confundir ISO y RGPD.
- Certificar antes de operar los controles.
Checklist
- Alcance y dependencias.
- Activos y riesgos.
- Identidad y MFA.
- Segmentación de red.
- PMS e integraciones.
- Pagos y datos.
- Proveedores.
- Copias y restauración.
- Continuidad e incidentes.
- SoA, auditoría y dirección.
Preguntas frecuentes
¿ISO 27001 es solo para cadenas grandes?
No. El sistema se adapta al tamaño y al riesgo. El alcance debe ser mantenible.
¿Cubre los datos de tarjetas?
Ayuda a gobernar la seguridad, pero PCI DSS y las reglas de pago siguen aplicando.
¿Certificar al proveedor certifica al hotel?
No. Las responsabilidades y configuraciones del hotel siguen dentro de su propio alcance.
Summum Calidad puede acompañar el alcance, el análisis de riesgos, la SoA, la implantación y la auditoría interna, para que la certificación refleje la operación real del hotel y proteja de forma continua los datos de los huéspedes.