الملخص

  • أعلنت Hyatt عن حوادث بطاقات الدفع في عامي 2015 و2017 تضمنت وصولاً غير مصرح به إلى بيانات البطاقات المستخدمة في مواقع ومنافذ فندقية معينة. ووصف تحقيق 2015 برامج ضارة أثرت على معالجة الدفع في الموقع في مواقع تديرها Hyatt، وخاصة المطاعم؛ بينما ركز سجل 2017 على البطاقات التي تم إدخالها يدويًا أو تمريرها في مكاتب الاستقبال في مواقع معينة تديرها Hyatt.
  • سؤال المساءلة هو: من كان يمتلك السيطرة العملية على تقسيم نقاط البيع، وكشف البرامج الضارة لبطاقات الدفع، وإشعارات الامتياز والممتلكات، والترميز، وأدلة جهة الاكتساب، وقدرة العميل على فهم أي إقامة أو منفذ تعرض للاختراق؟
  • تتمحور القضية حول البنية التحتية لمدفوعات الضيافة الموزعة عبر الممتلكات والمطاعم ومكاتب الاستقبال وترتيبات الامتياز وشركاء معالجة البطاقات، حيث يحدد التقسيم ودقة الإشعار عبء العمل على العميل.
  • كان على النزلاء ومصدري البطاقات وجهات الاكتساب ومشغلي الفنادق وأصحاب الامتيازات والمطاعم ومديري السفر ربط مخاطر الدفع بمواقع ونوافذ زمنية محددة.
  • يدعم السجل العام استنتاجًا عالي الثقة حول واجبات السيطرة وفجوات الأدلة. ولا يدعم اختلاق حقائق خاصة حول كل تهيئة لممتلكات أو كل إجراء لجهة اكتساب أو كل خسارة لحامل بطاقة.

سجل الأدلة وكيفية استخدامه

تعالج هذه المقالة السجل العام كدليل ذي طبقات بدلاً من سرد واحد. تُستخدم بيانات Hyatt والإشعارات المستضافة من قبل الحكومات للتصريحات العامة حول حادثي 2015 و2017. وتُستخدم التقارير الأمنية للتسلسل الزمني وسياق مدفوعات الضيافة. تُستخدم معايير بطاقات الدفع وإرشادات المستهلك وموارد الحكومات ومراجع تقنيات الخصوم لتأطير التقسيم والكشف والتعامل مع بيانات الدفع وواجبات الأطراف المتضررة.

#السجل العامالاستخدام في هذا التحليل
1إشعار Hyatt بنشاط البرامج الضارةبيان الشركة الأساسي المستخدم للإشعار الأولي بحادث 2015 وإرشادات العملاء.
2بيان انتهاء تحقيق Hyattبيان الشركة الأساسي المستخدم لمواقع 2015 وفئات البيانات والنوافذ الزمنية ووصف البرامج الضارة.
3نسخة من إشعار Hyatt مستضافة حكوميًانسخة الإشعار المستخدمة للغة إجراء العميل وتأطير المواقع المتأثرة.
4تقرير KrebsOnSecurity عن خرق بطاقات Hyatt عام 2015التقارير الأمنية المستخدمة لسياق المواقع المتأثرة وتأطير نظام الدفع الفندقي.
5تقرير ABC News عن خرق Hyatt عام 2015التقارير العامة المستخدمة لحجم 2015 وسياق إشعار النزلاء.
6تقرير KrebsOnSecurity عن خرق بطاقات Hyatt عام 2017التقارير الأمنية المستخدمة للتسلسل الزمني لحادث البطاقات الثاني وسياق المواقع المتأثرة.
7إشعار Hyatt لعام 2017 مستضاف من DOJ مونتاناسجل الإشعار المستخدم لبيانات بطاقات الدفع في مكاتب الاستقبال والنافذة الزمنية وإرشادات العملاء.
8رويترز عبر Yahoo Finance عن خرق Hyatt عام 2017التقارير العامة المستخدمة لسياق 2017 و 41 عقارًا.
9تقرير SecurityWeek عن خرق Hyatt عام 2017التقارير الأمنية المستخدمة لسياق البرامج الضارة وأنظمة تكنولوجيا المعلومات الفندقية.
10تقرير TechCrunch عن خرق Hyatt عام 2017التقارير العامة المستخدمة للتسلسل الزمني لخرق نظام الدفع.
11صفحة معايير مجلس معايير أمن PCIمستخدمة لسياق ضوابط أمن بطاقات الدفع.
12إرشادات FTC "ابدأ بالأمان"مستخدمة لتأطير التحكم في الوصول والتقسيم والأمان المعقول.
13إطار الأمن السيبراني NISTمستخدم لمفردات التحديد والحماية والكشف والاستجابة والتعافي.
14ضوابط الأمن الحرجة CISمستخدمة لفئات ضوابط الجرد والحسابات والتسجيل والتقسيم والمراقبة.
15تقنية MITRE: بيانات من النظام المحليمستخدمة لتأطير مخاطر بيانات نظام الدفع المحلي.
16تقنية MITRE: التقاط الإدخالمستخدمة لتأطير التقاط بيانات البطاقات ومخاطر نقاط البيع.
17تقنية MITRE: التسريب عبر قناة C2مستخدمة لسياق التحكم في التسريب.
18موارد CISA "الأمان بالتصميم"مستخدمة لتأطير الأمان الافتراضي ومساءلة المزود.

إطار المساءلة أضيق من اللوم وأوسع من عنوان خرق البطاقات

سجل مدفوعات Hyatt مفيد لأنه يوضح كيف تجعل أنظمة الدفع الفندقية المساءلة عملية ومحلية. نزيل الفندق لا "يستخدم Hyatt" ببساطة بطريقة مجردة واحدة. قد يدفع النزيل في مكتب الاستقبال أو المطعم أو المنتجع الصحي أو متجر الجولف أو موقف السيارات أو الحانة أو مكتب المبيعات أو منضدة الفعاليات. قد يكون العقار مملوكًا أو مشغلاً أو مُدارًا أو ممنوحًا بحق الامتياز أو مرخصًا أو مدعومًا من خلال مزيج من الترتيبات المؤسسية والمحلية. قد تتضمن معالجة الدفع أنظمة الفندق ومعالجات الدفع وشبكات البطاقات وجهات الاكتساب ومشغلي العقارات وأنظمة المنافذ المنفصلة. لا يمكن فهم حادث بطاقات في هذه البيئة كحدث مؤسسي واحد فقط.

يجب ربطه بالمكان الذي استخدم فيه النزيل البطاقة فعليًا.

يدعم السجل العام هذه النظرة. فقد قال بيان Hyatt في ديسمبر 2015 إنه تم تحديد برامج ضارة على أجهزة الكمبيوتر التي تشغل أنظمة معالجة الدفع للمواقع التي تديرها Hyatt. وقال بيان الانتهاء في يناير 2016 إن التحقيق وجد علامات على وصول غير مصرح به إلى بيانات بطاقات الدفع من البطاقات المستخدمة في الموقع في مواقع معينة تديرها Hyatt، وبشكل أساسي المطاعم، بين 13 أغسطس 2015 و8 ديسمبر 2015، مع عدد محدود من المواقع بدءًا من 30 يوليو 2015 أو بعد ذلك بوقت قصير. ووُصفت البرامج الضارة بأنها مصممة لجمع اسم حامل البطاقة ورقم البطاقة وتاريخ انتهاء الصلاحية ورمز التحقق الداخلي أثناء توجيه البيانات عبر أنظمة معالجة الدفع المتأثرة.

