Nessa quinta-feira, 26 de abril de 2018 encerrou-se oficialmente o prazo de submissão do Atestado de Conformidade (AOC) do Padrão PCI-DSS no portal da IATA, pelo menos é o que a entidade declara no momento. Mas não se espante, pois como diz o slogan de uma famosa rádio FM brasileira, “Em 20 minutos tudo pode mudar”*.
Desde o início de 2017, os profissionais do setor de viagens e turismo brasileiro vem discutindo o tema, seja durante painéis em congressos ou em reuniões com as diferentes associações que representam as agências e a cada dia surgiam mais dúvidas do que respostas. Isso em grande parte se deu pela ausência de clareza da entidade que determinou em resolução, o cumprimento desse complexo padrão de segurança que ainda é muito pouco conhecido no país.
Com a falta de clareza da IATA, cada um buscou uma fonte para entender o que é o PCI-DSS e qual seria seu impacto no setor de viagens, mas isso acabou gerando muita confusão. Basta fazer uma rápida pesquisa na internet, principalmente nos portais especializados em turismo que você poderá comprovar a discrepância ao falar sobre o que é necessário para estar em conformidade com padrão PCI-DSS. Para muitas agências havia o entendimento que era preciso contratar um QSA – Qualified Security Assessor (Avaliadores Qualificados de Segurança), uma empresa qualificada e autorizada pelo PCI Security Standards Council (Conselho de Segurança do Padrão PCI) a executar auditorias para emissão da certificação PCI. Obviamente essas empresas (pouquíssimas no Brasil) investiram muito dinheiro para obter tal qualificação e é mais óbvio ainda de que estes custos são repassados aos clientes que as contratam. Muitas matérias que aparentavam ser jornalísticas, mas que na verdade tinham mais características de conteúdo patrocinado, era que nem todas as agências eram obrigadas a fazer este tipo de contratação. Pelo contrário, a maioria sequer precisaria contratar qualquer empresa para fazer este trabalho, pois se ela estivesse categorizada como sendo um comerciante que realizasse menos de 20.000 transações com cartões de pagamento ao ano, bastaria baixar do site do PCI o SAQ – Self-Assessment Questionnaire (Questionário de Autoavaliação) e o AOC – Attestation of Compliance (Atestado de Conformidade) adequado à operação da agência. Se os colaboradores da agência tivessem dificuldades na interpretação do grande volume de perguntas e termos específicos, muitos deles relacionados com a área de Tecnologia da Informação, então ela poderia buscar no mercado qualquer parceiro de negócio para auxiliar no preenchimento do SAQ.
Outra sigla que trouxe muita dúvida para as agências é a necessidade ou não de contratar um ASV – Approved Scanning Vendors (Fornecedor de Varredura Aprovado), que nada mais é do que uma empresa autorizada pelo Conselho de Segurança do Padrão PCI a realizar testes de intrusão e varreduras nas redes das empresas em processo de conformidade. Pois bem, novamente por falta de orientação, organizações que não eram obrigadas a contratarem um ASV, se viram confusas ao buscarem orçamentos no mercado das consultorias.
Desde o ano passado buscamos estabelecer contato com diferentes fontes que pudessem realmente trazer luz a essas questões para que de forma transparente, pudéssemos oferecer um serviço adequado à necessidade de cada negócio. Uma das partes que merecem o reconhecimento pelo empenho no esclarecimento das dúvidas no setor é o próprio PCI Security Standards Council, que em seu capítulo no Brasil, buscou auxiliar tanto agências como demais partes envolvidas no processo de conformidade, indicando o que se espera do mercado com a adoção de boas práticas de segurança. Porém a IATA como o principal ator desse novo cenário pouco contribui para alinhar as demandas do setor no Brasil e quando fez algo, fez tardiamente.
Para exemplificar, podemos citar a parceria da IATA com uma empresa QSA que foi amplamente divulgada às agências no Brasil, faltando apenas pouco mais de 1 mês para o cumprimento do no prazo redefinido para 1º de março de 2018. Até então, muitas agências ainda não tinham compreendido o que exatamente a IATA estava solicitando, chegando ao caso de confundirem a certificação PCI com um simples certificado digital, como se fosse um produto que era instalado do dia para a noite.
E essa percepção não é apenas nossa aqui no Brasil, pois buscando informações sobre o andamento desse processo em outras regiões pelo mundo, pudemos constatar que a falta de clareza era comum, mesmo em países tidos como de primeiro-mundo. O exemplo que trago entre outros é o posicionamento do Sindicato das Empresas de Viagens da França que esta semana procurou tranquilizar seus membros sobre as consequências da não aderência ao PCI, de acordo com o que espera a IATA. Como você poderá observar na reportagem da TourMag, a insatisfação e confusão nas agências da França é similar ao que estamos observando no Brasil. Entrevistados que estavam confusos com as suas novas obrigações estiveram dia 25 de abril na Assembleia Geral de Empresas de Viagens e disseram na reportagem:
“A IATA não colocaria mais e mais barreiras para liberar o máximo de pessoas possível?”, perguntou um deles.
“Eu não entendo isso, é outra barreira para nossas atividades, nem mais, nem menos”. “O que a IATA está fazendo?”, ele acrescentou.
Abaixo algumas reportagens e artigos que demonstram a dificuldade geral no entendimento e principalmente no cumprimento do padrão de segurança PCI:
Reportagem da TourMag (França)
Reportagem da Mensajero (Argentina)
Artigos da PFK Avantedge (Malásia)
No fim dessa etapa do processo, o que podemos afirmar é que a adoção de controles de Segurança da Informação trará reais benefícios a qualquer tipo de negócio, incluindo o setor das agências de viagens, porém quando realizado da forma incorreta, provavelmente trará mais problemas do que proteção, uma vez que a falsa percepção de que os controles de segurança foram devidamente implementados, poderá deixar o negócio vulnerável aos mais diversos tipos de ameaças. Investimentos tecnológicos mal planejados, procedimentos não testados e pessoas sem a devida capacitação tendem a se tornarem vetores de ataques.
Como profissionais de Tecnologia e Segurança da Informação, há mais de 22 anos no mercado, buscamos manter a confiabilidade junto aos nossos clientes e parceiros, como maior ativo para a continuidade do nosso negócio e por este motivo manteremos a transparência em todas nossas atividades.
Fontes consultadas: TourMag / PKF Advantedge
Referências: * Slogan da Rádio BandNews FM;
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
