Niebezpiecznik.pl opisuje potencjalne problemy z bezpieczeństwem danych, które mogą spotkać osobę korzystającą z rezerwacji hotelu za pomocą strony internetowej. Serwis opisuje przypadek mężczyzny, który został poproszony przez Booking.com o dostarczenie skanu obu stron swojej karty kredytowej.
Czytaj też: Straż graniczna tworzy gigantyczną bazę danych. Kto do niej wpadnie?
Dane miały trafić do hotelu w Kambodży, w którym mężczyzna dokonał rezerwacji. Ponieważ jednak rezerwację ostatecznie odwołano, hotel poprosił o przysługującą mu opłatę. Problem w tym, że nie był w stanie pobrać jej na podstawie danych znajdujących się w systemie Booking.com
Powodem może być procedura, jaką stosuje serwis. Jak wyjaśnia Niebezpiecznik, poufne dane konsumenta są przechowywane jedynie przez tydzień. Oznacza to, że jeśli pracownik hotelu musi rozliczyć coś w późniejszym okresie, może nie mieć już dostępu do danych karty. Dlatego kopiuje dane - zapisuje na kartce, drukuje. W ostateczności kiedy transakcji nie udaje się przeprowadzić, prosi o nowe dane.
Jak wiadomo, przekazywanie skanów karty jest ryzykowne. Te mogą bowiem trafić w niepowołane ręce. Dowodzą tego doświadczenia samych hotelarzy.
Z poziomu panelu na stronie bookingu można wyświetlić poufne dane klientów. Wisienką na torcie jest fakt, że w tym konkretnym hotelu powszechną praktyką jest drukowanie tych danych kart i trzymanie gdzieś w papierach :) Dostęp do tych danych ma właściwie każdy pracownik hotelu, a rotacja na tym stanowisku jest dość duża. (…)Dodatkowo hasło w komputerze na recepcji nie istnieje, a wszystkie hasła są w przeglądarce zapamiętane.
- wyjaśnia serwisowi Niebezpiecznik.pl jeden z wtajemniczonych pracowników hotelu.
Booking.com twierdzi, że skan przekazany przez użytkownika jest przechowywany "w sposób bezpieczny", a przesyłanie skanu nie stanowi zagrożenia.
Prawo wkrótce się zmieni
W maju przyszłego roku na terenie Unii Europejskiej zacznie obowiązywać dyrektywa, która może dać podstawy do surowszego traktowania takich incydentów. Ogólne Rozporządzenie o Ochronie Danych Osobowych w UE, w skrócie RODO, jak wyjaśnia Deloitte, rozszerza zakres obowiązków podmiotów przechowujących dane. Za naruszenie przepisów mają grozić też wysokie kary - nawet 20 000 000 euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Konsumenci będą musieli być też informowani o każdym incydencie związanym z naruszeniem prywatności.
