Mark Pestronk
F: I kolumnen Legal Briefs den 8 augusti skrev du att om en bedragare bryter sig in i vårt GDS under en helg och utfärdar ett gäng icke-kreditkortsbiljetter för resor på söndag, kan vi befrias från ansvar för debetnotor om ARC finner att vi ”utövade rimlig försiktighet” för att skydda vår biljettförmåga vid tidpunkten för hacket. Hur etablerar vi ”rimlig vård”?
A: Låt mig börja med att notera att detta hackningsproblem på lördagskvällen nu är ganska vanligt. Minst en gång i veckan rådfrågas jag för råd av myndigheter som utsatts för offer.
Hackningarna har tre saker gemensamt. För det första har resan sitt ursprung i Västafrika, vanligtvis från ett frankofoniskt land som Elfenbenskusten. För det andra är utresande på biljetterna vanligtvis på en söndag, så när du upptäcker problemet har biljetternas utgående ben använts. För det tredje, enligt min erfarenhet, har bara Sabre-byråer blivit utsatta.
ARC utfärdar sällan ett brev med ett beslut om att byrån utövat ”rimlig försiktighet”, så om du vill bli befriad från ansvar måste du förmodligen lämna in ett klagomål till resebyråns skiljedomare.
I skiljeförfarandet skulle du ha bevisbördan. Du skulle behöva presentera bevis på att du hade instruerat din personal att inte svara på e-postmeddelanden eller samtal med förfrågningar om inloggningar som verkar komma från ditt GDS. Du skulle också behöva bevisa att du tagit fler steg. Avsnitt B i ARC-avtalet säger:
”Rimlig försiktighet” inkluderar effektiv elektronisk utmaning och autentisering, t.ex. inloggningsuppgifter eller säkerhetsuppgifter, inklusive till exempel användarnamn, PIN-koder och lösenord för alla användare som kommer åt agenthårdvara, system eller andra system eller hårdvara som kan användas för att utfärda ARC trafikdokument/data/nummer i elektroniskt format. Åtminstone måste agenten implementera lämpliga fysiska, elektroniska och administrativa procedurer och system för att förhindra obehörig åtkomst, avslöjande, ändring eller förstörelse av transaktionsdata.”
Detta något oklara språk verkar betyda att du behöver ett användarnamn och lösenordsinloggning, vilket givetvis GDS kräver. Du kan också behöva en PIN-kod, men jag tror inte att GDS kräver en PIN-kod.
Detta verkar också innebära att du måste instruera din personal att inte svara på nätfiske-e-postmeddelanden eller samtal. Utöver det ger ARC-avtalet egentligen ingen vägledning.
En GDS-leverantörs standardkontrakt har några andra användbara steg, som att implementera brandväggar; underhålla regelbundet uppdaterade antivirus- och anti-malware-verktyg; använda de senaste versionerna av applikationsprogramvara och operativsystem med alla säkerhetsuppdateringar tillämpade så snart som möjligt; och använda starka lösenord, utan att dela inloggningsuppgifter mellan flera individer eller använda samma lösenord för flera webbplatser.
Om ingen rådgivare erkänner att de har lämnat ut sina referenser, kan du också anlita en IT-konsult för att granska allas utgående e-postmeddelanden och sms för att säkerställa att ingen gjorde det. Ditt bevis för alla dessa steg skulle ta formen av muntliga eller skriftliga vittnesmål i skiljemålet.