كان لسجل 2017 شكل مختلف. فقد قال إشعار Hyatt العام، كما ورد في المواد المستضافة حكوميًا والتقارير المعاصرة، إن فريق الأمن السيبراني اكتشف علامات على وصول غير مصرح به إلى معلومات بطاقات الدفع من البطاقات التي تم إدخالها يدويًا أو تمريرها في مكاتب الاستقبال في مواقع معينة تديرها Hyatt بين 18 مارس 2017 و2 يوليو 2017. وأشارت التقارير إلى 41 عقارًا متأثرًا في 11 دولة. لم يكن هذا مجرد تكرار لنفس السجل. بل كان اختبار مساءلة ثانٍ حول ما إذا كان يمكن تضييق نطاق مخاطر الدفع الفندقية حسب العقار والمنفذ والتاريخ ومسار المعاملة.

اللوم أداة غير دقيقة لمثل هذا العمل. تسأل المساءلة من كان يمتلك السيطرة العملية على التقسيم والكشف والأدلة على مستوى العقار وإشعار العميل والتواصل مع شبكات البطاقات والتعافي. يحتاج النزيل إلى معرفة ما إذا كانت وجبة في مطعم أو إقامة في مكتب استقبال أو معاملة في منتجع صحي أو رسوم موقف سيارات مشمولة. يحتاج المُصدر إلى معرفة أي البطاقات يراقبها أو يستبدلها. يحتاج مشغل العقار إلى معرفة أي نظام فشل. تحتاج العلامة التجارية إلى إظهار أن السجل المواجه للعميل يتطابق مع أدلة الدفع. هذه أسئلة سيطرة، وليست مجرد أسئلة سمعة.

ما يؤسسه السجل العام

يؤسس السجل العام لحادثي دفع منفصلين يتعلقان بـ Hyatt. بدأ سجل 2015 علنًا بإشعار البرامج الضارة في ديسمبر واستمر ببيان الانتهاء في يناير 2016. ذكرت Hyatt أنها حددت برامج ضارة على أجهزة كمبيوتر معالجة الدفع في مواقع تديرها Hyatt، واستعانت بخبراء أمن سيبراني خارجيين، وأبلغت جهات إنفاذ القانون وشبكات البطاقات، ونشرت قائمة بالمواقع والتواريخ المتأثرة عبر موقعها الإلكتروني المخصص لحماية العملاء. وشجعت العملاء على مراجعة كشوف البطاقات والإبلاغ عن الرسوم غير المصرح بها للمُصدرين فورًا. وقام بيان الانتهاء بتحديد مسارات المعاملات المتأثرة وحقول البيانات والنوافذ الزمنية.

اتسم حادث 2015 بنطاق جغرافي واسع وتنوع في أنواع المنافذ. قال بيان Hyatt نفسه إن البطاقات المتأثرة استُخدمت في الموقع في مواقع معينة تديرها Hyatt، وبشكل أساسي المطاعم. كما ذكر أن نسبة صغيرة شملت المنتجعات الصحية ومتاجر الجولف ومواقف السيارات وعددًا محدودًا من مكاتب الاستقبال ومكتب مبيعات. وأشارت التقارير الأمنية والعامة إلى نحو 250 فندقًا متأثرًا في حوالي 50 دولة. النقطة الهامة للمساءلة هي أن إشعار Hyatt كان عليه الانتقال من بيان على مستوى العلامة التجارية إلى تحديد العقار والتاريخ لأن النزيل لا يستطيع حماية بطاقة دفع بناءً على اسم الشركة فقط.

كان سجل 2017 أضيق نطاقًا لكنه لا يزال كبيرًا. وصفت مواد الإشعار المستضافة حكوميًا والتقارير وصولاً غير مصرح به شمل بطاقات دفع تم إدخالها يدويًا أو تمريرها في مكاتب الاستقبال لمواقع معينة تديرها Hyatt بين 18 مارس و2 يوليو 2017. قدرت التقارير عدد العقارات المتأثرة بـ 41 في 11 دولة. بيان Hyatt، كما ورد في التقارير وسجلات الإشعار، قال إن الحادث أثر على معلومات بطاقات الدفع مثل اسم حامل البطاقة ورقم البطاقة وتاريخ انتهاء الصلاحية ورمز التحقق الداخلي، ولم يكن هناك ما يشير إلى تأثر معلومات أخرى.

لا يثبت السجل العام كل التفاصيل الخاصة. فهو لا ينشر كل صورة جنائية، أو كل قطاع نظام دفع، أو كل تواصل مع جهة اكتساب، أو كل تهيئة تقنية خاصة بالعقار، أو كل مسؤولية امتياز، أو كل معاملة احتيالية. لا يمكن للجمهور أن يعرف من هذه السجلات وحدها ما إذا كان كل نزيل متأثر قد تعرض لاحقًا لسوء استخدام أم لا، أو ما إذا كان كل مُصدر قد استبدل كل بطاقة. يجب أن يظل عدم اليقين هذا مرئيًا. السجل قوي بما يكفي لتقييم واجبات المساءلة. وليس كاملاً بما يكفي لاختلاق حقائق خفية.

لماذا يهم موضوع الثقة

موضوع الثقة في هذه الحالة كان مسار الدفع الفندقي. هذا المسار ليس قطعة واحدة من الأجهزة. إنه يشمل محطات مكاتب الاستقبال، وأنظمة المطاعم، وشبكات تكنولوجيا المعلومات الفندقية، وسير عمل إدارة الممتلكات، ومعالجات الدفع، وقواعد شبكات البطاقات، وسجلات جهات الاكتساب، وإجراءات الموظفين، وإشعار العميل. يثق النزلاء في هذا المسار لأنه غالبًا ما يتعين عليهم تقديم بطاقة للحجز أو تسجيل الوصول أو دفع ثمن الوجبات أو إغلاق حساب النزيل. قد لا يعرفون أي نظام تاجر أو نظام منفذ أو معالج متورط. هم يعرفون فقط أين أقاموا وأين دفعوا.

عندما يحدث اضطراب في مسار الدفع الفندقي، يكون عبء النزيل محددًا للغاية. يجب على النزيل ربط كشف البطاقة بعقار ومنفذ وتاريخ. قد يكون شخص ما قد استخدم نفس البطاقة في مطعم Hyatt ومكتب استقبال ومتجر مطار غير تابع لـ Hyatt وتاجر عبر الإنترنت في نفس الأسبوع. يجب أن يساعد الإشعار المفيد النزيل في تحديد أي رسوم قد تكون ذات صلة. كما يجب أن يساعد المصدرين وشبكات البطاقات في تضييق نطاق استجابتهم. هذا هو السبب في أن الدقة على مستوى العقار والمنفذ مهمة.

يهم موضوع الثقة أيضًا لأن المدفوعات الفندقية موزعة. يمكن أن يحتوي فندق واحد على بيئات دفع متعددة. قد يكون للمطعم محطات طرفية وموظفون وقطاعات شبكة ومعالجات أو إجراءات إدارة مختلفة عن مكتب الاستقبال. قد يكون موقف السيارات منفصلاً. قد تكون مبيعات الفعاليات منفصلة مرة أخرى. إذا كان التقسيم ضعيفًا، فإن الاختراق في منفذ واحد يمكن أن يكون له نطاق أوسع. إذا كان التقسيم قويًا، يمكن أن يكون الإشعار أضيق ويقل عبء العمل على العميل.

بالنسبة لـ Hyatt، اعتمدت المساءلة بالتالي على الأدلة المتعلقة بحدود نظام الدفع. أي المواقع تأثرت؟ أي المنافذ؟ أي النوافذ الزمنية؟ أي حقول البطاقة؟ أي الأنظمة لم تتأثر؟ هل مست البرامج الضارة بيانات إدارة الممتلكات أو الولاء؟ قال بيان Hyatt لعام 2016 إنه لا يوجد ما يشير إلى تأثر معلومات العملاء الأخرى. كان هذا الحد مفيدًا. سؤال المساءلة هو مدى وضوح هذا الحد وقابليته للاختبار من قبل العملاء والمصدرين وجهات الاكتساب ومشغلي العقارات.

