Recibes un mensaje de un nuevo viajero que quiere contratar tus servicios. Además de brindarle una gran atención y darle el paquete ideal para sus vacaciones, le pides su tarjeta de crédito, la cual dejas guardada en una carpeta de tu laptop o en un documento word, luego de escanearla.
Hasta aquí todo normal, ¿verdad? Pero, ¿sabes qué problema hay con esto? Que si tu computadora u oficina es comprometida, ya sea por un cibercriminal o incluso por un empleado con malas intenciones, expones las tarjetas de crédito de cientos de personas a una estafa y por ende, a su dinero.
Sorprendentemente, esto no es un caso aislado. De hecho, es más común de lo que piensas.
En los últimos años, y con el gran número de ataques cibernéticos ocurriendo diariamente o fraudes por parte de empleados clonando tarjetas de crédito de tus clientes, cumplir con PCI DSS se ha vuelto una condición obligatoria para tratar con el mayor cuidado posible los datos de las tarjetas de crédito y débito de tus clientes. Y las agencias de viajes realemente no son la excepción.
Es por esto que la IATA (Asociación Internacional de Transporte Aéreo) viene exigiendo a la agencias de viajes el cumplimiento de esta normativa desde el 2018, haciendo cada vez más presión en la obtención de la certificación, con el fin de asegurar que todo el proceso de obtención de los tickets de avión esté seguro desde el inicio, que es donde encontramos a las Agencias. Esta exigencia busca disminuir el riesgo para las compañías aéreas y sus clientes, asegurando el proceso de principio a fin.
Pero, ¿qué es PCI DSS y cómo cumplo la normativa para que mi agencia pueda operar sin problemas? Aquí te explicamos todo acerca de la norma y un paso a paso para que puedas cumplir con este requisito indispensable.
¿Qué es PCI DSS?
En septiembre de 2006, las más importantes compañías de tarjetas de débito y crédito crearon un comité, en donde generaron un estándar de seguridad de datos para toda la industria conocido como PCI DSS o Payment Card Industry Data Security Standard.
La certificación PCI DSS establece un conjunto de requisitos para la seguridad de datos de tarjeta de pago. Estos se aplican a todos los niveles de la empresa, desde el diseño y desarrollo de los sistemas hasta el uso y gestión de los datos.
Cómo cumplir con PCI DSS para agencias de viajes y no morir en el intento
Si estás creando tu agencia de viajes o tienes una y quieres ser reconocido por la IATA, para disfrutar de los beneficios reputacionales y financieros de tener este distintivo en tu agencia, sí o sí tienes que cumplir con PCI DSS.
Seguro estarás pensando: ¿Por dónde empiezo con este dolor de cabeza? Tranquilo. No es tán complicado como parece. Aquí te lo explicamos el PCI DSS para agencias con peras y manzanas.
Para cumplir con los requisitos de la certificación PCI DSS, las agencias de viaje en Colombia deben implementar un conjunto de medidas de seguridad para proteger los datos de tarjeta de pago de los clientes. Estas medidas incluyen el uso de cifrado, el almacenamiento seguro de los datos, la gestión de vulnerabilidades, la auditoría de seguridad, creación de políticas y procedimientos, entre otros.
Para ayudarte a poner los pies sobre la tierra y entender todo lo que debes hacer, sigue el paso a paso a continuación.
Paso a paso para preparar a tu agencia de viaje para su certificación en PCI DSS
1. El primer paso para que una agencia de viajes se certifique en PCI DSS es obtener una comprensión total de los requisitos. El Consejo de Seguridad de Datos de la Tarjeta de Pago (PCI SSC) proporciona una descripción general de los requisitos de PCI DSS, así como orientación específica para los diferentes niveles de cumplimiento. O si lo quieres ya digerido y procesado en lenguaje mortal, te invitamos a leer nuestra serie especial de blogposts PCI DSS: los 12 requisitos.
2. La agencia de viajes debe determinar su nivel de cumplimiento. PCI DSS determina los niveles de cumplimiento en función del número de transacciones de tarjeta de crédito que se procesan en un año. Los niveles de cumplimiento varían desde 1 (más bajo) hasta 4 (más alto).
