Jason King

Di

Jason King

Pubblicato il

aprile 23, 2019

Tag

How to, Marketing, Ricerca, SEO

Secondo i dati forniti da Symantec, due terzi dei siti Web degli alberghi stanno inavvertitamente cedendo i dati personali degli ospiti a società terze. Il report ha evidenziato che i siti degli hotel potenzialmente potrebbero consentire a terzi di visualizzare i dati personali dei clienti, nonostante la recente regolamentazione in materia introdotta dal GDPR. Questa apatia nei confronti della sicurezza online non mette solo a rischio le informazioni personali, ma può anche incidere negativamente sulla reputazione dell'hotel. Jason King, Lead Developer in LEWIS, ci ha dato il suo punto di vista e cinque suggerimenti per aggiornare la sicurezza di un sito web.


1. Riconoscere una pagina per i pagamenti sicura

Dal luglio 2018, Google ha iniziato a penalizzare il ranking nei risultati di ricerca di tutti quei siti ancora privi del protocollo HTTPS. Inoltre, ha aggiornato il suo algoritmo in modo che gli utenti di Chrome ricevessero l’avviso “Non protetto” ogni volta che accedono a un sito con protocollo http. L’avviso dovrebbe invogliare gli utenti ad abbandonare il sito, aumentando il bounce rate e riducendo i click e le conversioni, soprattutto nel caso di e-commerce. Ma cos’ha di così importante il protocollo HTTPS?

Il protocollo HTTPS assicura che gli utenti parlino esattamente con il server con cui si aspettano e, cosa ancora più importante, che i contenuti fra browser e sito non possano essere intercettati o modificati né dall’utente semplicemente cliccando su un link, né dal server che mostra i contenuti e le informazioni. Il problema, naturalmente, non riguarda solo il settore alberghiero, anzi! Il LEWIS Global Marketing Engagement Index 2018 ha rilevato che il 6,5% delle aziende globali deve ancora aggiornarsi, anche dopo il GDPR che ha reso il protocollo HTTPS un requisito obbligatorio.

In realtà, si tratta di un gioco da ragazzi, anche considerando che i certificati SSL ora sono rilasciati anche gratuitamente.

 

2. L’importanza del GUID

Introdurre un maggiore livello di complessità nella crittografia rende infinitamente più difficile la possibilità di indovinare i processi e le stringhe di un sito. Uno dei modi più diffusi per farlo è utilizzare un Globally Unique Identifier (GUID) o Universally Unique Identifier (UUID) invece che  un semplice ID numerico.

Il GUID, o UUID, è un codice numerico composto da numeri interi a 128 bit, che servono a identificare le informazioni. Usare questo metodo permette alle catene alberghiere la certezza, quasi totale, che gli ID dei singoli clienti non possano essere identificati.

 

3. Impedire la condivisione delle URL

Gli hotel vogliono rendere il processo di prenotazione e pagamento il più agevole possibile, per questo spesso evitano di forzare il cliente a creare un account. Ma in questi casi, per poter inviare all’utente una mail di conferma con un link, in modo che il cliente possa visualizzare la sua prenotazione, è necessario inserire un ID nell’URL che permetta di recuperare i dati. In questo contesto, per evitare che tale URL con ID univoco venga condiviso con terze parti o social media, il server dovrebbe memorizzare l’ID in un cookie interno e reindirizzare l’utente. Questo significa che gli script di tracking di terze parti non condivideranno inavvertitamente l’URL originale come parte del referral.

 

4. Come evitare SQL injection

Nelle moderne piattaforme di hosting cloud, gli attacchi hacker e in particolare quelli SQL injection possono essere prevenuti aggiungendo un’Application-level Gateway (ALG) all’ingresso del server di backend. Questi firewall sono relativamente facili da configurare e vengono regolarmente aggiornati per proteggere dalle nuove minacce.

 

5. Audit e penetration test

Regolari audit delle impostazioni di sicurezza consentono agli hotel di identificare dei punti di riferimento contro i rischi della sicurezza passati, potenziali e futuri. Gli audit dovrebbero includere processi di gestione delle informazioni, la rete, i dati, gli elementi relativi all’accesso e molti altri elementi che aiutano a tenere sempre sotto controllo la sicurezza del loro ecosistema digitale.

Un audit sulla sicurezza può essere realizzato prima dell’introduzione di un penetration test, con il quale si proverà a violare la sicurezza di un sito usando diversi approcci possibili. I vantaggi di questo tipo di test sono grandiosi: forniscono specifiche approfondite sulle vulnerabilità di un sito e quali sono i punti deboli. Ma soprattutto, danno indicazioni su come poter risolvere le vulnerabilità.

 

Ma qual è la situazione attuale del settore turistico?

Sulla base di queste 5 indicazioni, e considerando le 10 categorie fondamentali del nostro MET (Marketing Engagement Tracker), abbiamo provato ad analizzare 15 top hotel spagnoli per capire quanti di questi fossero aggiornati rispetto a questi punti.

Abbiamo iniziato dalla Spagna perché, nonostante il turismo sia un settore chiave per le economie di tutto il mondo, nel 2017 questo ha contribuito al PIL della Spagna con 172.000 milioni di euro, rendendo questo paese un attore chiave nel settore turistico.

Per rendere l’analisi più completa, abbiamo utilizzato il metodo LEWIS MET: le aziende sono state profilate su 10 categorie chiave e classificate in base al loro punteggio complessivo. I dati indicati in ogni categoria sono stati pensati per coprire l’intero marketing mix di un’azienda. Le metriche vanno da sicurezza, UX e personalizzazione, ai social media e all’ottimizzazione per dispositivi mobili, e molto altro ancora.

Trovi il report completo di quest’analisi qui.

 

Se vuoi, ecco anche la nostra infografica su come tenere al sicuro i dati dei clienti sui siti degli hotel.

5 ways to avoid sensitive information leaking and increase web security

Contattaci