سطح السيطرة قبل الحادث

قبل حادث بطاقات، أهم الضوابط هي الجرد والتقسيم والتحكم في الوصول وكشف البرامج الضارة والتشفير والترميز والتسجيل والتصحيح وحوكمة معالج الدفع وإجراءات الموظفين. هذه الضوابط تحدد ما إذا كانت بيانات بطاقات الدفع موجودة على الإطلاق بنص صريح، وأين تنتقل، وكم من الوقت توجد، ومن يمكنه لمس الأنظمة التي توجهها، وما إذا كان يتم رؤية الجمع غير الطبيعي بسرعة. بيئة الفندق تجعل هذه الضوابط أصعب لأن الدفع يحدث في أماكن عديدة وفي أوقات غير اعتيادية عبر أنظمة تديرها فرق مختلفة.

الجرد هو الضابط الأول. تحتاج العلامة التجارية الفندقية أو المشغل إلى معرفة أي المحطات الطرفية والخوادم والتطبيقات وقطاعات الشبكة والمعالجات والمنافذ تعالج بيانات الدفع. بدون هذا الجرد، يصبح تحقيق الاختراق بحثًا عبر العقارات والموردين. عندها يصبح إشعار النزيل بطيئًا أو غير دقيق. الجرد يدعم أيضًا استبعاد النطاق. إذا لم يتأثر عقار أو منفذ، تحتاج الشركة إلى أدلة على أنه كان خارج مسار الدفع ذي الصلة.

التقسيم هو الضابط الثاني. يجب ألا تشارك مسارات الدفع في المطاعم المخاطر مع مكاتب الاستقبال دون داع. ويجب ألا تشارك أنظمة المنتجعات المخاطر مع مواقف السيارات دون داع. ولا يجب أن تكون محطات العمل الإدارية قريبة بشكل عارض من معالجة الدفع. يجب أن يكون الدعم عن بعد محدودًا ومسجلاً. التقسيم ليس مجرد مفهوم هندسي. إنه ضابط لإشعار العميل. التقسيم القوي يسمح للشركة بالقول، مدعومة بالأدلة، إن النظام المتأثر كان منفذًا واحدًا دون الآخر.

يغير الترميز والتشفير من قيمة البيانات الملتقطة. إذا لم تكن أرقام البطاقات القابلة للاستخدام وبيانات التحقق موجودة في البيئة المخترقة، فإن البرامج الضارة لديها ما هو أقل لتجميعه. وصف بيان Hyatt لعام 2015 البرامج الضارة بأنها تجمع بيانات البطاقة أثناء توجيهها عبر أنظمة معالجة الدفع المتأثرة. هذا النوع من التصريح يوضح سبب أهمية تقليل التعرض للبطاقة الصريحة. أفضل استجابة للاختراق هي تلك التي تكون فيها بيانات نظام الدفع المسروقة غير قابلة للاستخدام أو محدودة بشكل مادي.

الكشف والتسجيل هما الضابطان اللذان يحولان الاحتواء إلى دليل. قد تعمل برامج ضارة لبطاقات الدفع بهدوء. يحتاج الفندق إلى مراقبة للعمليات غير العادية والحركة الصادرة والبرامج غير المصرح بها وانحراف التهيئة والوصول المشبوه إلى مسارات الدفع. كما يحتاج إلى سجلات تبقى لفترة كافية لإعادة بناء النوافذ الزمنية المتأثرة. إشعار العقار يكون بقدر جودة الأدلة التي تدعم التواريخ والمواقع.

الكشف والاحتواء والساعة

الوقت دليل. في سجل 2015، أعلنت Hyatt علنًا عن نشاط البرامج الضارة في ديسمبر وأكملت إشعار التحقيق العام في يناير 2016. حدد بيان الانتهاء فترة الخطر بشكل أساسي من 13 أغسطس إلى 8 ديسمبر 2015، مع بعض المواقع بدءًا من 30 يوليو أو بعد ذلك بوقت قصير. كان ذلك يعني أن العملاء بحاجة إلى مراجعة الكشوف لمعاملات قبل أشهر من الانتهاء العلني للتحقيق. في سجل 2017، وصفت مواد التقارير والإشعار فترة خطر من 18 مارس إلى 2 يوليو 2017، مع إشعار عام في أكتوبر. مرة أخرى، كان على العملاء النظر إلى الوراء.

النظر إلى الوراء أمر طبيعي في حوادث بطاقات الدفع، لكنه يخلق عبء عمل. يجب على النزلاء مراجعة الكشوف القديمة، وتذكر أي بطاقة استخدموها في أي عقار، وتحديد ما إذا كانت الرسوم غير المصرح بها قد تكون ذات صلة. قد يكون لدى المصدرين بالفعل إشارات احتيال، لكن العملاء لا يزالون يتلقون التعليمات العملية للمراقبة والإبلاغ فورًا. تضمنت إشعارات Hyatt هذه التعليمات، وقواعد بطاقات الدفع تحد عمومًا من مسؤولية العميل عن الرسوم غير المصرح بها عند الإبلاغ عنها في الوقت المناسب. لكن وقت العميل لا يزال مهمًا.

الاحتواء في أنظمة الدفع الفندقية له عدة طبقات. يجب على الشركة إزالة البرامج الضارة، والحفاظ على الأدلة الجنائية، والعمل مع شبكات بطاقات الدفع، وإخطار جهات إنفاذ القانون، وتحديد المواقع المتأثرة، وتحديد حقول البيانات، وتقوية الأنظمة. إذا كان الحادث يمس مواقع تدار في بلدان متعددة، فإن الاحتواء يشمل أيضًا تنسيق العقارات المحلية وربما مزودي خدمات مختلفين. البيان العام بأن العملاء يمكنهم استخدام بطاقات الدفع بثقة بعد الاحتواء يكون قيمًا فقط إذا تم إغلاق المسار المتأثر وتغيير الضوابط الداعمة.

الساعة مهمة أيضًا للتكرار. تبع حادث 2017 حادث 2015 بأقل من عامين. هذا لا يثبت أن نفس الضعف بقي؛ المسارات المتأثرة الموصوفة في السجلات العامة كانت مختلفة. إنه يخلق سؤال مساءلة عادل حول التعلم. بعد حادث واسع النطاق يركز على المطاعم، ما هي الضوابط التي تغيرت عبر بيئات مكاتب الاستقبال؟ بعد حادث مكتب الاستقبال، ما هي الأدلة الجديدة التي أظهرت أن التقسيم والمراقبة والتعامل مع بيانات البطاقة قد تحسنت؟ يجب أن يركز تحليل التكرار على فئات الضوابط بدلاً من افتراض سبب تقني مطابق.

عبء عمل النزلاء بعد الإفصاح

نقل الإفصاح العمل إلى النزلاء. كان على النزيل الذي تلقى أو قرأ إشعار Hyatt أن يحدد ما إذا كانت بطاقة ذات صلة استُخدمت في عقار ومنفذ وتاريخ متأثرين. قد يكون ذلك بسيطًا لرحلة عمل واحدة. قد يكون أصعب للمسافرين المتكررين الذين استخدموا نفس البطاقة في عدة عقارات ومطاعم وخدمات فندقية. كان على الإشعار أن يساعد النزلاء في ربط المخاطر بالواقع.

