Seguridad y protección del dato en el check-in digital
El check-in digital maneja datos de identidad: de los más sensibles que pasan por un hotel. Esto es lo que un sistema serio debe garantizar y lo que tú, como responsable de TI, deberías exigir.
Cifrado en tránsito y en reposo
Todo dato de identidad debe viajar cifrado (TLS) y almacenarse cifrado en reposo. Si un proveedor no cifra los documentos en reposo, descártalo.
Residencia de datos en la UE
Para datos de huéspedes europeos, el almacenamiento y el procesamiento deben estar en la UE: evita problemas de transferencias internacionales bajo el RGPD. idSwift opera con hosting en la UE.
Minimización: guardar solo lo necesario
La mejor seguridad es no almacenar lo que no necesitas. Un OCR que extrae los datos y no conserva la imagen del documento reduce drásticamente la superficie de riesgo (ver la guía de RGPD).
Control de acceso y trazabilidad
Acceso por roles, autenticación robusta y registro de quién accede a qué. Los datos de identidad no pueden estar accesibles para cualquiera.
Borrado y plazos de conservación
El sistema debe permitir el borrado automático al cumplirse el plazo legal (3 años para el registro de viajeros). La retención indefinida es un riesgo, no una comodidad.
Preguntas frecuentes
¿Dónde se almacenan los datos?
En infraestructura cloud con hosting en la UE y cifrada en reposo.
¿Se guarda una copia del documento?
El enfoque correcto es extraer solo los datos necesarios y no conservar imágenes innecesarias; lo que se custodie debe ir cifrado y con borrado automático.
¿Qué debo exigir a un proveedor en seguridad?
Cifrado en tránsito y en reposo, residencia de datos en la UE, control de acceso por roles, minimización de datos y un DPA conforme al RGPD.
Esta guía tiene carácter informativo y no constituye asesoramiento legal. Verifica los detalles con tu responsable de protección de datos.