Sector turístico – Agencias de Viajes y la normativa PCI-DSS

A2Secure

Hace prácticamente un año que IATA (la Asociación Internacional del Transporte Aéreo) solicitó el cumplimiento de la normativa PCI-DSS a las agencias de viajes, siempre que quisieran emitir un billete de avión a través del BSP con tarjeta de crédito, ya fuera con su tarjeta corporativa de agencia o con la tarjeta del cliente final.

El obligado cumplimiento que exigió IATA a las agencias de viajes fue principalmente para asegurar que el canal de venta de billetes de avión a través de los GDS’s, y en consecuencia, el cobro que llegaba a las aerolíneas con el pago con tarjeta de crédito, fuera seguro. El objetivo era disminuir el riesgo de las aerolíneas y asegurar que toda la cadena, desde el inicio de la reserva hasta el cobro, tuviera unas medidas de seguridad robustas, como marca la normativa PCI-DSS.

Es cierto que durante este año, la mayoría de las agencias de viajes y asociaciones de agencias de viajes han tenido que luchar contra corriente para entender que era lo que IATA solicitaba, como debían de cumplir con esta nueva exigencia y cómo les afectaría.

Las empresas especializadas en servicios PCI entran en juego

La mayoría de las agencias de viajes se pusieron en contacto con sus asociaciones para que les orientaran y les asesoraran para cumplir con esta normativa.
Gracias a la colaboración entre las asociaciones de agencias y empresas especializadas en el cumplimiento de la normativa PCI-DSS como A2SECURE, las agencias pudieron cumplir con los requerimientos que exigía IATA, a tiempo, para asegurar que no perdían el canal de venta de billetes con tarjeta de crédito.

  Nuevos Requerimientos PCI-DSS para Merchants

Desde A2SECURE, hemos ayudado a un gran número de agencias de viajes a conseguir el cumplimiento de esta normativa, explicando desde el primer momento, a través de asociaciones, charlas y reuniones personalizadas que era la normativa y como ésta les afectaba en cada caso.

La normativa PCI no afecta a todas las agencias de la misma forma

Si bien, cuando uno piensa en una agencia de viajes, cree que lo único que hacen es vender paquetes vacacionales o billetes de avión y que todas funcionan igual, pero la realidad no es ésta. Cada agencia es distinta, y si bien es cierto que existen procesos comunes, no les afecta igual la normativa PCI-DSS a una agencia on-line que solo realiza cobros a través de e-commerce, que una agencia física que dispone de datafonos bancarios, a otra que dispone de TPV PC’s, a una que es mayorista, etc.

Al igual que no todas las agencias son iguales y cada una dispone de unos procesos de cobro similares pero a la vez distintos, cuando se aplica la normativa PCI-DSS a las agencias de viajes, se debe de aplicar entendiendo la casuística de cada una de ellas. Es decir, como ellas gestionan los datos de tarjeta de crédito, que sistemas utilizan, por donde viajan los datos de tarjeta de sus clientes y analizar en detalle cada uno de los procesos, para poder aportarles la mejor solución o la solución que más se ajusta a sus necesidades, sin impactar en grandes costes ni en grandes cambios, ni procedimentales ni tecnológicos, para asegurar que cumplen con la normativa, pero siempre teniendo en cuenta sus necesidades de negocio.

  ¡No dejes de lado la ciberseguridad durante tus vacaciones!

A través de las últimas notificaciones de IATA detalladas en el Manual del Agente de Viajes Edición Resolución 812 & 818g (junio 2018) se establece que para el próximo año 2019, si bien IATA está incorporando el nuevo sistema NewGen de ISS, junto con el Sistema Easy Pay en la mayoría de los países. No obstante, si bien habrá cambios a nivel tecnológico del BSP, especifica en la resolución 819 que las agencias de viajes que sigan emitiendo billetes con tarjeta de crédito a través del BSP, deben seguir cumpliendo con la normativa PCI-DSS y en caso de no cumplir se procederá a bloquear la compra de billetes con tarjeta de crédito a través del BSP hasta que no se proporcione el cumplimiento de la agencia con la normativa PCI-DSS a IATA.

Por consiguiente, si todavía no estás adecuado a la normativa PCI-DSS y quieres que una empresa especializada te ayude, en A2SECURE te lo ponemos fácil ¡Contáctanos!

Leave a Comment