يظهر سجل 2015 لماذا التفاصيل المتعلقة بالموقع والمنفذ ضرورية. قالت Hyatt إن البطاقات المتأثرة استُخدمت في الموقع في مواقع مدارة معينة، بشكل أساسي المطاعم، مع بعض المنتجعات ومتاجر الجولف ومواقف السيارات ومكاتب الاستقبال أو مكتب مبيعات مشمولة. هذا التوزيع يعني أن نزيلاً أقام فقط ليلة قد يكون لديه ملف مخاطر مختلف عن نزيل تناول العشاء في مطعم أو حضر فعالية. قد يستخدم مسافر الأعمال بطاقة شركة لرسوم الغرفة وبطاقة شخصية للوجبات. الإشعار المبهم سيجبر كلتا البطاقتين على المراجعة. الإشعار الدقيق يضيق العمل.

ركز سجل 2017 على معاملات مكاتب الاستقبال في مواقع مدارة معينة. هذا غير قرار العميل. النزلاء الذين أدخلوا أو مروا بطاقة يدويًا في مكتب استقبال خلال النافذة ذات الصلة كان لديهم سبب أوضح لمراقبة تلك البطاقة. النزلاء الذين دفعوا فقط عبر قنوات أخرى قد يحتاجون إلى إجراء أقل، اعتمادًا على تفاصيل الإشعار. الدقة هي شكل من أشكال العناية بالعميل لأنها تمنع كلًا من قلة رد الفعل والقلق غير الضروري.

واجب العميل الخاص لا يزال حقيقيًا. يجب على النزلاء مراقبة الكشوف، والإبلاغ عن الرسوم غير المصرح بها فورًا، والتعامل بحذر مع الاتصالات المشبوهة. يجب على فرق سفر الشركات تحديد المسافرين المتأثرين، والتحقق من البطاقات المستخدمة، والتنسيق مع المصدرين عندما تكون بطاقات الشركات معنية. لكن واجب النزيل يعتمد على أدلة الشركة. لا يستطيع النزيل أن يعرف بشكل مستقل أي محطة عقار أو نظام مطعم تأثر. Hyatt وشركاؤها في الدفع سيطروا على هذه الأدلة.

حدود الامتياز والمواقع المدارة والعقار

استخدمت بيانات Hyatt العامة لغة دقيقة. استُخدم مصطلح Hyatt للإشارة إلى Hyatt Hotels Corporation و/أو إحدى الشركات التابعة لها، ووُصفت الحوادث فيما يتعلق بالمواقع التي تديرها Hyatt أو مواقع معينة تديرها Hyatt. هذا مهم لأن العلامات التجارية الفندقية تعمل غالبًا عبر مزيج من العقارات المملوكة والمؤجرة والمدارة والممنوحة بحق الامتياز والمرخصة والمخدمة. يرى النزلاء العلامة التجارية. قد تختلف السيطرة التشغيلية والقانونية على نظام الدفع.

سؤال المساءلة لا يُحل بالقول إن موقعًا ما كان مدارًا أو ممنوحًا بحق الامتياز. السؤال هو من كان يتحكم في مسار الدفع الذي فشل ومن كان الأقدر على إبلاغ النزيل. قد يتحكم مالك العقار في البنية التحتية المحلية. قد تتحكم العلامة التجارية في المعايير والإدارة والتواصل مع العملاء. قد يتحكم معالج الدفع في التوجيه أو الترميز. قد تتحكم جهة الاكتساب في أدلة التاجر. قد تفرض شبكات البطاقات قواعد. لا ينبغي أن يضطر النزلاء إلى فك هذا الهيكل لمعرفة ما إذا كانت بطاقتهم في خطر.

السجلات العامة الجيدة تسد الفجوة بين التعقيد التشغيلي وبساطة العميل. يمكنها أن تشرح وجود قائمة بالمواقع والتواريخ المتأثرة، وأن حقول البطاقة ذات الصلة كانت اسم حامل البطاقة ورقم البطاقة وتاريخ انتهاء الصلاحية ورمز التحقق الداخلي، وأنه لم يُشر إلى تأثر معلومات العملاء الأخرى. لا تحتاج إلى نشر كل عقد. لكنها تحتاج إلى إظهار أن الإشعار الصادر باسم العلامة التجارية يتطابق بدقة مع أدلة الدفع.

يؤثر حد العقار أيضًا على المعالجة. يمكن لفريق أمن مؤسسي إصدار معايير، لكن كل عقار قد يحتاج إلى عمل تقني. قد تستخدم المطاعم والمنتجعات وأنظمة مواقف السيارات ومكاتب الاستقبال موردين أو تهيئات مختلفة. لذلك يحتاج برنامج المعالجة القوي إلى إثبات التنفيذ عبر المنافذ، وليس مجرد بيان مركزي. هذا هو السبب في أن حوادث الدفع الفندقية هي اختبارات لتقسيم المساءلة: العقار هو مكان دفع النزيل، لكن العلامة التجارية هي حيث يبحث النزيل عن الإجابات.

سيادة البيانات ومحليتها في سجلات دفع الفنادق

ملاءمة موضوع سيادة البيانات ومحليتها لسجل Hyatt لأن المواقع والنزلاء المتأثرين عبروا الحدود. تم الإبلاغ عن حادث 2015 في العديد من البلدان. شمل سجل 2017 41 عقارًا في 11 دولة، وفقًا للتقارير العامة. قد تُلتقط بيانات بطاقة الدفع في عقار، وتُوجه عبر أنظمة في ولاية قضائية أخرى، وتُعالج من قبل شبكات البطاقات وجهات الاكتساب، وتراقب من قبل مصدرين في مكان آخر. قد لا يكون بلد إقامة النزيل هو البلد الذي استخدمت فيه البطاقة.

المحلية مهمة للإشعار والاستجابة. قد يكون لعقار في بلد ما توقعات محلية للإشعار عن الاختراق واحتياجات لغوية وجهات اتصال بإنفاذ القانون وعلاقات مع جهات اكتساب. قد يتلقى نزيل من بلد آخر تنبيهات احتيال من مصدره عبر نظام مختلف. قد يكون مقر برنامج سفر الشركات في بلد ثالث. لذا يخلق الحادث مشكلة استجابة متعددة الطبقات على الرغم من أن حقول البيانات هي حقول مألوفة لبطاقات الدفع.

تظهر مسألة المحلية أيضًا في قوائم المواقع المتأثرة. يحتاج النزيل إلى معرفة أي مكان وتاريخ فعليين كانا ذوي صلة. بيان العلامة التجارية العالمي غير كافٍ إذا كانت المخاطر تتعلق بمطعم في مدينة أو مكتب استقبال في أخرى. وجه بيان Hyatt لعام 2016 العملاء إلى المواقع المتأثرة والتواريخ المعرضة للخطر. لم يكن ذلك تفصيلاً تزيينيًا. بل كان المعلومة الأساسية التي سمحت للنزلاء والمصدرين بتحديد المخاطر محليًا.

لا ينبغي استخدام سيادة البيانات كعلامة امتثال غامضة. في هذه الحالة، تعني أن أدلة الدفع يجب أن تكون محددة بما يكفي لتنتقل عبر الولايات القضائية وتظل مفيدة. يحتاج المصدرون وجهات الاكتساب والمنظمون وفرق العقارات والنزلاء إلى سجل مشترك للموقع والتاريخ وحقل البيانات ومسار المعاملة. إذا كان هذا السجل ضعيفًا، تصبح الاستجابة عبر الحدود بطيئة وغير متساوية.

أتمتة الأمان وكشف البرامج الضارة للدفع

أتمتة الأمان مهمة في حوادث الدفع الفندقية لأن المراجعة اليدوية وحدها لا تستطيع مراقبة كل محطة عقار ونظام مطعم ومسار معالجة دفع بشكل مستمر. يمكن للآليات الآلية اكتشاف البرامج المشبوهة والحركة الصادرة غير المتوقعة وسلوك العمليات غير الطبيعي وانحراف التهيئة والوصول غير المصرح به. كما يمكنها مركزة التنبيهات عبر العقارات الموزعة. لكن الآلية لا تفيد إلا إذا غطت الأنظمة المهمة وكانت ملكية التنبيه واضحة.

