Riesgos frecuentes
- Contraseñas compartidas en recepciones.
- Equipos sin bloqueo de pantalla.
- Backups inexistentes o locales sin cifrado.
- Phishing al personal con acceso amplio.
- Datos de tarjetas anotados en papel.
Principios esenciales
Menos privilegios
Cada rol sólo lo necesario.
Cada rol sólo lo necesario.
Segmentación
Separar operativa de finanzas.
Separar operativa de finanzas.
Auditoría
Registro de accesos y cambios.
Registro de accesos y cambios.
Resiliencia
Backups verificables.
Backups verificables.
Educación
Formación continua staff.
Formación continua staff.
Cifrado
En tránsito y reposo.
En tránsito y reposo.
Rol del PMS en seguridad
- Autenticación robusta (doble factor recomendable).
- Roles granulados (recepción, marketing, contabilidad).
- Tokenización de tarjetas (no ver PAN completo).
- Logs exportables para auditoría.
- Cifrado TLS y almacenamiento seguro.
Backups y recuperación
1. Frecuencia: Diaria (mínimo) + incremental si es posible.
2. Ubicación: Al menos una copia fuera del servidor principal.
3. Verificación: Prueba de restauración trimestral.
4. Retención: Políticas claras (ej. 30/90/365 días).
2. Ubicación: Al menos una copia fuera del servidor principal.
3. Verificación: Prueba de restauración trimestral.
4. Retención: Políticas claras (ej. 30/90/365 días).
Controles mínimos recomendados
| Control | Acción inicial | Frecuencia |
|---|---|---|
| Gestión de contraseñas | Largo + gestor seguro | Cambio anual |
| Revisión de accesos | Eliminar ex empleados | Mensual |
| Actualizaciones software | Inventario versiones | Mensual |
| Backups verificados | Test restauración | Trimestral |
| Formación phishing | Sesión inicial | Semestral |
Dispositivos y puntos físicos
- Bloqueo automático 2–5 min inactividad.
- Evitar USB desconocidos.
- Separar WiFi huésped del administrativo.
- Inventario de equipos y responsable asignado.
Plan básico de respuesta a incidentes
- Detección / reporte (canal claro).
- Contención (desconectar equipos comprometidos).
- Análisis (alcance datos afectados).
- Notificación (según normativa local).
- Remediación + lecciones aprendidas.
Errores comunes
- Confiar sólo en proveedor sin validar.
- No documentar procedimientos.
- Subestimar ingeniería social.
- Acumulación de usuarios inactivos.
Conclusión
La seguridad es un proceso continuo, no un proyecto único. Con un PMS hotelero que soporte buenas prácticas y una cultura mínima de protección reduces drásticamente la superficie de riesgo.