ISO 27001 en hoteles: datos y continuidad

·

Un hotel depende de PMS, motores de reserva, cerraduras, pagos, wifi, channel managers, telefonía y proveedores externos. ISO/IEC 27001 permite gobernar estos riesgos mediante un sistema de gestión basado en alcance, riesgos, controles, incidentes, continuidad y mejora. Certificar no consiste en proteger solo el servidor: debe incluir las dependencias que sostienen la operación y los datos de huéspedes.

Definir el alcance

El alcance puede cubrir uno o varios hoteles y servicios centrales. Debe incluir interfaces críticas:

No se excluye una dependencia porque sea SaaS.

Activos y procesos

Proceso Activos
Reserva Datos, web, motor y correo.
Check-in PMS, documentos y terminales.
Estancia Llaves, wifi, cargos y preferencias.
Pago TPV, pasarela y conciliación.
Operación Housekeeping, mantenimiento y proveedores.
Salida Factura, fidelización y conservación.

El inventario relaciona propietario, ubicación, clasificación, dependencia y recuperación.

Riesgos específicos

El análisis considera la temporada alta y la operación 24/7.

Identidad y accesos

Recepción no necesita privilegios de sistema y soporte no debe usar cuentas genéricas.

PMS y reservas

Se revisan permisos, exportaciones, API, integraciones y logs. Los informes descargados a escritorio son un riesgo recurrente.

La información de huésped se limita y los datos de documentos se tratan conforme a obligación y minimización. Las integraciones con channel managers deben usar credenciales restringidas y rotables.

Pagos

ISO 27001 no sustituye a PCI DSS. El alcance debe minimizar los datos de tarjeta y utilizar proveedores adecuados. No se almacenan datos completos en notas del PMS o en el correo.

Los reembolsos y los cambios de cuenta requieren doble control.

Redes y wifi

Separar:

El portal de clientes no da acceso a la red interna. Se monitorizan los equipos y se actualiza el firmware.

Proveedores

Para PMS, nube, reservas, lavandería conectada, mantenimiento o seguridad:

Un certificado del proveedor debe comprobarse por alcance y vigencia.

Copias y ransomware

La estrategia incluye copias separadas, inmutables cuando proceda, cifradas y restauradas en pruebas. Se define el RTO/RPO para PMS, reservas, facturación y cerraduras.

El modo degradado debe permitir operar sin improvisar hojas con datos excesivos.

Continuidad

Escenarios:

Cada plan indica responsables, datos mínimos, comunicación, recuperación y conciliación posterior.

Gestión de incidentes

Se establece un canal 24/7, clasificación, contención, evidencia y comunicación. Un incidente puede activar RGPD, obligaciones contractuales, seguros o autoridades.

Se ensaya con recepción, dirección, IT y proveedores.

Datos personales

ISO 27001 apoya la seguridad, pero no demuestra por sí sola el cumplimiento del RGPD. Deben existir bases, información, conservación y derechos. Puede integrarse ISO/IEC 27701 si resulta apropiado.

Declaración de aplicabilidad

La SoA selecciona los controles del anexo A y justifica su inclusión o exclusión según los riesgos. Debe coincidir con la operación.

Ejemplos de evidencia:

Formación

Recepción, reservas, administración y mantenimiento enfrentan amenazas distintas. La formación incluye phishing, llamadas fraudulentas, documentos, pagos, llaves y escalado.

Se mide la competencia con simulaciones, no solo con la asistencia.

Plan de 120 días

Días 1-30

Alcance, activos, procesos y brecha.

Días 31-60

Riesgos, SoA, accesos y proveedores.

Días 61-90

Controles, continuidad, incidentes y formación.

Días 91-120

Auditoría interna, correcciones y revisión por dirección.

Errores frecuentes

  1. Limitar el alcance a IT.
  2. Ignorar el SaaS.
  3. Mezclar wifi y administración.
  4. Compartir cuentas de recepción.
  5. Mantener acceso de proveedores.
  6. No restaurar copias.
  7. Guardar tarjetas en notas.
  8. Carecer de modo degradado.
  9. Confundir ISO y RGPD.
  10. Certificar antes de operar los controles.

Checklist

Preguntas frecuentes

¿ISO 27001 es solo para cadenas grandes?

No. El sistema se adapta al tamaño y al riesgo. El alcance debe ser mantenible.

¿Cubre los datos de tarjetas?

Ayuda a gobernar la seguridad, pero PCI DSS y las reglas de pago siguen aplicando.

¿Certificar al proveedor certifica al hotel?

No. Las responsabilidades y configuraciones del hotel siguen dentro de su propio alcance.

Summum Calidad puede acompañar el alcance, el análisis de riesgos, la SoA, la implantación y la auditoría interna, para que la certificación refleje la operación real del hotel y proteja de forma continua los datos de los huéspedes.