Imagine você proprietário ou gestor responsável pelo funcionamento do hotel, num belo dia recebe em sua caixa de correio eletrônico, um email informando que dentro de alguns meses todos os estabelecimentos que de alguma forma realizam transações com cartões de crédito ou débito terão que comprovar que os dados pessoais e financeiros de seus hóspedes são protegidos durante todo o ciclo de vida, que inclui o recebimento, processamento, armazenamento e descarte dessas informações, quando necessários. E essa comprovação se dará pela implementação de uma série de controles de segurança em tecnologias, processos e pessoas, de forma que a proteção possa ser evidenciada por meio de uma auditoria.
Pois bem, este é o cenário que provavelmente veremos em breve nas redes hoteleiras, segmento que faz parte do setor de turismo e que representa uma parcela significante na economia mundial, tendo o Brasil grande destaque neste mercado, que já está sentindo os impactos deste tipo de exigência. Falo do grande movimento causado pela Associação Internacional do Transporte Aéreo, mais conhecido pela sigla IATA (International Air Transport Association), que baixou em 2016 uma resolução obrigando todas as agências de viagens que aceitavam cartões de pagamento (crédito/débito), a estarem em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) até o dia 1 de junho de 2017, sob o risco de receberem penalidades que poderiam interferir nas operações das agências. E o que aconteceu em 2017?
As agências de viagens brasileiras não conseguiram cumprir o prazo estabelecido pela IATA, levando as associações que as representam, a buscarem um novo acordo para postergação da data, a fim de permitir que as agências pudessem se adequar ao grande volume de controles exigidos pelo PCI, que varia conforme o tratamento dos dados do portador do cartão no processo de negócio. Resultado: a IATA deu como última chance a data de 1 de março de 2018, mas apesar de terem ganhado 9 meses adicionais para adequar o ambiente com os requisitos de segurança, o que vimos foi uma grande procura das agências nos últimos 3 meses, resultando em muitos casos na inviabilidade do cumprimento do novo prazo e aumento dos custos operacionais.
Mas o que é o PCI DSS?
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) foi criado por um conselho de empresas de cartões de crédito das bandeiras Visa, Mastercard, American Express, Discover e JCB, para promover a implementação de uma série de controles de segurança, com o objetivo de proteger os dados dos cartões de pagamento dos consumidores. É aplicável a todas as empresas envolvidas no processamento, transmissão ou armazenamento destes dados e incluem comerciantes, processadores de pagamento, adquirentes, emissores e qualquer outro prestador de serviço que faça parte dessa cadeia de proteção.
O hotel é obrigado a ter a certificação PCI DSS?
Não há lei que obrigue a certificação de qualquer comerciante, pelo menos não ainda. Porém, associações que representam um determinado segmento do mercado, podem estabelecer um regulamento ou uma resolução que torne isso uma exigência para todos os seus associados, como fez a IATA, entendendo que o crescente número de fraudes no setor de viagens estava impactando na credibilidade e consequentemente, na rentabilidade do setor. Isso acaba tendo um efeito dominó, uma vez que ocorre a fraude com cartão de crédito do cliente, as bandeiras como a Visa e a Mastercard buscam o comerciante, como o hotel por exemplo, para checar o seu grau de responsabilidade no caso e consequentemente o hotel terá que envolver seus fornecedores em busca de respostas. Não tendo a comprovação da parte responsável, em muitos casos sobra o prejuízo para o comerciante.
Na prática, como funciona a certificação PCI?
De forma resumida, este tipo de avaliação do ambiente dependerá de alguns fatores como o volume de transações que o comerciante realiza anualmente com cartões de crédito e débito das bandeiras mencionadas e da forma como ele trabalha com estes dados do portador do cartão. A partir da identificação destas características do processo de negócio, caberá tomar uma série de medidas que vão desde o preenchimento de um questionário de autoavaliação (denominado como SAQ – Self-Assessment Questionnaire), até a realização de uma auditoria presencial por um auditor qualificado pelo PCI Council (denominado como QSA – Qualified Security Assessor) com a execução de varreduras na rede interna e externa.
Para exemplificar estes critérios, apresentamos abaixo a referência da Visa, a principal bandeira do setor de cartões do Brasil, representando mais de 40% das transações no nosso mercado:
Mesmo se enquadrando na opção de apresentar apenas o questionário de autoavaliação, o comerciante deve observar que não se trata apenas do preenchimento dos itens, que podem possuir mais de 300 perguntas, que não somente devem ser respondidas, mas evidenciadas em caso de respostas afirmativas, ou seja, a partir do momento que o comerciante afirma ter determinado controle solicitado pelo PCI, ele deverá garantir que este controle realmente está aplicado em seu ambiente. Se houverem respostas negativas, o cliente deverá elaborar um plano de ação para implementar o controle ausente.
E qual motivo nos leva acreditar que estes requisitos também estarão sendo cobrados em breve nas redes hoteleiras do Brasil? Estamos acompanhando discussões que já ocorre em alguns meios especializados no setor de hospedagem fora do país, mencionando a pressão vinda de bancos e demais partes envolvidas no processo de transação com cartões, devido ao aumento dos índices de fraudes em hotéis nos últimos 2 anos, especialmente envolvendo roubo de informações de cartões por meio de máquinas POS e o vazamento de bancos de dados que armazenam estas informações.
Portanto, é altamente recomendável que os gestores responsáveis comecem a acompanhar as tendências de segurança que cada vez mais penetram nos mais variados segmentos, buscando estabelecer padrões mínimos de proteção em ambientes que dependem cada vez mais da tecnologia para sobreviverem.
Nas próximas semanas continuaremos tratando sobre o padrão PCI e seu provável impacto no setor hoteleiro.
Notícias relacionadas
Hotel sofre ataque hacker, afetando unidade no Brasil
Agência de viagens sofre grande vazamento de dados
Comunicado sobre a IATA e o padrão PCI DSS
Fontes consultadas: Hospitality Upgrade / Mirai
Imagens: Flickr (adaptado)
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec