Atelier : Sécurité (GDPR)

By 26 avril 2017Ateliers, Projets, Sécurité

Dans le cadre de la nouvelle directive européenne dénommée « GDPR » General Data Protection Regulation, qui entrera en vigueur mi 2018, deux sessions de réflexion ont été organisées dans le cadre de l’association pour fournir des préconisations à ses membres.

POUR RAPPEL

Cette directive est une obligation et vise à protéger les données personnelles utilisées dans les systèmes d’information, les entreprises du tourisme sont donc directement concernées. Des sanctions allant jusqu’à 4% du chiffre d’affaires sont prévues pour les entreprises afin d’inciter les entreprises à mieux se protéger car la problématique est bien de se préparer à des actes des pirateries informatiques.

La sécurité de chaque entreprise du Tourisme est et restera sous sa propre responsabilité mais de nombreux flux sont utilisés pour communiquer dans toute la chaine des transactions permettant de fournir des prestations touristiques, depuis le distributeur jusqu’au prestataire final.

Ce sont donc ces flux qui intéressent l’association XFT, tout le reste de la problématique de sécurisation est l’affaire de chaque société (stockage, droit à l’oubli, employés, etc…) mais indépendamment de la coresponsabilité éventuelle en cas de problème sur ces données, il est très important de s’interroger sur chacun des intermédiaires afin de s’assurer qu’ils soient conformes aux attentes du nouveau règlement européen.

Le principe de base de cette directive consiste en une responsabilité plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles

EN CONCLUSION

L’association Exchange For Travel préconise à ses membres de porter une attention particulière aux 2 domaines suivants :

  • L’identification des utilisateurs agences sur les plateformes ou sites B2B doivent utiliser des mots de passe complexes qui changent de temps en temps (à chaque société de le décider) et les identifiants devraient se faire au niveau des personnes et pas uniquement au niveau des agences. Dans le cadre de plateformes, les identifications auprès de chaque fournisseur devraient se faire au sein des plateformes.
  • Les flux de données utilisés entre les plateformes et les producteurs ou prestataires doivent utiliser au minimum le protocole SSL/TLS afin de ne pas faire transiter sur les réseaux de données non cryptées.Chaque entreprise devra s’assurer de mettre en place ces recommandations sous sa propre responsabilité.

Chaque entreprise devra s’assurer de mettre en place ces recommandations sous sa propre responsabilité.