Hướng dẫn bao gồm ba phần, trình bày hướng tiếp cận để đảm bảo an toàn cho PMS. Nó cung cấp hướng dẫn sử dụng các sản phẩm có sẵn trên thị trường, cho phép chủ khách sạn kiểm soát và hạn chế quyền truy cập vào PMS của họ, giúp bảo vệ quyền riêng tư và thông tin thẻ thanh toán của khách hàng.
Ông Bill Newhouse thuộc Trung tâm An ninh mạng Quốc gia (NCCoE) của NIST cho biết, họ đã chứng minh được rằng rủi ro an ninh mạng đối với PMS có thể được giảm thiểu nhờ sử dụng các công nghệ ngày nay.
Hướng dẫn của NIST cung cấp cách thức áp dụng các khái niệm an ninh mạng như kiến trúc zero-trust, bảo vệ các mục tiêu di chuyển, triển khai mã hóa token cho dữ liệu thẻ tín dụng và xác thực dựa trên vai trò người dùng trong một thiết kế tham khảo, nhằm giải quyết rủi ro an ninh mạng và quyền riêng tư. NIST cũng đưa ra các trường hợp sử dụng cụ thể để cho thấy chức năng của thiết kế.
Khách sạn là ngành có nhiều vi phạm dữ liệu nhiều thứ ba trong năm 2019
Trong những năm gần đây, tin tặc đã xâm nhập hệ thống mạng của một số chuỗi khách sạn lớn, làm lộ thông tin của hàng trăm triệu khách hàng. Theo một báo cáo ngành gần đây, khách sạn đứng thứ ba trong số các ngành bị thiệt hại nhiều nhất do vi phạm an ninh mạng vào năm 2019, hứng chịu 13% trong tổng số sự cố.
Khoảng 2/3 các vụ vi phạm này là các cuộc tấn công vào máy chủ của các tổ chức, nơi thường lưu trữ thông tin của khách hàng và kết nối với các PMS tại chỗ. Các vi phạm đối với PMS có thể gây tổn hại đến danh tiếng của tổ chức, làm gián đoạn hoạt động và gây ra thiệt hại tài chính lớn.
Mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối
NCCoE đã hợp tác với cộng đồng doanh nghiệp khách sạn và các nhà cung cấp công nghệ an ninh mạng để xây dựng một hệ thống mẫu gọi là “thiết kế PMS tham khảo”, mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối, bao gồm hệ thống thanh toán điện tử và khóa cửa điện tử. Thiết kế này bảo vệ dữ liệu di chuyển trong môi trường và ngăn người dùng truy cập vào nhiều hệ thống và dịch vụ khác nhau.
Mặc dù, thiết kế sử dụng các công nghệ có sẵn trên thị trường để thực hiện các mục tiêu này, nhưng hướng dẫn không cung cấp thông tin của các sản phẩm cụ thể nào. Tất cả các công nghệ được sử dụng trong giải pháp đều hỗ trợ các tiêu chuẩn và hướng dẫn bảo mật của Khung an ninh mạng NIST, nhằm bảo vệ quyền riêng tư và đúng với kết quả cần có trong Khung Quyền riêng tư NIST.
Cung cấp hướng tiếp cận zero-trust
Hướng dẫn cũng giới thiệu các nguyên lý và thành phần về kiến trúc zero-trust, một mô hình an ninh mạng tập trung vào bảo vệ tài nguyên mạng. Tiền đề của nó là sự tin tưởng không bao giờ là mặc định mà phải được đánh giá liên tục.
Theo ông Newhouse, NIST cung cấp hướng tiếp cận zero-trust có thể giúp những người làm việc trong lĩnh vực khách sạn hiểu rõ hơn về những giải pháp của các nhà cung cấp khi mới làm quen với khái niệm này.
Mô hình zero-trust có nghĩa là quyền truy cập không được cấp cho các thiết bị hoặc tài khoản người dùng chỉ dựa trên vị trí thực tế, mạng kết nối hoặc người sở hữu. Thay vào đó, cần xác thực và ủy quyền cho cả chủ thể và thiết bị trước khi người dùng có thể truy cập tài nguyên của mạng.
Ông Robert Braun, một đối tác tại công ty luật Jeffer Mangels Butler & Mitchell (Los Angeles, Mỹ), người đã tư vấn cho khách hàng của khách sạn về vi phạm dữ liệu và quyền riêng tư, cho biết: "Hướng dẫn của NIST phân tích và giải quyết những thách thức chung đối với hầu hết các khách sạn trong việc tạo ra các hệ thống dữ liệu an toàn. Các khách sạn được khuyến nghị nên đưa hướng dẫn này vào các giao thức bảo vệ thông tin."