Información para Profesionales de Turismo
Texto
Nota de tapa
Éramos pocos y la IATA salió con un martes 13…

Nueva exigencia para las agencias IATA. La Asociación pretende que las agencias apliquen al programa PCI DSS para el pago con tarjetas desde junio próximo. Esto significa un nuevo y alto costo para las empresas, una necesaria adecuación tecnológica y enfrentar un engorroso proceso de certificación. Las Asociaciones de Agencias de la región pidieron formalmente posponer la obligatoriedad de aplicación del estándar y estudiar alternativas.

Si la situación económica general estaba complicando el panorama y la eliminación de las comisiones echó más leña al fuego, la nueva exigencia de la IATA resultó, directamente, como tirar un bidón de nafta a la fogata.
A comienzos de marzo, la IATA emitió un comunicado hacia las agencias afirmando: "Desde la IATA hemos estado trabajando en asuntos relacionados con los riesgos asociados a las transacciones con tarjeta de pago y posibles violaciones de datos. Siguiendo el asesoramiento que se nos ha facilitado, consideramos que es fundamental que los agentes acreditados que utilizan el BSP confirmen que cumplen con las Normas de seguridad de pagos (DSS o Data Security Standard) de la Industria de tarjetas de pago (PCI o Payment Card Industry)". Y sentencia: "A partir del próximo 1 de junio de 2017 y de acuerdo con las Normas para Agencias de Ventas de Pasajes (perteneciente a la Resolución 818g, del Manual de Agencias de Viajes), el cumplimiento de las DSS de la PCI será requisito obligatorio para obtener y continuar disfrutando de la acreditación en calidad de agente de la IATA en todas las oficinas acreditadas que procesen transacciones con tarjetas de crédito. El incumplimiento de las DSS de la PCI resultará en la presentación de dos casos de irregularidad a su agencia". Cabe recordar que en nuestro país, por ejemplo, el máximo de irregularidades posibles que se puede acumular son seis.

¿De qué hablamos?
En septiembre de 2006, las empresas de tarjetas, tanto de crédito como de débito, conformaron un comité que desarrolló un estándar de seguridad de datos para toda la industria denominado PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos de la Industria de las Tarjetas). Este protocolo es administrado por un consejo denominado el SSC (Security Standard Council) que tiene como finalidad ayudar a las organizaciones que procesan, almacenan y transmiten datos de tarjetahabientes en todo el mundo. El objetivo del estándar es reducir y minimizar los fraudes en los pagos con tarjeta de crédito y la violación en la confidencialidad de los datos. En su propia misiva a las agencias de viajes, la IATA explica: "La misión del Consejo consiste en mejorar la seguridad de las tarjetas de pago. Para ello, se promueve la adopción general de las normas de seguridad de pagos de la PCI entre los denominados merchants y entidades de procesamiento que gestionan información confidencial de tarjetas de pago. El Consejo es un foro internacional en pro del desarrollo, la mejora, el almacenamiento, la divulgación y la implementación constante de las normas de seguridad para la protección de datos de las cuentas, así como en proporcionar normas comunes de seguridad de los datos a nivel mundial para proteger la información confidencial de tarjetas de pago ante posibles robos. Todas las entidades que almacenan, procesan y transmiten datos de tarjetas de pago deben cumplir con las normas de seguridad de la PCI, las cuales constituyen las condiciones técnicas y operativas para garantizar la seguridad de las tarjetas de pago". Y agrega: "Es necesario garantizar el cumplimiento de las DSS de la PCI en la comunidad de agentes acreditados de la IATA. El cumplimiento de las DSS de la PCI beneficia a todos los integrantes de la cadena de distribución puesto que garantiza la confidencialidad en la gestión de datos sensibles de tarjetas de pago, lo cual protege y beneficia a los clientes. El cumplimiento de las DSS de la PCI es un requisito reflejado en la Resolución 890 de la Conferencia de Agencias de Pasaje (PAConf) de la IATA".
Ahora bien, la integración en ese sistema demanda una inversión y costos extras. No sólo en la adopción de procesos, sino, sobre todo en la actualización de los sistemas de información y adopción de software bajo licencia.

