A partir do dia 1º de março de 2018 entra em vigor para todas as agências de viagens e turismo associadas à IATA (International Air Transport Association), a conformidade dos requisitos previstos no padrão de segurança da indústria de cartões de crédito, o PCI DSS, mas o que estamos notando é que há ainda muitas agências que sequer sabem o que tem de ser feito e aquelas poucas que sabem, não possuem infraestrutura adequada e documentação formal de seus processos para o cumprimento dos controles exigidos na norma, ou seja, se o objetivo da IATA era elevar o nível de segurança da informação de seus parceiros para reduzir os índices de fraudes no setor, podemos afirmar que na prática, o cenário continua o mesmo. E não foi por falta de prazo, como poderemos observar a seguir.
Quando iniciou este processo?
Em junho de 2014, a IATA divulga em seu site a resolução 890, onde ela determinava algumas regras para venda com cartões e entre outras ações, havia a referência do padrão de segurança PCI DSS:
2.1.6 O Agente deverá assegurar a completa conformidade com os padrões de segurança de dados da indústria de pagamento com cartão (Payment Card Industry (PCI) Data Security Standards), como previsto pelas Administradoras de Cartão de Crédito e disponibilizado para os agentes pela IATA, e que todos os dados do cartão obtidos durante o processo de completar a transação com cartão sejam tratados, guardados e transmitidos com a adequada consideração a segurança dos dados.
Pois bem, passado algum tempo da publicação da resolução, nada até então havia realmente acontecido no mercado brasileiro que motivasse a procura por adequação a este padrão, até que a entidade comunica que as agências associadas no Brasil devem adotar o padrão PCI DSS até 1º de junho de 2017, com base na resolução 818g :
2.1.18 O Agente deve garantir a sua plena conformidade com os Padrões de Segurança de Dados da Indústria de Cartão de Pagamento (PCI), conforme fornecido pelas empresas do Cartão e disponibilizado aos agentes através da IATA, e que todos os dados de cartão sensíveis obtidos durante o processo de conclusão de uma transação de venda de cartão são manipulados, armazenados e transmitidos com o devido respeito à segurança dos dados. O incumprimento destes requisitos, quer como parte do processo de Credenciamento, quer a qualquer momento, por solicitação da IATA, resultará na emissão de um Aviso de Irregularidade ao Agente. O aviso incluirá uma linha de tempo definida para que o Agente cumpra os requisitos estabelecidos e o Agente será obrigado a fornecer uma prova de conformidade. Quando o Agente fornece prova de conformidade, a IATA retirará o Aviso de Irregularidade.
Obviamente o setor não estava preparado para absorver o nível elevado de controles de segurança, como previsto no padrão PCI DSS. Observando isso, a IATA adia o prazo para 1º de março de 2018 e altera a forma de punição para aquelas agências que não conseguirem cumprir as exigências das resoluções.
Falta de orientação e desinformação no mercado
Apesar da delimitação da data, notamos que ao longo de 2017 diversos artigos sobre o assunto começam a ser publicados, principalmente em portais ligados ao setor de viagens e turismo, mas com ausência de detalhes sobre o que exatamente seria a conformidade do padrão PCI e como isso seria realmente aplicado na prática.
Termos mal interpretadas levaram algumas agências a buscarem a “Certificação PCI DSS” para o seu estabelecimento, algo que além de complexo, por exigir um elevado grau de maturidade nos processos do negócio e na administração dos recursos de Tecnologia da Informação, era financeiramente inviável para maioria das agências do país, porém, o que a maioria não sabia era que a “Certificação” propriamente dita não era uma obrigação para todas as agências, mas somente para aquelas que estivessem enquadradas em alguns parâmetros baseados no volume de transações com cartões. E quem define essa métrica? As bandeiras de cartões de crédito, que são as criadoras do Conselho do PCI e responsáveis pela sua elaboração.
Para exemplificar, apresentamos abaixo a referência da Visa, a principal bandeira do setor de cartões do Brasil, representando mais de 40% das transações no nosso mercado:
Dependendo da bandeira, podem haver algumas variações, mas de modo geral, este é o critério base para definir quem precisa da Certificação e quem precisa da Aderência da norma PCI. A maior parte das agências do país se enquadram o nível 4, ou seja, nem todas são obrigadas a buscar uma empresa certificadora, que possui um QSA (sigla para Assessor de Segurança Qualificado).
Essa falta de clareza não acaba na identificação do nível de atendimento que cada estabelecimento se enquadra. Até o momento não há uma definição por parte da IATA sobre o que vai acontecer a partir de 1º de março de 2018, nem como e quando será efetivamente comprovada a adoção dos controles previstos no PCI DSS. Agências que concluíram o processo de preenchimento do seu SAQ (Questionário de Autoavaliação) não sabem qual é o próximo passo.
O que podemos afirmar é que este processo de avaliação dos controles do PCI será continuo e que o trabalho não se resume apenas no preenchimento do documento, mas na adoção de ferramentas de tecnologia, na elaboração de processos formais e na capacitação da equipe de colaboradores para que de forma efetiva, possam realmente reduzir os riscos de uma fraude ou de um incidente de segurança em suas operações.
O que fazer agora?
Temos a partir desta data dois cenários:
1. Agências que ainda não concluíram o preenchimento do SAQ: Estas agências devem identificar o Questionário de Autoavaliação aplicável ao seu ambiente de negócio (são 9 tipos de SAQ) e preencher o quanto antes, pois a qualquer momento a IATA poderá solicitar o envio dessa documentação para análise. É importante destacar que para todas as respostas que afirmem a adoção de determinado controle, é recomendável a apresentação de uma evidência que comprove o cumprimento de tal requisito. Não é apenas responder SIM para atender o requisito, mas provar que tal prática é seguida pela empresa. Podemos auxiliar as empresas com:
- Preenchimento do SAQ – Self Assesment Questionnaire;
2. Agências que concluíram o preenchimento do SAQ: Se sua agência concluiu o preenchimento do Questionário de Autoavaliação, é muito provável que parte dos requisitos não foram atendidos por completo, o que significa que os responsáveis pela agência deverão ter um Plano de Ação, que definirá o que será feito para atender o requisito e quando ele estará em conformidade. Neste cenário, podemos auxiliar fornecendo os seguintes serviços e soluções:
- Firewall e Filtro de Conteúdo para controle da rede;
- Antivírus para servidores e estações de trabalho;
- Sistema de inventário automatizado para gestão dos ativos de TI;
- Testes de Intrusão (Pentest);
- Elaboração de Políticas e Procedimentos de Segurança da Informação;
- Consultoria para Avaliações de Risco;
- Treinamento para capacitação e conscientização dos colaboradores.
Consulte-nos e esclareça suas dúvidas, sejam elas técnicas ou comerciais.
Maiores informações, entre em contato conosco:
Site: https://www.abctec.com.br/contato/
Telefone: (11) 4393-2400
e-mail: contato@abctec.com.br
Fontes consultadas: IATA / ABCTec
Imagens: Pixabay
Texto: Comunicação – ABCTec
