Cómo la normativa PCI-DSS afectará la industria de viajes en 2018

La industria de viajes es considerada como un sector de alto riesgo

Para muchas compañías, 2018 será el año de una revolución digital protagonizada por la seguridad en el procesamiento de pagos. Según Verizon, más de 38% de las brechas de datos ocurren en los sectores de viajes y hospitalidad, un asunto preocupante que ha experimentado poco mejoramiento en los últimos años.

Sin embargo, ha llegado la hora para un cambio importante. Como un sector de alto riesgo con múltiples puntos de vulnerabilidad en cuanto a la protección de datos, la industria de viajes tendrá que dirigirse hacia una solución más sostenible y segura.

La normativa PCI-DSS será obligatoria a partir de 2018

Si no estás familiarizado con el cumplimiento de la normativa PCI-DSS, se trata de una serie de regulaciones de seguridad diseñadas con el objetivo de proteger la información bancaria de los consumidores. Como regla general, todas las entidades que procesan datos de tarjetas de crédito y débito están obligadas a cumplir con esta normativa.

Sin embargo, si muchas agencias de viaje y otras compañías hasta ahora no tomaban estas regulaciones con suficiente seriedad, los tiempos están cambiando. Desde 2018, organizaciones globales como IATA, la Asociación Internacional de Transporte Aéreo, están imponiendo el estándar PCI sobre sus miembros acreditados como parte de un sistema nuevo y más seguro.

Adicionalmente, el Parlamento Europeo introducirá varios cambios respecto a las leyes de protección de datos, haciendo más costosas las brechas en el caso de que ocurran. En realidad, se espera que las penalizaciones serán fijadas a un mínimo de 2% de los ingresos totales, con la posibilidad de que aumenten hasta un 5%.

IATA está imponiendo el estándar PCI sobre todos sus 278 miembros

IATA, la Asociación Internacional de Transporte Aéreo, representando 278 aerolíneas en 117 países o el 83% del tráfico aéreo total, ahora requiere que todos sus miembros acreditados obtengan la certificación PCI.

Este mandato viene con la introducción de un nuevo sistema de facturación electrónico que facilita el flujo de datos y fondos, diseñado para sustituir el presente Billing and Settlement Plan (BSP). El BSP fue implementado en 1971, y hoy en día procesa más de $219 mil millones al año.

Sin embargo, en el auge de los pagos y servicios digitales, el sistema actual BSP no consigue cubrir todas las necesidades y particularidades del sector. En los últimos años, IATA estuvo trabajando sobre NewGen ISS, un sistema nuevo que proporcionará servicios de facturación y liquidación financiera más rápidos y más seguros. Antes de su implementación en 2018, la asociación ha demandado que todos sus miembros cumplan con la normativa PCI-DSS. En el caso de incumplimiento, los miembros corren el riesgo de perder su acreditación como agentes de IATA en todas las ubicaciones certificadas bajo Passenger Sales Agency Rules.

Obteniendo la certificación PCI DSS a tiempo

Con la obligatoriedad de cumplir las normativas para la protección de datos bancarios en 2018, las agencias de viajes que todavía no cumplen con PCI-DSS se verán negativamente afectados.

Afortunadamente, si eres una agencia de viaje, channel manager, motor de reserva, o cualquier otra entidad del sector que procesa datos bancarios, todavía estás a tiempo para obtener la certificación para proteger la información vulnerable de tus usuarios. Existen las siguientes opciones:

• Desarrollo interno - esta solución incluye la obtención de la certificación PCI -DSS utilizando recursos internos con la ayuda de un Asesor de Seguridad Calificado (QSA en inglés). Sin embargo, especialmente para agencias de viajes más pequeñas que no disponen de los recursos financieros o humanos, esta opción puede resultar excesivamente cara y lenta. En muchos casos, se puede tardar hasta 2 años para la obtención del certificado PCI-DSS. Una vez obtenido, la preocupación por la seguridad no acaba, ya que se requieren recursos internos continuos para su mantenimiento.

• Integración con terceros - incluye la contratación de servicios de compañías que ofrecen soluciones de pagos digitales y una infraestructura API que asegura el almacenamiento correcto de los datos bancarios. Se utilizan métodos de seguridad como la tokenización, un proceso que convierte los números de tarjetas en valores indescifrables llamados tokens. Una solución PCI de terceros suele ser mucho más económica y rápida en comparación con el desarrollo interno. Si todavía no cumples con los estándares de seguridad, te recomendamos esta opción, ya que te ayudará a cumplir con PCI-DSS a tiempo para las nuevas regulaciones.

Sin duda, PCI-DSS no simplemente es el protagonista en cuanto a la protección de datos bancarios, pero también te ayuda a fortalecer tu autoridad y reputación de marca. Después de todo, ganar la confianza de los consumidores es el paso más importante hacia el establecimiento de relaciones a largo plazo con ellos.

normativa-pci-dss-viajes-2018