أشار بيان Hyatt العام لعام 2017، كما ورد في التقارير، إلى طبقات الدفاع وإجراءات الأمن السيبراني الأخرى التي ساعدت في تحديد المشكلة وحلها. هذا البيان نقطة انطلاق مفيدة، لكن المساءلة تسأل عن الأدلة التي أنتجتها تلك الطبقات. هل حددت المراقبة النشاط غير الطبيعي بسرعة؟ هل دعمت السجلات النافذة الزمنية من مارس إلى يوليو؟ هل استطاعت الشركة تمييز معاملات مكتب الاستقبال عن مدفوعات العقارات الأخرى؟ هل استطاعت الشركة إظهار أن معلومات العملاء الأخرى لم تتأثر؟ للأتمتة قيمة مساءلة عندما تجعل هذه الإجابات أسرع وأكثر دقة.

يظهر سجل 2015 جانبًا آخر من جوانب الآلية. وُصفت البرامج الضارة بأنها مصممة لجمع بيانات بطاقة الدفع أثناء توجيهها عبر أنظمة معالجة الدفع المتأثرة. هذا يشير إلى نافذة ضيقة لكنها خطيرة حيث توجد بيانات البطاقة بشكل قابل للاستخدام. يجب ضبط الكشف الآلي على هذا المسار. الترميز والتشفير وقوائم السماح بالتطبيقات وكشف النقاط الطرفية وتقسيم الشبكة ومراقبة الحركة الصادرة تعمل معًا. لا يكفي ضابط واحد.

خطر الأتمتة هو الثقة الزائفة. قد يكون لدى الشركة مراقبة مركزية لكنها لا تزال تفوت أنظمة المطاعم المحلية. قد يكون لديها أدوات نقطة طرفية على الأجهزة المؤسسية ولكن ليس على أجهزة الدفع. قد يكون لديها سجلات لكنها لا تحتفظ بها لمدة كافية. قد يكون لديها تنبيهات لكنها تفتقر إلى مسار ممارس من التنبيه إلى إجراء العقار. في إرث فندقي موزع، يجب قياس الأتمتة بالتغطية والأدلة، وليس بمجرد وجود أداة.

معايير الدفع وسياق الأمان المعقول

معايير بطاقات الدفع ذات صلة لأنها تحدد بيئة ضوابط للتجار الذين يتعاملون مع بيانات حامل البطاقة. معايير PCI ليست بديلاً عن الأدلة الخاصة بالحادث، وهذه المقالة لا تدعي حالة امتثال معينة لعقارات Hyatt أثناء الحوادث. المعايير مفيدة لأنها تظهر فئات الضوابط المهمة: حماية البيانات المخزنة، وتأمين النقل، والحفاظ على أنظمة آمنة، وتقييد الوصول، ومراقبة الشبكات، واختبار الأمان، والحفاظ على السياسة.

تعزز إرشادات الأعمال الصادرة عن FTC نفس الموضوعات العملية بلغة أوسع. ابدأ بالأمان، وتحكم في الوصول، واطلب كلمات مرور قوية ومصادقة، وقسم الشبكات، وراقب مزودي الخدمة، واحتفظ بالمعلومات فقط طالما هناك حاجة مشروعة. هذه ليست قواعد خاصة بالفنادق، لكنها تنطبق بشكل مباشر على حوادث الدفع الفندقية. مسار دفع العقار أكثر أمانًا عندما يتم تقليل بيانات البطاقة وتقييد الوصول ولا تستطيع الأنظمة التي لا تحتاج إلى بيانات الدفع الوصول إليها.

تُستخدم مراجع تقنيات MITRE هنا فقط كمفردات ضوابط، وليس كادعاء بحدوث تقنية مسماة محددة في كل نظام Hyatt. يمكن أن تتضمن برامج ضارة لبطاقات الدفع التقاط البيانات المحلية والتقاط الإدخال ومسارات التسريب. تفسر فئات التقنيات هذه سبب أهمية التسجيل وحماية النقاط الطرفية وضوابط خروج الشبكة. وهي لا تحل محل النتائج الجنائية.

الدرس من المعايير هو أن المساءلة تتطلب أكثر من وضع الامتثال. يمكن أن تكون الشركة ممتثلة في لحظة ما ومع ذلك تتعرض لحادث لاحقًا. السؤال بعد الحادث هو ما إذا كانت الشركة قادرة على إظهار المسار المحدد المتأثر، وحقول البيانات المعنية، والضوابط التي حدت من النطاق، والتغييرات التي تمنع التكرار. توفر المعايير المفردات. وتوفر الأدلة الإجابة.

جودة الإفصاح وعدم اليقين

احتوت بيانات Hyatt العامة على عدة عناصر إفصاح مفيدة. أدرج بيان الانتهاء لعام 2015 حقول البيانات ومسارات المعاملات والنوافذ الزمنية وأنواع المنافذ. وذكر أنه لم يُشر إلى تأثر معلومات العملاء الأخرى. وذكر أنه تم إخطار جهات إنفاذ القانون وشبكات بطاقات الدفع. وأعطى العملاء تعليمات مراقبة الكشوف ومسار اتصال. ساعدت هذه التفاصيل النزلاء في تحديد حجم استجابتهم.

احتوى سجل 2017 أيضًا على تحديد نطاق مفيد، خاصة التركيز على البطاقات التي تم إدخالها يدويًا أو تمريرها في مكاتب الاستقبال لمواقع مدارة معينة ونطاق تاريخ محدد. حددت التقارير وسجلات الإشعار عددًا أقل من العقارات المتأثرة مقارنة بحادث 2015. كانت هذه الخصوصية مهمة لأنها ضيقت عبء العمل على النزيل والمصدر. كما جعلت الحادث الثاني أكثر قابلية للمقارنة: نفس العلامة التجارية، فئة مماثلة من بيانات الدفع، لكن مسار معاملة مختلف.

يبقى عدم اليقين. السجل العام لا يظهر كل قرار داخلي وراء توقيت الإشعار، أو كل صورة نظام، أو كل إجراء معالجة عقار، أو كل استجابة من شبكة بطاقات. لا يظهر ما إذا كانت كل البطاقات المتأثرة قد استبدلت أو ما إذا كان كل نزيل قد رأى الإشعار. لا ينبغي للتحليل المسؤول أن يملأ هذه الفجوات بالتكهنات. لكن لا ينبغي لسجل الشركة المسؤول أيضًا إخفاء عدم اليقين وراء لغة طمأنة واسعة.

أفضل وضعية للإفصاح هي الخصوصية المتدرجة. يجب أن يخبر الإشعار المبكر العملاء بما هو معروف وما الذي يتم التحقيق فيه وما هي الاحتياطات المفيدة. يجب أن يعطي الإشعار النهائي قوائم العقارات ونطاقات التواريخ وحقول البيانات والأنظمة المستبعدة. يجب أن تشرح سجلات الحوكمة اللاحقة ما تغير. تحرك سجل Hyatt العام لعام 2015 في هذا الاتجاه من خلال متابعة إشعار مبدئي للبرامج الضارة ببيان انتهاء. سؤال المساءلة بعد سجل 2017 هو ما إذا كان التكرار قد أنتج أدلة أعمق حول تحسين دائم للضوابط.

ما الذي ستظهره الأدلة العامة الأقوى

لن يحتاج السجل العام الأقوى إلى نشر تفاصيل دفاعية حساسة. سيظهر، على مستوى عالٍ، كيف ميزت Hyatt العقارات المتأثرة عن غير المتأثرة، وكيف تم تأكيد الحدود على مستوى المنفذ، وأي مسارات معالجة الدفع كانت مشمولة، وكيف تمت إزالة البرامج الضارة والتحقق من ذلك. كما سيشرح كيف كانت بيانات حامل البطاقة موجودة عند نقطة الالتقاط وأي ضوابط تم تقويتها بعد ذلك.

