Desde principios de este año, IATA ha estado notificando a las agencias de viajes asociadas en todo el mundo sobre la necesidad de implementar el cumplimiento de PCI DSS en sus operaciones de Medios de Pago. De hecho, ya en la
Resolución 854 del 1 junio de 2016 (se recogía este punto, y que venía de una resolución anterior). En una de sus últimas notificaciones, tras la reunión de su grupo de trabajo del IATA's Passenger Agency Conference Steering Group (PSG) se decidió modificar las fechas de cumplimiento.
Esta
nueva ACTA del 3 de abril es muy relevante dado que confirma la importancia que IATA concede a que las agencias asociadas cumplan con PCI DSS, pero también asume que el cumplimiento de esta norma no es trivial e implica cambios importantes para éstas. Por tanto,
el cumplimiento obligatorio de PCI DSS se retrasa del 1 de junio de 2017 al 1 marzo de 2018.
A la pregunta principal de ¿qué implicará el no cumplimiento llegada la fecha? IATA deja claras las diferentes responsabilidades, y entre estas se encuentra la posibilidad de impedir seguir operando a la agencia incumplidora, pero hay más:
- Pérdida de confianza de los clientes.
- Repudio en ventas.
- Pérdidas por fraude.
- Mayores inversiones por un cumplimiento tardío.
- Costes legales, judiciales y de compensación a terceros.
- Multas y taxas.
- Terminación de operaciones con pago electrónico.
- Finalización del negocio.
Sin duda alguna, IATA le da la importancia que se merece a PCI DSS y, en el nuevo microsite de "
PCI DSS & Travel Agent Compliance Requirements" las agencias van a poder encontrar información relevante en cuanto al cumplimiento.
IATA está haciendo esfuerzos importantes intentando concienciar a las agencias en los puntos sensibles de compromiso y las situaciones en las cuales pueden producirse el
robo de datos de tarjetas de pago como son:
- Compromiso de lectores de tarjetas
- Acceso a documentos en papel que incluyen los datos de tarjeta.
- Datos de pago en Bases de Datos de sistemas de pago.
- Cámaras ocultas en sistemas de introducción de PIN en ATM o en PoS
- Accesos ilegítimos en redes cableadas o inalámbricas.
¿Cómo cumplir con PCI DSS y los requerimientos de IATA?
IATA establece un proceso de 3 pasos que deben seguir las Agencias:
1. Revisar los requerimientos de las marcas de tarjetas.
Cada agencia deberá validar con su entidad adquiriente los procedimientos particulares asociados a las franquicias de tarjetas.
De hecho, este punto será sencillo dado que los adquirientes suelen unificar el que el criterio debe pasar por un ejercicio de evaluación que deberá tener en cuenta el tipo de procesos de pago que se realizan.
2. Evaluación con un QSA.
Será necesario contar con una empresa certificada QSA (Qualified Security Assesor) por el PCI SSC para llevar a cabo la evaluación de cumplimiento.
Es importante tener presente que en la sección de Preguntas Frecuentes del microsite sobre el cumplimiento de PCI DSS y en el documento ampliado de
FAQs de IATA se menciona la existencia de los SAQ (Self Assesment Questionarie o Cuestionarios de AutoEvaluación). Cuando las agencias (que será en la mayoría de los casos) no deban llevar a cabo la Auditoría on-site, será necesario disponer del SAQ apropiado y será conveniente (si no necesario) que este esté supervisado y firmado por un QSA que garantice que el contenido es correcto y la agencia está reportando correctamente su cumplimiento.
Según el criterio de IATA, el QSA aportará en la evaluación, además:
- Verificar toda la información técnica facilitada por el comercio (la agencia) o el proveedor de servicios.
- Disponer del criterio evaluador adecuado para confirmar que el cumplimiento es el correcto.
- Proveer el soporte y la guía durante el proceso de implementación.
- Llevar a cabo las revisiones en sitio durante el proceso de Evaluación cuando sea requerido.
- Seguir los procedimientos exigidos por PCI DSS en todas las actividades de evaluación.
- Validar que el ámbito de cumplimiento es correcto.
- Evaluar los controles compensatorios viables e implementados.
- Redactar la documentación final de Reporte del Cumplimiento (RoC y AoC)
3. Reporting.
Los informes de cumplimiento son las herramientas documentales mediante las cuales los comercios y otras entidades (en este caso agencias y/o proveedores de servicio), reportan su cumplimiento con PCI DSS a las marcas de tarjetas o a sus correspondientes entidades financieras adquirientes. Estos informes deberán ser entregados a IATA como evidencia del cumplimiento.
Es por esto que resulta de suma importancia que un reporte de cumplimiento defectuoso podría poner en riesgo las operaciones de la agencia en condiciones de compromiso de datos de pago por llegar a suponer un reporte fraudulento de su cumplimiento (fuera por error u omisión). Dependiendo de la cantidad de transacciones, la agencia deberá entonces tener en cuenta el tipo de reporte a presentar:
- El Atestado de Cumplimiento de PCI DSS (AOC) que deberá ser cumplimentado y firmado por el QSA que realizó la tarea.
- El Cuestionario de Auto-Evaluación (SAQ) adecuado según el tipo de procesos de pago, firmado por un oficial o representante autorizado de la compañía (y que podrá ser supervisado, validado y firmado también por un QSA).
- El resultado del escaneo de vulnerabilidades trimestral, que deberá ser realizado por un ASV (Approved Scaning Vendor) homologado también por el PCI SSC.
Cómo ayudamos a las Agencias
Internet Security Auditors cuenta con más de 10 años de experiencia en la implementación de los controles de PCI DSS en el sector del turismo, siendo España uno de los países donde éste es uno de los más relevantes en el PIB y la cantidad y diversidad de empresas del sector es de los mayores a nivel mundial.
El hecho de haber formado y ayudado a multitud de empresas para la AutoEvaluación, la supervisión y soporte de reporte mediante los SAQs, su selección y cumplimentación, pero también en procesos complejos de
implementación y auditoría o de análisis de vulnerabilidades trimestral, nos permite cubrir, como empresa certificada como QSA, PA-QSA y ASV cualquier escenario, donde uno de las primeras acciones será la de definir procesos de acotación y reducción del ámbito de cumplimiento.
Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors