IATA dejará de operar con las agencias que no cumplan con PCI DSS

Desde principios de este año, IATA ha estado notificando a las agencias de viajes asociadas en todo el mundo sobre la necesidad de implementar el cumplimiento de PCI DSS en sus operaciones de Medios de Pago. De hecho, ya en la Resolución 854 del 1 junio de 2016 (se recogía este punto, y que venía de una resolución anterior). En una de sus últimas notificaciones, tras la reunión de su grupo de trabajo del IATA's Passenger Agency Conference Steering Group (PSG) se decidió modificar las fechas de cumplimiento.

Esta nueva ACTA del 3 de abril es muy relevante dado que confirma la importancia que IATA concede a que las agencias asociadas cumplan con PCI DSS, pero también asume que el cumplimiento de esta norma no es trivial e implica cambios importantes para éstas. Por tanto, el cumplimiento obligatorio de PCI DSS se retrasa del 1 de junio de 2017 al 1 marzo de 2018.

A la pregunta principal de ¿qué implicará el no cumplimiento llegada la fecha? IATA deja claras las diferentes responsabilidades, y entre estas se encuentra la posibilidad de impedir seguir operando a la agencia incumplidora, pero hay más:
  • Pérdida de confianza de los clientes.
  • Repudio en ventas.
  • Pérdidas por fraude.
  • Mayores inversiones por un cumplimiento tardío.
  • Costes legales, judiciales y de compensación a terceros.
  • Multas y taxas.
  • Terminación de operaciones con pago electrónico.
  • Finalización del negocio.

Sin duda alguna, IATA le da la importancia que se merece a PCI DSS y, en el nuevo microsite de "PCI DSS & Travel Agent Compliance Requirements" las agencias van a poder encontrar información relevante en cuanto al cumplimiento.

IATA está haciendo esfuerzos importantes intentando concienciar a las agencias en los puntos sensibles de compromiso y las situaciones en las cuales pueden producirse el robo de datos de tarjetas de pago como son:
  • Compromiso de lectores de tarjetas
  • Acceso a documentos en papel que incluyen los datos de tarjeta.
  • Datos de pago en Bases de Datos de sistemas de pago.
  • Cámaras ocultas en sistemas de introducción de PIN en ATM o en PoS
  • Accesos ilegítimos en redes cableadas o inalámbricas.

¿Cómo cumplir con PCI DSS y los requerimientos de IATA?
IATA establece un proceso de 3 pasos que deben seguir las Agencias:

1. Revisar los requerimientos de las marcas de tarjetas.
Cada agencia deberá validar con su entidad adquiriente los procedimientos particulares asociados a las franquicias de tarjetas.

De hecho, este punto será sencillo dado que los adquirientes suelen unificar el que el criterio debe pasar por un ejercicio de evaluación que deberá tener en cuenta el tipo de procesos de pago que se realizan.

2. Evaluación con un QSA.
Será necesario contar con una empresa certificada QSA (Qualified Security Assesor) por el PCI SSC para llevar a cabo la evaluación de cumplimiento.

Es importante tener presente que en la sección de Preguntas Frecuentes del microsite sobre el cumplimiento de PCI DSS y en el documento ampliado de FAQs de IATA se menciona la existencia de los SAQ (Self Assesment Questionarie o Cuestionarios de AutoEvaluación). Cuando las agencias (que será en la mayoría de los casos) no deban llevar a cabo la Auditoría on-site, será necesario disponer del SAQ apropiado y será conveniente (si no necesario) que este esté supervisado y firmado por un QSA que garantice que el contenido es correcto y la agencia está reportando correctamente su cumplimiento.

Según el criterio de IATA, el QSA aportará en la evaluación, además:
  • Verificar toda la información técnica facilitada por el comercio (la agencia) o el proveedor de servicios.
  • Disponer del criterio evaluador adecuado para confirmar que el cumplimiento es el correcto.
  • Proveer el soporte y la guía durante el proceso de implementación.
  • Llevar a cabo las revisiones en sitio durante el proceso de Evaluación cuando sea requerido.
  • Seguir los procedimientos exigidos por PCI DSS en todas las actividades de evaluación.
  • Validar que el ámbito de cumplimiento es correcto.
  • Evaluar los controles compensatorios viables e implementados.
  • Redactar la documentación final de Reporte del Cumplimiento (RoC y AoC)