بالنسبة لحادث 2015، ستفصل الأدلة الأقوى مسارات المطاعم ومكاتب الاستقبال والمنتجعات ومتاجر الجولف ومواقف السيارات ومكاتب المبيعات. ستظهر ما إذا كان لكل مسار نفس السبب الجذري أم أن الأنظمة المتأثرة اختلفت حسب العقار. كما ستشرح كيف أكدت Hyatt أن معلومات العملاء الأخرى لم تتأثر. بالنسبة لحادث 2017، ستشرح الأدلة الأقوى لماذا كانت معاملات مكاتب الاستقبال هي المسار ذا الصلة وكيف تم استبعاد مسارات الدفع العقارية الأخرى.

ستشمل الأدلة العامة الأقوى أيضًا فئات المعالجة. هل قلل الترميز من التعرض للبطاقة الصريحة؟ هل تحسن التقسيم بين المنافذ؟ هل توسعت تغطية كشف النقاط الطرفية لتشمل أنظمة الدفع؟ هل تم تشديد مسارات الدعم عن بعد؟ هل طُلب من مالكي العقارات إكمال تحقق جديد؟ هل تمت مراجعة علاقات جهات الاكتساب والمعالجات؟ يمكن أن تكون هذه الفئات عامة دون كشف تفاصيل مفيدة للمهاجمين.

الغرض من الأدلة الأقوى ليس العقاب. إنه التعلم السوقي. يمكن للعلامات التجارية الفندقية الأخرى وأصحاب الامتيازات ومعالجات الدفع وبرامج سفر الشركات مقارنة مسارات الدفع الخاصة بهم مع السجل. يمكن للنزلاء فهم ما يجب مراقبته. يمكن للمصدرين مواءمة الاستجابة. يمكن للمجالس أن تسأل عما إذا كان للضابط الذي فشل مالك مسمى ودليل قابل للقياس على التغيير.

يجب أن تعامل المجالس مسارات الدفع الفندقية كأصول محكومة

يجب أن تعامل المجالس مسارات الدفع الفندقية كأصول محكومة، وليس فقط كمرافق تشغيلية. تمس أنظمة الدفع الإيرادات وثقة النزلاء وعلاقات شبكات البطاقات والواجبات القانونية وعمليات العقارات وسمعة العلامة التجارية. قد يفوت مجلس يرى فقط لوحة معلومات أمن سيبراني عامة التعقيد الخاص للمدفوعات الفندقية الموزعة. الوحدة ذات الصلة ليست فقط شبكة المؤسسة. إنها كل مسار دفع حيث يقدم النزيل بطاقة.

ستظهر لوحة معلومات مجلس مفيدة جرد أنظمة الدفع حسب نوع المنفذ، وحالة التقسيم، وتغطية الترميز، وتغطية مراقبة النقاط الطرفية على أنظمة الدفع، وإتمام مراجعة الوصول عن بعد، وعلاقات جهات الاكتساب، ومسؤوليات مالكي العقارات، وجاهزية إشعار الحادث. ستظهر ما إذا كانت المطاعم والمنتجعات ومواقف السيارات ومكاتب الاستقبال ومكاتب المبيعات ذات ملفات مخاطر مختلفة. كما ستظهر ما إذا كان يمكن توليد أدلة المواقع المتأثرة بسرعة أثناء التحقيق.

بالنسبة لمنظمات مثل Hyatt، يجب أن تسأل مراجعة المجلس بعد حادث بطاقات دفع ثانٍ عما تغير بعد الحادث الأول وكيف تعرف الشركة أن هذه التغييرات نجحت. إذا كان الحادث الأول يركز بشكل أساسي على المطاعم وتركز الثاني على مكاتب الاستقبال، فالسؤال ليس ببساطة ما إذا كانت نفس البرامج الضارة قد عادت. السؤال هو ما إذا كانت حوكمة الدفع غطت جميع مسارات المعاملات، وليس فقط المسار المتورط في المرة السابقة.

يجب أن تميز المجالس أيضًا بين ثقة العميل وأدلة السيطرة. بيان بأن العملاء يمكنهم استخدام البطاقات بثقة في الفنادق حول العالم مهم لاستمرارية الأعمال. يجب أن يستند إلى أدلة على أن المسار المتأثر قد أغلق وأن المسارات المماثلة قد روجعت. الثقة تكون في أقوى حالاتها عندما يمكن ربطها بمعالجة مكتملة، وليس فقط بالتطمين.

دروس المشتريات لمديري السفر ومشغلي الامتيازات

يجب على مديري سفر الشركات قراءة سجل Hyatt كتذكير بأن مخاطر الدفع هي جزء من مخاطر السفر. قد تفاوض شركة على أسعار ومزايا للمسافرين بينما تولي اهتمامًا أقل لكيفية التعامل مع البطاقات في الموقع. ومع ذلك، يمكن لبطاقة شركة مستخدمة في مكتب استقبال أو مطعم أن تخلق عبء عمل على المالية والموظفين والمصدرين وفرق الأمن. يجب أن تعرف برامج السفر كيف ستتلقى إشعارًا عندما تكون بطاقة موظف قد استخدمت في عقار متأثر.

تشمل أسئلة مدير السفر المفيدة: هل تنشر العلامة التجارية الفندقية قوائم العقارات المتأثرة ونطاقات التواريخ على الفور؟ هل يتم إخطار جهات اتصال سفر الشركات بشكل منفصل عن النزلاء الأفراد عند الاقتضاء؟ هل تستطيع الشركة تحديد أي الموظفين استخدموا بطاقات الشركة في المواقع المتأثرة؟ هل البطاقات الافتراضية أو طرق الدفع المرمز متاحة؟ كيف يتم التعامل مع البطاقات الشخصية العرضية؟ تحول هذه الأسئلة سجل خرق بطاقات عام إلى عملية تحكم أفضل في السفر.

لأصحاب الامتيازات ومشغلي العقارات درس مختلف. يمكن أن يصبح حادث العلامة التجارية عبء عمل محلي، ويمكن أن يصبح ضعف نظام الدفع المحلي خطرًا على العلامة التجارية. يجب على مشغلي العقارات الحفاظ على جرد أنظمة الدفع، وتقسيم شبكات المنافذ، وتقييد الوصول عن بعد، واختبار الاستجابة للحوادث، والحفاظ على السجلات. يجب ألا ينتظروا إشعارًا مؤسسيًا لاكتشاف الأنظمة التي تعالج بيانات البطاقة.

تهم جهات الاكتساب والمعالجات أيضًا. قد تحتفظ بأدلة حول المعاملات الحاضرة بالبطاقة والتوجيه وأنماط الاحتيال وفئات التجار. تعمل الاستجابة القوية للحادث على مواءمة العلامة التجارية والعقار وجهة الاكتساب والمعالج وشبكات البطاقات بسرعة. يجب ألا يحتاج النزيل إلى معرفة كل هذه العلاقات، لكن يجب أن تُبنى الاستجابة عليها.

تركيز المنظمين وشبكات البطاقات

يجب أن يركز المنظمون وشبكات البطاقات على الأدلة حيث لا يستطيع النزلاء رؤيتها. يشمل ذلك تقسيم نظام الدفع، وتعرض حقول البيانات، والتسجيل، وإزالة البرامج الضارة، وتحديد العقارات المتأثرة، وأساس استبعاد معلومات العملاء الأخرى. في إرث فندقي موزع، قد توجد أهم الأدلة عبر عدة أطراف. قد تحتفظ العلامة التجارية بتواصل العملاء. وقد يحتفظ العقار بأدلة النظام المحلي. وقد يحتفظ المعالج بتوجيه المعاملات. وقد يرى المصدر أنماط الاحتيال.