- Nivel 1: más de 6 millones de transacciones anuales.
- Nivel 2: entre 1 y 6 millones de transacciones anuales.
- Nivel 3: entre 20.000 y 1 millón de transacciones anuales.
- Nivel 4: menos de 20.000 transacciones anuales.
3. Una vez que la agencia de viajes haya determinado su nivel de cumplimiento, debe seleccionar un proveedor de cumplimiento de PCI DSS. Estos proveedores ofrecen una variedad de servicios, desde la auditoría hasta la implementación de la seguridad de la información. Y aquí es donde Hackmetrix te puede echar una mano con su poderoso software, que acelera el cumplimiento de PCI DSS para agencias de viajes hasta x10 veces.
4. El siguiente paso es obtener la validación del cumplimiento. Esto se logra a través de la implementación de los requisitos de PCI DSS en la infraestructura de la agencia de viajes y el procesamiento de las transacciones de tarjeta de crédito. La validación del cumplimiento es por medio de un SAQ para niveles 2 al 4 y por medio de un ROC para nivel 1, donde se valida la implementación de PCI DSS, seguida de una auditoría para determinar el grado de cumplimiento.
5. Una vez que la agencia de viajes haya implementado los requisitos de PCI DSS y haya realizado una auditoría exitosa, debe solicitar una certificación de PCI DSS. Esta certificación se otorga a través de un programa de cumplimiento y se realiza por medio de una auditoría inicial y de seguimiento. La auditoría es llevada a cabo por un auditor externo autorizado por el PCI SSC, llamado QSA (para nivel 1) o se puede realizar a través de el ISA (Internal Security Assesor) de Hackmetrix, sin costo adicional, para niveles del 2 al 4.
6. Finalmente, una vez que la agencia de viajes haya obtenido la certificación de PCI DSS mediante el AoC (Attestation of Compliance), debe mantener el cumplimiento a lo largo del tiempo. Esto se logra a través del monitoreo continuo de los requisitos de PCI DSS e informes periódicos a la entidad emisora de tarjetas de crédito para demostrar el cumplimiento.
IMPORTANTE: en el mercado existen empresas que generan “certificados” en cumplimiento de PCI DSS, a través de un cuestionario que tú mismo puedes completar y donde ellos simplemente estampan su firma. Esto es una mala práctica y no garantiza realmente que estés cumpliendo con PCI DSS para agencias de viajes. Evita ser víctima de un ciberataque por “ahorrarte dinero”.
Multas por incumplimiento de PCI DSS
Ahora, hablemos de lo que no le gusta a nadie: las multas. Si tienes un incidente de ciberseguridad por incumplimiento de la normativa, tu agencia puede irse a la quiebra en un dos por tres.
Las marcas de tarjetas de pago pueden imponer multas de hasta USD 500.000 por cada incidente que implique una violación de seguridad, cuando una empresa no cumple con la normativa. Pero no es solo el valor económico de la multa. Mira las otras consecuencias:
- Mayores requisitos en tu auditoría.
- Potencial de cierre de actividad de tarjetas de crédito para tu agencia.
- Costo de impresión y franqueo para el envío de notificaciones al cliente.
- Costo del tiempo del personal (nómina) durante la recuperación de tu seguridad.
- Costo de negocios perdidos durante el cierre de la agencia y tiempo de procesamiento.
- Disminución de las ventas debido a la mala imagen pública y la pérdida de confianza.
Definitivamente, certificar a tu agencia en PCI DSS es una garantía de que la empresa cumple con los estándares de seguridad de datos de tarjeta de pago exigidos por la norma. Por esa razón, certificarse en la normativa es una necesidad para todas las agencias de viaje que quieren saltar a la Grandes Ligas en Colombia. La certificación te ayudará a cumplir con los estándares exigidos por la IATA y garantizar a tus clientes que sus datos de tarjeta estén seguros al momento de realizar un pago, lo que también eleva tu nivel de reconocimiento en el mercado.
¿Te interesa conocer más sobre Hackmetrix y cómo nuestra solución B2B SaaS puede acelerar tu cumplimimiento de la norma? Agenda tu demo gratuito junto a nuestro especialista y lleva a tu agencia de viajes al siguiente nivel.
