LA SICUREZZA CHE NON SI VEDE

L’obiettivo di una struttura ricettiva è il comfort del cliente e la sua soddisfazione rispetto al servizio offerto. In questa visione la sicurezza è una voce implicita e il rischio che venga a mancare rappresenta una grave minaccia per l’hotel, anche in termini di immagine e di reputazione. 

L’evoluzione tecnologica ha collocato ai primi posti tra le voci di sicurezza quella informatica, in particolare quella relativa alla protezione dei dati personali e dei dati delle carte di credito dei clienti. In questo senso il gruppo AccorHotels ha deciso già dal 2013 di passare a un livello superiore di protezione, adottando gli standard riconosciuti Pci Dss per la gestione dati delle carte di credito. Lo standard Pci Dss (Payment card industry – Data security standards) è definito dal Pci Council (costituito dai cinque principali marchi erogatori di carte di credito), e fornisce le linee guida sulla protezione dei dati delle card allo scopo di ridurre il rischio di frodi. 

Il progetto è molto complesso perché riguarda una molteplicità di soggetti: dalla sede centrale francese alle sedi dei diversi Paesi, i singoli hotel, all’interno di questi i diversi reparti, e in essi gli aspetti informatici, tecnici e l’attività operativa delle risorse umane. L’applicazione del mandato del Gruppo all’adeguamento agli standard Pci Dss è stata gestita in autonomia dai singoli Paesi. Il gruppo AccorHotels ha fornito le linee guida principali, con richiesta di creare un comitato di sviluppo del progetto per ogni Paese: documento di partenza, il questionario di autovalutazione è basato su sei milestone, 12 requisiti e oltre 300 punti di controllo dello standard Pci Dss.

In Italia la fase operativa è iniziata a fine 2015 e si è conclusa in un anno con la certificazione di sicurezza della sede e l’attestazione di compliance di tutti gli hotel gestiti direttamente. Il principio che ha guidato AccorHotels Italia è stato la convinzione che solo un progetto calato nella singola realtà, e adeguatamente compreso, può essere ritenuto realmente sicuro: nella realizzazione si è quindi disegnato un sistema di sicurezza adattabile a ogni struttura, che fosse condiviso da tutto il personale di ogni hotel.

Siamo partiti identificando quattro passaggi necessari: la sicurezza delle reti e dei sistemi informatici; la sicurezza delle aree sensibili e dei componenti del sistema; le procedure operative; la formazione del personale. 

Abbiamo ritenuto essenziale, per l’efficace raggiungimento dell’obiettivo, adattare alla realtà locale la documentazione a disposizione, a partire dalla lingua. Il gruppo di lavoro ha quindi trasferito le procedure standard Pci Dss alla realtà degli hotel dei marchi AccorHotels, creando uno specifico manuale operativo arricchito da esempi e dai modelli necessari al controllo e all’autovalutazione standard sicurezza Pci Dss. 

Dopo la definizione degli interventi relativi alla parte informatica, si è passati a identificare le azioni di adeguamento necessarie a garantire la sicurezza fisica dei dati, operazione che ha coinvolto il settore tecnico dei vari hotel con sopralluoghi per la messa in opera delle modifiche. L’obiettivo è stato quello di identificare le zone a rischio per isolarle e tenerle sotto controllo: sono aree sensibili i punti in cui vengono ricevuti, processati e conservati i dati della carta di credito. La principale area sensibile è il locale ove è ubicato il server, poi il back office dell’hotel e il front office, dove sono collocati i Pc, i Pos e le pratiche dei clienti; una zona promiscua che richiede un alto grado di controllo per l’elevato passaggio di persone.

Parallelamente si è iniziato a lavorare sulla riduzione del rischio correlato al fattore umano: prima di tutto sono state definite le figure autorizzate a entrare in contatto con le carte di credito. Il personale è stato coinvolto in un programma di formazione specifica sulle conoscenze e l’applicazione degli standard Pci Dss, con aggiornamenti annuali obbligatori; a sostegno di tale attività, il rispetto delle procedure Pci Dss è stato introdotto nei controlli dell’audit interno e quindi nella valutazione di tutto il personale, a partire dal direttore di ogni hotel.

Uno dei punti fermi che il management italiano ha chiesto alla casa madre francese è che tutto ciò che riguarda la sicurezza dell’hotel sia scritto in lingua italiana, per evitare il rischio della barriera linguistica in situazioni di stress. L’operazione ha richiesto sei mesi dall’elaborazione del progetto fino alla sua applicazione, che ha incluso il coinvolgimento di due hotel pilota, a Milano e a Napoli. L’adattamento del progetto alla realtà operativa locale è stato visto come una best practice: abbiamo scelto una strada difficile e impegnativa ma che ha portato risultati positivi nel facilitare l’attività e migliorare la sicurezza. Un valore di sicurezza di cui i clienti non sono consapevoli, ma che accresce la loro tutela minimizzando il rischio di un uso scorretto delle carte di credito.