• Vendas +55 (11) 2109.8500
  • Solicite contato
  • Suporte
    ERP Corporativo (47) 3321-1330
    Logística TMS (47) 3321-1301
    Logística WMS (47) 3321-1311
    Turismo (47) 3321-1332
    Jurídico (47) 3321-1326
    RH (47) 3321-1340
    Saúde (44) 2101-0800
  • Área do cliente
  • Área do colaborador
Viagens Corporativas

Transforme sua agência de viagens com compliance em PCI

28 de Março de 2018 | por Equipe Benner

Com as exigências da IATA (Associação Internacional de Transportes Aéreos), em relação à regulamentação do PCI compliance nas agências de viagens, que entrou em vigor em 1º de março, o segmento está agitado. A medida requer que as agências adotem uma série de ações para garantir a segurança dos dados dos cartões de crédito dos clientes.

Atualmente a segurança é uma preocupação mundial, em todos os segmentos que lidam com transações on-line com cartão de crédito. Projeção do Gartner indica que os gastos mundiais das empresas com segurança da informação devem chegar este ano a US$ 96,3 bilhões, 8% a mais que no ano passado. E você, que tem uma agência de viagens, como está organizando sua empresa para a adequação a essas medidas?

Como estruturar o processo para compliance

Compliance significa estar em conformidade com as leis e normas que regem uma atividade. Auxilia a ter mais competitividade, mais segurança e estabilidade nas relações comerciais. 

Assim, para estar em compliance com o PCI, a IATA determinou duas formas:

  1. As agências de viagens que efetuam mais de seis milhões de transações em cartões anuais deverão apresentar a certificação PCI. Neste caso, o certificado de compliance deverá ser emitido por um auditor credenciado pelo PCI Security Standards Council.
  2. Já as pequenas e médias agências, que efetuam menos de seis milhões de transações por ano, devem preencher uma declaração de conformidade com a norma para obter a certificação. 

Nos dois casos, será necessário que as agências de viagens adotem controles básicos de segurança. Quais seriam esses controles? Bem, o mínimo a fazer para se adequar é preparar a infraestrutura básica do seu ambiente de TI.

Veja as cinco ações mais importantes para proteger seus dados:

Adote a criptografia 

Arquivos com relatórios sensíveis, como planilhas financeiras, devem ser protegidos por sistemas de criptografia. Há diversas soluções disponíveis no mercado, algumas gratuitas, que transformam o arquivo em um conjunto de códigos indecifráveis. A não ser, é claro, por quem possui a senha para abri-lo. Esse cuidado protege dados sensíveis que circulam por e-mail ou estão guardados em notebooks ou smartphones, que podem ser perdidos ou roubados.

Exija o uso de senhas fortes 

De nada adianta o investimento em criptografia ou redes de dados privativas, como as VPNs, se os colaboradores criarem senhas fracas, com poucos dígitos e combinações simples. Segundo os especialistas, o ideal é exigir a criação de senhas com oito ou mais caracteres, misturando o uso de letras maiúsculas e minúsculas, números e caracteres especiais, como vírgulas ou asterisco. Além disso, as senhas devem expirar em prazos regulares, forçando a troca da chave de acesso.

Adote Redes Privadas Virtuais (VPNs, sigla em inglês) 

Tipo de conexão privada entre um dispositivo autenticado e a nuvem de uma empresa ou a internet. É a rede por onde só trafegam usuários autenticados e sem a interferência de terceiros, que poderiam capturar dados que circulam numa conexão comum, como um Wi-Fi público, por exemplo.

Faça termos de confidencialidade

No dia a dia, funcionários, colaboradores terceirizados e fornecedores de serviços de TI precisam acessar dados confidenciais de sua empresa. A recomendação dos especialistas é a de que as empresas façam termos de confidencialidade com estes agentes. Este cuidado aumenta o grau de comprometimento dos colaboradores com a segurança da informação. Além disso, também dá proteção legal à empresa no caso de vazamentos de dados.

Treine seus funcionários 

Também é importante que as agências de viagens invistam em treinamentos de segurança dos funcionários. De nada adianta o colaborador criar uma senha difícil e depois deixá-la anotada em um pedaço de papel sobre sua mesa. Ou ainda compartilhá-la com os colegas. O treinamento, além de ensinar aspectos técnicos da proteção de dados, deve ser capaz de engajar os colaboradores. É preciso que compreendam as ameaças virtuais e os graves prejuízos que podem causar à empresa caso não cumpram as medidas indicadas para proteção dos dados.

Certificação PCI nas grandes 

No caso das grandes agências de viagens, o investimento será maior. Um projeto adequado de PCI não se faz sozinho, até porque, se você tiver que se certificar, será exigida a presença de uma empresa QSA (Qualified Security Assessor) e também de um profissional qualificado em Segurança desta empresa.

Sim, você não entendeu errado, empresa e profissional têm de ter uma certificação específica (QSA) fornecida pelo PCI Council.

Mas você não precisa do especialista QSA em todos os momentos do projeto. Em geral, tais trabalhos são realizados em quatro fases:

# 1 Análise de gaps, em que um especialista em segurança lhe fará os questionamentos, pedindo evidências para responder ao seu nível de aderência ao padrão

# 2 Plano de ação, para atingir a total compliance, com base nos itens que não estão aderentes

# 3 Remediação ou conserto dos pontos não conformes, levantados na análise dos gaps e incluídos no plano

# 4 Certificação PCI

Nessa etapa do projeto, o especialista confirma todos os itens em compliance e lhe outorga a certificação, a partir da comunicação oficial do PCI Council.

Diante dos riscos atuais de fraudes, com a preocupação dos clientes em fornecerem dados de cartões para pagamentos on-line, estar em compliance com o PCI traz muitas vantagens para sua agência de viagens. A certificação garante que quaisquer questões de responsabilidade decorrentes de uma violação sejam mínimas. Você conquista a confiança e a lealdade do cliente. Além disso, mantém a boa reputação da sua empresa e, por consequência, lucra mais. Percebeu como todos ganham com o processo de certificação PCI?
viagem_corporativa_ benner

Comente