أقوى مراجعة تسأل ما إذا كان الإشعار العام يطابق الأدلة الخاصة. إذا قال إشعار إن مواقع وتواريخ معينة فقط تأثرت، فما هي السجلات التي تدعم هذا الحد؟ إذا قال إشعار إن معلومات العملاء الأخرى لم تتأثر، فما هي الأنظمة التي فُحصت؟ إذا قالت شركة إن العملاء يمكنهم مواصلة استخدام البطاقات بأمان، فما هي المعالجة التي تدعم هذا البيان؟ تحمي هذه الأسئلة العملاء دون الحاجة إلى نشر تفاصيل تقنية حساسة.

يجب على المنظمين أيضًا النظر في حوكمة الأحداث المتكررة. حادث بطاقات ثانٍ في غضون عامين لا يثبت تلقائيًا فشل المعالجة الأولى. إنه يبرر أسئلة حول ما إذا كانت المنظمة قد تعلمت عبر جميع مسارات الدفع. هل طُبقت الدروس من أنظمة المطاعم والمنافذ على مكاتب الاستقبال؟ هل تم توضيح المسؤوليات على مستوى العقار؟ هل تم توسيع تقليل بيانات البطاقة ومراقبتها؟ العدسة المفيدة هي تكرار فئة الضوابط، وليس تسمية حادث مطابق.

يمكن لشبكات البطاقات تعزيز هذا الانضباط من خلال عمليات أدلة التاجر والمعايير. يمكنها أن تطلب مراجعة جنائية، وتحقق من المعالجة، وأدلة على أن فئات البيانات المتأثرة قد حُددت. نادرًا ما يرى النزلاء هذه العمليات، لكن فعاليتها تشكل ما إذا كان الإشعار العام دقيقًا.

سلسلة الأدلة من جانب العميل

يجب على النزلاء ومديري بطاقات الشركات الحفاظ على سلسلة الأدلة الخاصة بهم بعد حادث بطاقة دفع. هذا يعني حفظ الإشعار، وتسجيل العقار المتأثر ونافذة التاريخ، وتحديد البطاقة المستخدمة، ومراقبة الكشوف، والإبلاغ عن الرسوم غير المصرح بها فورًا، والاحتفاظ بالمراسلات مع المصدر. بالنسبة لبطاقات الشركات، يجب على فرق المالية التنسيق مع المسافرين بحيث يمكن مطابقة حسابات الفندق وإيصالات المطاعم وكشوف البطاقات.

يجب أن تتضمن سلسلة الأدلة عدم اليقين. قد يعرف نزيل أن عقارًا تأثر لكنه لا يعرف ما إذا كانت معاملة منفذ معين قد التقطت. قد يعرف فريق سفر الشركات أن موظفين أقاموا في فنادق متأثرة لكنه لا يعرف ما إذا كانت نفس البطاقة استخدمت في الموقع. تدوين عدم اليقين هذا يساعد في المراجعة اللاحقة. يميز الحقائق غير المتاحة عن الإجراءات الفائتة.

يجب على العملاء أيضًا الانتباه للاتصالات اللاحقة. يمكن أن يؤدي حادث بطاقة دفع إلى رسائل بريد إلكتروني تصيدية تشير إلى إقامة فندقية حقيقية. يجب على النزلاء استخدام القنوات الرسمية بدلاً من الروابط في الرسائل غير المتوقعة. ليس هذا لأن السجل العام يثبت إساءة استخدام تصيدية واسعة. إنه لأن معلومات سياق الدفع المكشوفة أو المشتبه بها يمكن أن تجعل الهندسة الاجتماعية أكثر مصداقية.

يمكن للشركة أن تجعل مسار جانب العميل أسهل من خلال الحفاظ على الإشعارات العامة، والاحتفاظ بقوائم المواقع المتأثرة، وجعل توجيهات مركز الاتصال متسقة، وشرح المعلومات التي لن تطلبها أبدًا من النزلاء. تتحسن ثقة النزيل عندما تجعل الشركة الخطوة التالية بسيطة ومحددة.

لماذا تبقى هذه الحالة مفيدة بعد الدورة الإخبارية

يبقى سجل Hyatt مفيدًا لأن بيئات الدفع الفندقية تبقى موزعة. لا يزال النزلاء يدفعون في مكاتب الاستقبال والمطاعم والمنتجعات والفعاليات ونقاط مواقف السيارات وتدفقات الحجز عبر طرف ثالث. لا تزال العلامات التجارية تعمل عبر نماذج ملكية وإدارة مختلطة. لا تزال معالجات الدفع وشبكات البطاقات تجلس خلف تجربة النزيل. لذلك يبقى درس السيطرة حاضرًا على الرغم من أن الحوادث المحددة تاريخية.

يعلم السجل أيضًا أن دقة الإشعار هي نتيجة أمنية. قائمة المواقع المتأثرة ليست ملحقًا إداريًا. إنها ما يسمح للنزلاء والمصدرين بالتصرف. نطاق التاريخ ليس زخرفة قانونية. إنه يخبر الناس أي كشوف يراجعون. بيان حول معلومات العملاء المستبعدة ليس عبارة علاقات عامة. إنه حد نطاق يجب أن يكون مدعومًا بالأدلة. في حوادث الدفع، جودة التواصل هي جزء من الاحتواء.

تكافئ الحالة المقارنة الدقيقة. لا ينبغي دمج حادثي 2015 و2017 في خرق عام واحد. لقد تضمنا نوافذ زمنية مختلفة وعدد مواقع متأثرة ومسارات معاملات مختلفة. التعامل معهما معًا مفيد فقط إذا كانت المقارنة حول فئات الضوابط: التقسيم، وكشف البرامج الضارة، وتقليل بيانات الدفع، وتنسيق العقارات، وإشعار العميل. تلك المقارنة هي حيث يجلس تعلم المساءلة.

الدرس الدائم هو أن ثقة النزيل في الدفع محلية. قد يحب العميل علامة تجارية عالمية، لكن البطاقة تُسلم إلى محطة طرفية في مكان معين في لحظة معينة. يجب أن تنتقل المساءلة إلى ذلك المستوى وتعود صعودًا إلى حوكمة المجلس.

المؤشرات التشغيلية التي ستجعل التعافي قابلاً للاختبار

سيتضمن السجل التالي الأكثر فائدة مؤشرات تشغيلية. بالنسبة لمجموعات فندقية مثل Hyatt، ستشمل المؤشرات عدد أصول نظام الدفع حسب نوع المنفذ، وتغطية التقسيم بين المنافذ، وتغطية الترميز، وتغطية مراقبة النقاط الطرفية على أنظمة الدفع، وإتمام مراجعة الوصول عن بعد، والتحقق من إزالة البرامج الضارة، وإتمام قائمة المواقع المتأثرة، وإتمام إشعار العميل. هذه المؤشرات تجعل التعافي قابلاً للاختبار دون الكشف عن تهيئات حساسة.

ستشمل المؤشرات الخاصة بالحادث التوقيت من الكشف إلى الاحتواء، ومن الاحتواء إلى الإشعار، وعدد المواقع المتأثرة، وعدد أنواع المنافذ المتأثرة، ونطاقات تواريخ المعاملات، وأساس الأدلة لاستبعاد معلومات العملاء الأخرى. قد لا تكون الأرقام العامة الدقيقة ضرورية دائمًا، لكن الفئات وحالة الإتمام تساعد العملاء والمصدرين في تقييم ما إذا كانت المخاطر تتقارب.