Entre la postergación y las alternativas.
En una carta remitida a Jean-Charles Odelé-Gruau, director regional de IDFS (Industry Distribution and Financial Services) de la IATA para las Américas, la Aviabue expresa: "El DSS de PCI supone un proceso de implementación y certificación que probablemente no pueda ser cumplimentado por las agencias en el tiempo establecido y que a las micro y pequeñas empresas les demandará la realización de importantes ajustes tecnológicos". "A efectos de darle visibilidad a la magnitud de la situación, indicamos que en nuestro país tan solo una agencia de viajes estaría actualmente alcanzando el estándar y que por otra parte las compañías aéreas (en sus propios merchants de sus oficinas de ventas de billetes), tampoco lo están cumpliendo".
En nuestro país sólo Despegar tiene la acreditación y la alcanzó luego de un proceso de certificación de casi dos años.
Pero además, Aviabue señala hasta complicaciones legales para implementar el sistema. "La exigencia de esta certificación se podría interpretar como una forma de eliminar los canales de distribución o de afectar su acceso al mercado", afirma la entidad.
La imposición de la IATA no es válida sólo para Argentina sino para toda la región. En tal sentido es interesante repasar, por ejemplo, el caso paraguayo. En una carta también dirigida a Odelé-Gruau, la Asatur paraguaya explica que en su país una sola empresa certifica PCI DSS, en un proceso que toma un año de duración y depende de a qué nivel se apunte puede valer de US$ 7.000 a US$ 40.000.
Como en el caso de la Aviabue, la asociación guaraní también pide la postergación de la entrada en vigencia y el análisis del tema en el marco del APJC (Agency Programme Joint Council: Consejo Conjunto del Programa de Agencias), cuya próxima reunión se celebrará en Montevideo, a fin de mes.
Por lo pronto y en declaraciones al portal noticioso Panrotas, Jason Sinclair, gerente de Comunicación Corporativa de la IATA para Brasil, aseguró que la Asociación no tiene la idea de marginar a ninguna agencia autorizada y expulsar a ninguna del programa sino se cumple con la fecha de implementación del PCI DSS (1° de junio). "No creemos en cortarlos y apartarlos, por el contrario: nuestro objetivo es preservar y hacer crecer los canales de distribución indirectos de las compañías aéreas y, para ello, asegurar la seguridad de los datos del cliente es lo más importante". Sinclair anticipó la posibilidad de implementar un proceso de flexibilización que brinde más tiempo.

El quién es quién.
Lo curioso es que al analizar la documentación que el propio sistema PCI DSS distribuye se puede ver que solo un puñado de empresas turísticas poseen la certificación. Desde grupos hoteleros como Accor o Marriott, a líneas de cruceros como Carnival, rentadoras de autos como Hertz y grandes agencias de viajes corporativas globales como BCD o Carlson Wagonlit Travel, integran la lista. En cuanto a aerolíneas, específicamente, apenas un puñado: Air Canada, Alaska Airlines, British Airways, Brussels Airlines, Delta, Easyjet, Emirates, Hawaiian, Qantas y la canadiense Westjet.

 

 
¿En qué consiste?

El programa consta de 12 requisitos básicos agrupados en seis ítems, a saber:
* Desarrollar y mantener una red segura:
- Requisito 1: Instalar y mantener una configuración
de cortafuegos para proteger los datos de los propietarios de tarjetas.
- Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
* Proteger los Datos de los propietarios de tarjetas:
- Requisito 3: Proteger los datos almacenados de
los propietarios de tarjetas.
- Requisito 4: Cifrar los datos de los propietarios
de tarjetas e información confidencial transmitida
a través de redes públicas abiertas.
* Mantener un Programa de Gestión de Vulnerabilidades:
- Requisito 5: Usar y actualizar regularmente un
software antivirus.
- Requisito 6: Desarrollar y mantener sistemas y
aplicaciones seguras.
* Implementar Medidas sólidas de control de acceso:
- Requisito 7: Restringir el acceso a los datos tomando
como base la necesidad del funcionario de conocer la información.
- Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
- Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
* Monitorizar y probar regularmente las redes:
- Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
* Mantener una Política de Seguridad de la Información
- Requisito 12: Mantener una política que contemple la seguridad de la información."