• Vendas +55 (11) 2109.8500
  • Solicite contato
  • Suporte
    ERP Corporativo (47) 3321-1330
    Logística TMS (47) 3321-1301
    Logística WMS (47) 3321-1311
    Turismo (47) 3321-1332
    Jurídico (47) 3321-1326
    RH (47) 3321-1340
    Saúde (44) 2101-0800
  • Área do cliente
  • Área do colaborador
Viagens Corporativas

IATA - Tudo o que você precisa saber sobre as atualizações para ficar em compliance

12 de Abril de 2018 | por Equipe Benner

As agências de viagens estão se movimentando para a certificação do PCI-DSS (Payment Card Industry Data Security Standard), exigida pela IATA (Associação Internacional de Transportes Aéreos), que entrou em vigor em 1º de março. Estima-se que somente o setor de viagens tenha prejuízos anuais de cerca de US$ 1 bilhão com fraudes mundiais, segundo estudo da IATA. A partir do final do mês, as agências de viagens que não estiverem em compliance receberão uma notificação.

O que é compliance?

Essa deve a questão que está na sua mente.

De forma simplificada, compliance significa estar em conformidade com as leis e normas que regem uma atividade. E, de quebra, de acordo com as melhores práticas de negócio para sua empresa.

O PCI deve acabar com o fluxo de dados de cartões de crédito. O objetivo é proteger os interesses do consumidor no momento da compra de serviços de viagem. Veja a seguir os requisitos que sua agência deverá atender para conseguir a certificação.

O que as agências de viagens devem saber

Em linhas gerais, para estar em compliance com o PCI é preciso fazer mudanças respeitando 12 requisitos em seis categorias:

1 - Construir e manter uma rede segura

- Instalar e manter uma configuração de firewall para proteger os dados,
- Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança,

2 - Proteger os dados do titular do cartão

- Proteger os dados armazenados (criptografia de uso),
- Codificar a transmissão dos dados do titular do cartão e informações sensíveis através de redes públicas,

3 - Manter um programa de gerenciamento de vulnerabilidades

- Usar e atualizar regularmente o antivírus,
- Desenvolver e manter sistemas e aplicativos seguros,

4 - Implementar medidas rigorosas de controle de acesso

- Restringir o acesso aos dados por parte das empresas,
- Atribuir um ID (identidade) único para cada pessoa com acesso ao computador,
- Restringir o acesso físico aos dados do portador do cartão,

5 - Monitorar e testar as redes regularmente

- Acompanhar e monitorar todo o acesso aos recursos da rede e dos dados do portador do cartão
- Testar regularmente os sistemas e processos de segurança.

6 - Manter uma política de Segurança da Informação

- Manter uma política que aborde a segurança das informações

Processo de comprovação de compliance

A comprovação da implantação dos requisitos será tratada de duas formas pela IATA. As agências de viagens que efetuam mais de seis milhões de transações em cartões anuais deverão apresentar a certificação PCI. O certificado de compliance é emitido por um auditor credenciado pelo PCI Security Standards Council.

Já as pequenas e médias agências, que efetuam menos de seis milhões de transações por ano, devem preencher uma declaração de conformidade com a norma para obter a certificação.

Mas aqui vale um alerta: já está previsto um processo de comprovação dos formulários. Caso a agência não esteja seguindo o novo padrão na prática, ou não envie o formulário preenchido, corre o risco de perder o acesso ao método de pagamento por cartão.

Segundo o gerente de Comunicação Corporativa para a América Latina, da IATA, Jason Sinclair, o objetivo é preservar e crescer os canais de distribuição indireta das companhias aéreas. Assim, garantir a segurança dos dados do cliente é primordial.

Outra coisa que a entidade está fazendo é o desenvolvimento de um processo mais flexível para a certificação. O objetivo é não prejudicar os negócios dos agentes. Porém, todos têm de cumprir seu papel. As agências de viagens precisam avaliar seus processos e entender que essa adequação é necessária.

Custo do PCI compliance

A certificação PCI tem validade de um ano e não tem custo. Mas a adequação a todos os requisitos exige investimentos, especialmente em software. A própria IATA admite que seguir os novos padrões não é tarefa simples. Por isso criou um grupo de trabalho para discutir soluções e facilidades ao mercado.

Em função das diretrizes e dos prazos estabelecidos pela IATA, as agências de viagens estão diante de duas opções. Uma é preencher o formulário técnico e fazer testes trimestrais de invasão de sistemas. A outra é se engajar na causa da segurança digital e buscar a certificação PCI.

Neste caso, é um trabalho de mudança da cultura interna, novos procedimentos técnicos e de comportamento no trato da informação. Em especial, informações relacionadas aos dados de cartão de crédito.

Afinal, o PCI chega para ensinar como blindar as informações, além de gerar negócios e vantagens competitivas. No mercado corporativo, a auditoria dos clientes está cada vez mais exigente.

viagem_corporativa_ benner

Comente