يجب أن تميز المؤشرات بين التعافي التقني وتعافي الحوكمة. التعافي التقني يعني إزالة البرامج الضارة وتقوية الأنظمة المتأثرة. تعافي الحوكمة يعني أن الشركة يمكنها إثبات أنها تعرف أين تتدفق بيانات الدفع، ومن يملك كل مسار، وكيف يتم تقسيم المسارات، وكيف يتم الاحتفاظ بالأدلة، وكيف سيتم إخبار العملاء إذا تأثر مسار مستقبلي. يمكن لشركة إكمال التنظيف التقني وتظل تفتقر إلى تعافي الحوكمة.

بالنسبة للمجالس ومديري السفر، هذه المؤشرات أكثر فائدة من الادعاءات العامة. إنها تظهر ما إذا كانت المنظمة قد تعلمت من حادث دفع أم نجت منه فقط. كما تظهر ما إذا كان الحادث التالي، إذا حدث، يمكن تحديد نطاقه بشكل أسرع وأكثر دقة.

يجب أن تتبع لغة العقود والسياسات السطح المكشوف

يجب أن تتبع لغة العقود والسياسات السطح المكشوف. إذا كان السطح المكشوف هو مدفوعات المطاعم في الموقع، يجب أن تعالج العقود والسياسات الداخلية محطات المطاعم الطرفية وعلاقات المعالجين وتقسيم الشبكة ووصول الموظفين وتسجيل المنفذ المحدد. إذا كان السطح المكشوف هو إدخال البطاقة في مكتب الاستقبال، يجب أن تعالج السياسات تكامل إدارة الممتلكات وضوابط الإدخال اليدوي والدعم عن بعد والترميز وتدريب موظفي الاستقبال. إذا كان السطح المكشوف هو مكتب مبيعات، يجب أن تعالج السياسات التعامل مع البطاقة غير الحاضرة والاحتفاظ بها.

يجب أن تتضمن اتفاقيات إدارة الفنادق ومعايير الامتياز وعقود المعالجين واتفاقيات سفر الشركات جميعها واجبات أدلة أمن الدفع. يجب أن تكون العلامة التجارية قادرة على مطالبة العقارات بالحفاظ على جرد أنظمة الدفع والتعاون في الحوادث. يجب أن يعرف العقار ما تتطلبه معايير العلامة التجارية. يجب أن يعرف مشتري السفر ما هو الإشعار الذي سيتلقاه إذا تورطت بطاقات الشركات. مخاطر بطاقات الدفع موزعة جدًا على بند عام واحد.

يجب أن تكون إشعارات الخصوصية والأمان العامة محددة بما يكفي للنزلاء. يحتاج النزلاء إلى معرفة البيانات التي تُجمع، وكيف تُحمى بيانات الدفع، ومدة الاحتفاظ بها حيثما ينطبق ذلك، وكيف تتواصل الشركة أثناء الحوادث. في حادث دفع، يجب أن يحدد الإشعار المواقع المتأثرة والتواريخ وحقول البيانات وإجراءات العميل. يظهر سجل Hyatt لماذا هذه التفاصيل مركزية وليست اختيارية.

الغرض ليس جعل عمليات الفنادق جامدة. إنه جعلها خاضعة للمساءلة. يمكن للنزلاء الاستمرار في الدفع بسهولة، ويمكن للفنادق الاستمرار في تشغيل خدمات موزعة، عندما يُصمم مسار الدفع ليفشل بأمان ويشرح نفسه بوضوح.

سؤال التكرار

سؤال التكرار ليس ما إذا كان حادث Hyatt المطابق سيحدث مرة أخرى. البرامج الضارة والمحطات الطرفية والمعالجات وأنظمة العقارات تتغير. سؤال التكرار هو ما إذا كان نفس ضعف السيطرة يمكن أن يعود تحت تسمية مختلفة. يمكن أن يصبح مسار دفع مطعم مسار دفع حانة. يمكن أن يصبح مسار إدخال يدوي في مكتب استقبال مسار تسجيل وصول عبر الهاتف المحمول. يمكن أن يصبح نظام عقار محلي موصل دفع سحابي. التسميات تتغير، لكن واجبات التقسيم والأدلة تبقى.

بالنسبة للعلامات التجارية الفندقية، يجب أن يركز منع التكرار على تقليل التعرض للبطاقة الصريحة، وتقوية التقسيم، وتوسيع تغطية المراقبة، وتشديد الدعم عن بعد، والتحقق من امتثال العقارات، والتدرب على إشعار العميل، وجعل أدلة المواقع المتأثرة سريعة الإنتاج. بالنسبة لمالكي العقارات، يعني منع التكرار معاملة أنظمة الدفع كبنية تحتية حيوية وليس كمعدات مكتب خلفي عادية. بالنسبة لمشتري السفر، يعني تقليل التعرض للدفع من خلال ضوابط بطاقات الشركات وطرح أسئلة أفضل على شركاء الفنادق.

التعلم أقوى من الإغلاق. الإغلاق يقول إن الحادث الفوري قد انتهى. التعلم يقول إن المنظمة غيرت كيفية إدارتها لفئة السيطرة التي جعلت الحادث ممكنًا. يجب على القراء البحث عن أدلة التعلم: ترميز أفضل، وجرد أوضح للعقارات، وتقسيم أقوى، وكشف أسرع، وإشعار أوضح للنزيل. هذه هي العلامات على أن حوادث بطاقات الدفع أصبحت تحسينات في الحوكمة بدلاً من مفاجآت متكررة.

يجب أن يبقى سجل Hyatt في مراجعات المجالس، وبرامج مخاطر السفر، وتدريب مشغلي العقارات، وتخطيط أمن الدفع. إنه ليس مجرد خرق ماضٍ. إنه تذكير بأن مساءلة الدفع في الضيافة يجب أن تكون محلية بما يكفي لكشف نزيل وواسعة بما يكفي لحوكمة المؤسسة.

خلاصة المساءلة

الخلاصة هي أن Hyatt جعلت أنظمة الدفع الفندقية اختبارًا لتقسيم المساءلة. يهم الحادث لأن النزلاء ومصدري البطاقات وجهات الاكتساب ومشغلي الفنادق وأصحاب الامتيازات والمطاعم ومديري السفر اضطروا إلى ربط مخاطر الدفع بمواقع ونوافذ زمنية محددة. المعيار المسؤول لم يكن المنع المثالي. بل كان السيطرة العملية: معرفة أين تتدفق بيانات البطاقة، وتقسيم مسارات الدفع، وكشف البرامج الضارة، وتقليل التعرض للبيانات القابلة للاستخدام، وإخطار الأطراف المتأثرة بدقة، والحفاظ على الأدلة التي يمكن اختبارها بعد ذلك.

يدعم السجل استنتاجًا عالي الثقة حول الواجبات المتعلقة بتقسيم نقاط البيع، وكشف البرامج الضارة لبطاقات الدفع، وإشعار الامتياز والعقار، والترميز، وأدلة جهة الاكتساب، وقدرة العميل على فهم أي إقامة أو منفذ تعرض. ولا يدعم التظاهر بأن كل حقيقة خاصة معروفة. هذا التمييز هو جوهر التحليل المسؤول. يجب أن تتبع المسؤولية الطرف الذي يمتلك السيطرة والأدلة، بينما يجب أن يبقى عدم اليقين مرئيًا حتى تغلقه أدلة أفضل.

بالنسبة للمجالس ومشتري السفر ومشغلي العقارات والنزلاء، النتيجة مباشرة. لا تسأل فقط ما إذا كانت علامة تجارية فندقية قد تعرضت لحادث بطاقات. اسأل أي مسار دفع تعرض للاضطراب، ومن كان يسيطر عليه قبل الحدث، ومن حمل العمل بعد الإفصاح، وما هي الأدلة التي تثبت أن المسار أكثر أمانًا الآن. في الضيافة، تُبنى ثقة الدفع عقارًا تلو الآخر ومنفذًا تلو الآخر.