La Asociación lo postergó hasta marzo próximo. Fue a instancias de las asociaciones de agencias de viajes. Muchos dirigentes son escépticos, de todos modos, con que se pueda alcanzar satisfactoriamente esa nueva fecha.
La batalla tuvo lugar en Montevideo, en el marco de la última reunión del APJC (Agency Programme Joint Council, Consejo Conjunto del Programa de Agencias) de la IATA. “Tuvimos que ser muy vehementes para lograr la postergación”, explicó un dirigente presente en el cónclave. Lo cierto es que la IATA decidió postergar la entrada en vigencia de la certificación PCI-DSS para las agencias de viajes socias. Y la noticia corrió como un reguero de pólvora. El 29 de marzo, por ejemplo, las agencias de viajes brasileñas recibían una comunicación de Carlos Ebner, country director de IATA para Brasil, quien explicaba que la entrada en vigencia se había postergado del 1° de junio próximo a marzo de 2018. También desde Brasil surgió el dato de que según la IATA, los fraudes con tarjeta de crédito representan para el sector una pérdida anual cercana a los US$ 1.000 millones.
La cuestión es que persiste el pesimismo entre los dirigentes de las asociaciones de agencias de viajes de Folatur, entendiendo que el plazo de postergación es insuficiente y que pocas empresas lograrán llegar a la certificación para la fecha tope de marzo de 2018.
¿Y AHORA?
“Respecto al cumplimiento, hay varias variables que deben ser tenidas en cuenta para que un comercio (agencia de viajes, aerolíneas, motores de reservas, etc.) identifique si debe cumplir con PCI-DSS y qué controles le aplican a su entorno. En función de la cantidad de transacciones anuales que se procesen y a si existe o no almacenamiento de datos de tarjetas, se debe proceder con el reporte de cumplimiento empleando un Cuestionario de Autoevaluación (o SAQ) o proceder con una auditoría”, explicó a La Agencia de Viajes, David Acosta, editor principal del portal PCI Hispano (www.pcihispano.com), especialista en la materia. Y agregó: “También es importante aclarar que dependiendo del tipo de canal que use el comercio (e-commerce, TPV físico, TPV virtual, etc.), se debe usar un cuestionario de autoevaluación u otro, que se diferencian entre sí porque son un subconjunto de controles de PCI-DSS que aplican a ese canal en particular”.
Según Acosta: “Todo depende del entorno que tengas, de los canales de pago implementados y de si almacenás o no datos de tarjetas de pago. El peor escenario es aquel en que el comercio no tiene conciencia del riesgo potencial de fraude con las tarjetas de pago que tiene en su poder, por lo que es imprescindible la implementación de controles y es por esto que PCI-DSS es tan importante”.
Para Acosta, los controles que pide el estándar “no están vinculados a ninguna tecnología o fabricante en particular, por lo que se puede usar software Open Source o software licenciado. Y si se requiere de una auditoría, se debe contratar a un asesor QSA, que es el único que puede generar los informes de auditoría (y por supuesto, validar el cumplimiento)”.
Por último, Acosta opinó que “el problema es que hay desconocimiento del estándar y la creencia de que la implementación es costosa. Obviamente, cualquier cambio operativo y despliegue de controles de seguridad tiene un coste, pero ese coste es infinitamente más pequeño que los costes que se deberían pagar si la empresa sufre un incidente de seguridad que comprometa sus datos”.
Fuente: Ladevi
08/04/2017