3. Reporting.
Los informes de cumplimiento son las herramientas documentales mediante las cuales los comercios y otras entidades (en este caso agencias y/o proveedores de servicio), reportan su cumplimiento con PCI DSS a las marcas de tarjetas o a sus correspondientes entidades financieras adquirientes. Estos informes deberán ser entregados a IATA como evidencia del cumplimiento.
Es por esto que resulta de suma importancia que un reporte de cumplimiento defectuoso podría poner en riesgo las operaciones de la agencia en condiciones de compromiso de datos de pago por llegar a suponer un reporte fraudulento de su cumplimiento (fuera por error u omisión). Dependiendo de la cantidad de transacciones, la agencia deberá entonces tener en cuenta el tipo de reporte a presentar:
  • El Atestado de Cumplimiento de PCI DSS (AOC) que deberá ser cumplimentado y firmado por el QSA que realizó la tarea.
  • El Cuestionario de Auto-Evaluación (SAQ) adecuado según el tipo de procesos de pago, firmado por un oficial o representante autorizado de la compañía (y que podrá ser supervisado, validado y firmado también por un QSA).
  • El resultado del escaneo de vulnerabilidades trimestral, que deberá ser realizado por un ASV (Approved Scaning Vendor) homologado también por el PCI SSC.
Cómo ayudamos a las Agencias
Internet Security Auditors cuenta con más de 10 años de experiencia en la implementación de los controles de PCI DSS en el sector del turismo, siendo España uno de los países donde éste es uno de los más relevantes en el PIB y la cantidad y diversidad de empresas del sector es de los mayores a nivel mundial.

El hecho de haber formado y ayudado a multitud de empresas para la AutoEvaluación, la supervisión y soporte de reporte mediante los SAQs, su selección y cumplimentación, pero también en procesos complejos de implementación y auditoría o de análisis de vulnerabilidades trimestral, nos permite cubrir, como empresa certificada como QSA, PA-QSA y ASV cualquier escenario, donde uno de las primeras acciones será la de definir procesos de acotación y reducción del ámbito de cumplimiento.


Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors

6 comentarios:

Anónimo dijo...

Estimados,
En el articulo se menciona que un requerimiento obligatorio es que se realice una evaluacion por medio de un QSA:

"2. Evaluación con un QSA.
Será necesario contar con una empresa certificada QSA (Qualified Security Assesor) por el PCI SSC para llevar a cabo la evaluación de cumplimiento."

El presente parrafo conlleva directamente a una confusion pues todo mercado que no sea nivel 1 (segun la cantidad de transacciones y especificacion de las procesadoras), los SAQ y AOC (documentos necesarios para la certificacion) no deben ser completados por un QSA.
Realmente me llama la atencion este parrafo ya que impulsa a las empresas a atender un costo mayor.

Internet Security Auditors dijo...

El término “evaluación de cumplimiento” es equivalente a la “auditoría de certificación de cumplimiento” o del inglés “compliance assesment”. Estas revisiones siempre y únicamente las puede llevar a cabo una compañía QSA. En el caso de las agencias aplicará a los Niveles 1 y, opcionalmente y recomendado por alguna de las marcas, por los Niveles 2.

Precisamente, el siguiente párrafo es el que deja claro en el artículo que existe la posibilidad de que se tenga que demostrar el cumplimiento con un SAQ o Cuestionario de Auto-Evaluación y entendemos que viene de ahí su duda. En este caso, un QSA puede llevar a cabo la toma de evidencias, revisión y firma del SAQ como garantía de confianza ante terceros. Esto NO es obligatorio e IATA simplemente lo recomienda o plantea como opción. El SAQ deberá firmarlo un representante legal de la empresa que lo cumplimenta y la firma del QSA será siempre adicional. Ningún otro actor podrá firmar un SAQ en el proceso de reporte del cumplimiento.

JP BOSSA dijo...

Bueno sdias.
Como se que nivel es mi agencia y como contactamos con un QSA, mi agencia esta en Agentina.

Gracias.

Internet Security Auditors dijo...

Buenos días JP BOSSA,
Los niveles de clasificación de comercios y proveedores de servicio los realizan las marcas de tarjeta de pago y no es parte de la norma PCI DSS. Estos niveles vienen dados, principalmente, por la cantidad de transacciones anuales por marca.

Puede consultar nuestro artículo publicado hace un tiempo http://blog.isecauditors.com/2014/06/niveles-listas-y-certificados-de-cumplimiento-pcidss.html sobre el tema y las páginas de VISA y Mastercard sobre los detalles de los niveles de cumplimiento.

De VISA puede encontrar la información en:
https://usa.visa.com/support/small-business/security-compliance.html#2
Para Mastercard en:
https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/merchants-need-to-know.html.

JP BOSSA dijo...

Gracias, Como contactamos con un QSA?

Internet Security Auditors dijo...

Nuestra compañía lo es. Puede contactar con nosotros a través del formulario de contacto en nuestra web: https://www.isecauditors.com/contacto, por teléfono en cualquiera de nuestras oficinas más cercanas o facilitándonos sus datos de contacto al correo comercial@isecauditors.com.

Publicar un comentario