La Asociación Internacional de Transporte Aéreo (“International Air Transport Association” – IATA) ha notificado a todas sus agencias certificadas acerca de la obligación de cumplir con los controles del estándar PCI DSS.

Según la IATA, los fraudes con tarjeta de crédito representan para el sector una pérdida anual que ronda los US$ 1.000 millones, por lo cual es indispensable empezar con el desarrollo de actividades preventivas orientadas a la gestión de ese riesgo, que afecta directamente a las agencias en términos de confianza del cliente y costes administrativos y técnicos en caso de incidentes.

A través del APJC (Agency Programme Joint Council) inicialmente se informó que la fecha limite para el cumplimiento era el día 1 de junio de 2017, extendiéndose luego hasta el 1 de marzo de 2018. A partir de ese día, las agencias que no hayan reportado su cumplimiento con PCI DSS pueden perder su certificación y no podrán operar con los servicios provistos por la IATA, lo cual ha quedado reflejado en la Resolución 890 de la Conferencia IATA de Agencias de Pasajeros.

A través de una circular interna se explicó el procedimiento a seguir y una serie de preguntas de uso frecuente vinculadas con esta nueva ordenanza. Se puede encontrar una copia de dicha circular aquí.

Si soy una agencia de viajes, ¿cómo debo proceder para alinearme con PCI DSS?

Desde PCI Hispano ofrecemos las siguientes pautas para alinear el entorno de las agencias de viajes con PCI DSS:

  1. Antes que nada, es importante reconocer el valor intrínseco de la implementación de controles de PCI DSS y los beneficios que le trae a la organización. La IATA venía trabajando con PCI DSS desde hace bastantes años y era cuestión de tiempo que se empezara a pedir el cumplimiento a las agencias. Debido a su obligatoriedad para la obtención y renovación del certificado como agencia reconocida, lo más recomendable es empezar de inmediato.
  2. Con el fin de obtener un soporte de primera línea, es recomendable ubicar un Asesor QSA, quien acompañará a la agencia en todo el proceso. La experiencia del QSA le servirá a la agencia para optimizar tiempos y recursos en los proyectos de implementación de controles y reporte de cumplimiento.
  3. El siguiente paso es contactar con las entidades adquirientes (bancos) para conocer los requerimientos de PCI DSS que le aplican al entorno. Es probable que previamente los adquirientes se hayan puesto en contacto con las agencias, pero si esto no ha sucedido, es la agencia la que debe dar el primer paso.
  4. Posteriormente, se deben identificar todos y cada uno de los canales de pago empleados por la agencia en los cuales se reciben, procesan o almacenan datos de tarjetas de pago (canales de comercio electrónico, TPV físicos, TPV virtuales, pagos telefónicos o por correo (MOTO), etc.) y validar si en algún punto se almacenan datos de tarjeta de pago.
  5. Identificados los canales de pago, se deben contabilizar todas las transacciones con tarjetas de pago que se procesan anualmente en la agencia. Con este número, se podrá saber si se requiere de un Cuestionario de Auto-Evaluación (SAQ) o de una auditoría en sitio para certificar el cumplimiento con PCI DSS.
  6. Dependiendo de los canales de pago identificados, se debe proceder a implementar los controles que requiere el estándar. Una buena estrategia para priorizar acciones y mantener un seguimiento del trabajo realizado es emplear el documento “The Prioritized Approach to Pursue PCI DSS compliance“.
  7. Cuando todo esté listo, se debe rellenar un SAQ o completar una auditoría. Los documentos para el reporte deben ser remitidos a la IATA empleando el portal que se ha definido para esto (IATA Customer Portal)

Mayor información en los siguientes enlaces:

Si tienes preguntas, no olvides dejar tu comentario o ingresar al foro.