O PCI DSS, o Padrão de Segurança da Indústria de Cartões de Pagamento criado em 2006 pelas principais bandeiras de cartões de débito/crédito, aterrizou de vez nas agências de viagens e turismo em todo o mundo neste ano, trazendo muitas dúvidas e preocupações para os empresários e profissionais de TI que atuam neste competitivo setor.
A exigência surgiu após a divulgação de uma resolução da IATA – International Air Transport Association, obrigando todas as agências associadas a estarem em conformidade com os requisitos de controle previsto no PCI DSS e não são poucos, dependendo da forma com que cada comerciante trata as informações do portador do cartão em seus processos de negócio.
Fernando Doro é Gerente de TI na MultiCidades Viagens e Turismo, agência especializada em gestão de viagens corporativas, com 110 colaboradores e filiais em todo o país, tendo sua sede localizada em São Bernardo do Campo – SP. Ele foi o responsável pela certificação PCI DSS na agência, adequando todos os processos da agência e revisando os controles de segurança dos ativos da rede, tarefa que ficou sob sua responsabilidade ao assumir o cargo na MultiCidades, como ele mesmo nos conta:
No final de 2017, ao assumir a gestão do departamento de TI da Multicidades, tomei conhecimento sobre uma nova regulamentação da IATA que exigia de todas as agências de viagens associadas, a conformidade com o padrão de segurança PCI DSS, tendo como prazo limite a data de 1 de março de 2018. O não cumprimento desta resolução resultaria em penalidades para a agência, que impactariam diretamente na sua competitividade no mercado.
Tendo em vista o curto prazo para adequação do nosso ambiente aos requisitos do PCI, iniciamos a busca por parceiros no mercado com experiência na área de segurança, tanto nos aspectos técnicos como normativos, e tivemos a oportunidade de conhecer a ABCTec, empresa também sediada em São Bernardo do Campo, com mais de 22 anos de atuação no mercado de Tecnologia e Segurança da Informação.
Com o comprometimento de todos os colaboradores da MultiCidades e o apoio da equipe de técnicos e consultores da ABCTec na identificação dos gaps e na orientação para correção dos itens em não-conformidade, em apenas três meses de trabalho pudemos aprovar o nosso Atestado de Conformidade (AOC) junto à IATA, cumprindo assim, os requisitos do padrão PCI DSS, de acordo com o perfil de trabalho da agência.
O diferencial dessa parceria nossa com a ABCTec, é que grande parte do trabalho se deu com o acompanhamento presencial da equipe de profissionais da consultoria, tanto no esclarecimento para o preenchimento correto do extenso Questionário de Auto Avaliação (SAQ), como na execução de testes de segurança em nosso ambiente de rede, cabíveis ao nosso nível de exigência.
E este trabalho não se encerra com a entrega do Atestado de Conformidade (AOC) no portal da IATA. A revisão do ambiente é constante e o preenchimento do Questionário de Auto Avaliação (SAQ) será anual e conforme as agências adquiram maior maturidade nas questões que envolvem a segurança das informação, é natural que haja maior rigor na comprovação destes controles por parte de entidades como a IATA. Por isso, sempre orientamos os nossos clientes que não busquem apenas a aprovação formal da conformidade, mas que procurem extrair reais benefícios da proteção em seus ambientes.
Fontes consultadas: MultiCidades / ABCTec
Imagens: MultiCidades / ABCTec
Texto: Comunicação ABCTec
