¿Qué quiere IATA?
El pasado 8 de febrero, algunos de los agentes IATA que recibieron la circular de la Asociación, se mostraron sorprendidos por la misma. En ella se les solicita que se adhieran al programa PCI DSS, un sistema de seguridad de datos de tarjetas.
La misma, anunciaba: “Desde IATA hemos estado trabajando en asuntos relacionados con los riesgos asociados a las transacciones con tarjeta de pago y posibles violaciones de datos. Siguiendo el asesoramiento que se nos ha facilitado, consideramos que es fundamental que los agentes acreditados que utilizan el BSP confirmen que cumplen con las Normas de seguridad de pagos (DSS o ‘Data Security Standard’) de la Industria de tarjetas de pago (PCI o ‘Payment Card Industry’).“
El balde de agua fría fue que la emisiva exige que se cumpla con el pedido desde el mes de junio: “A partir del próximo 1 de junio de 2017 y de acuerdo con las Normas para Agencias de Ventas de Pasajes (perteneciente a la Resolución 818g), el cumplimiento de las DSS de la PCI será requisito obligatorio para obtener y continuar disfrutando de la acreditación en calidad de agente de IATA en todas las oficinas acreditadas que procesen transacciones con tarjetas de crédito. El incumplimiento de las DSS de la PCI resultará en la presentación de dos casos de irregularidad a su agencia”.
Desde las agencias tradicionales, son muchas las voces que afirman que la intención de IATA es empezar a filtrar a las agencias y que sin ir más lejos, la única que cumple que con lo estipulado es despegar.com, aunque el trámite para hacerlo demoró más de un año. También hay otras empresas de gran volumen que están tras esta certificación, pero los procesos siguen siendo muy largos y engorrosos.
“Lo que yo veo es que no sólo van a caer las agencias IATA, sino que van a caer todas las que tienen tarjeta propia porque tienen que cumplir esto”, opinó el Socio Gerente de VSTour, Gustavo Valentín
Por otro lado, el Socio Gerente de Rumbo Viajes, Daniel Manfredi, manifestó: “Esta gente viene a pedirnos una gran cantidad de cosas, cuando la mayor parte de las aerolíneas no tienen capacidad para cumplimentar estos requisitos y quieren que lo hagamos los agentes de viajes. Encima que nos sacan las comisiones y que estamos divorciados de cualquier contrato, nos viene a exigir esto”. “Actúan como fantasmas, en definitiva, y sin tener en cuenta las leyes nacionales de los países a los que les exigen esto”, agregó el ejecutivo.
IATA defiende su accionar alegando que la violación o el robo de datos del titular de la tarjeta, afecta a toda la cadena de la industria de tarjetas de pago ya que el cliente pierde la confianza en los comerciantes o en las instituciones financieras, por lo tanto pierden credibilidad. Además, el cliente puede verse afectado negativamente y quedan expuestos a distintas estafas, por lo que “el cumplimiento de PCI DSS está obligado por los sistemas internacionales de pago de tarjetas en todo el mundo”, subraya la Asociación en la emisiva y agregan: “Existe la necesidad de asegurar el cumplimiento del PCI DSS en la comunidad de Agentes Acreditados de IATA. El cumplimiento PCI DSS beneficia a todas las partes de la cadena de distribución al garantizar que los datos sensibles de las tarjetas de pago se manejan confidencialmente para proteger y beneficiar a los consumidores. El cumplimiento del PCI DSS es un requisito reflejado en la Resolución 890 de la Conferencia IATA de Agencias de Pasajeros”.
¿Qué es el programa PCI DSS?
Hace algunos años, American Express, Discover Financial Services , JCB International , MasterCard y Visa que conforman la Industria de Tarjetas de Pago (PCI) crearon el Consejo de Estándares de Seguridad, cuya es “mejorar la seguridad de las tarjetas de pago promoviendo la adopción amplia del Estándar de Seguridad de Datos PCI para los comerciantes y procesadores que manejan la información sensible de la tarjeta de pago”, explican en el comunicado. Este programa posee 12 requisitos que se agrupan en seis puntos que las agencias deben cumplir para obtener el certificado: Desarrollar y mantener una red segura; Proteger los datos de los propietarios de tarjetas; Mantener un programa de gestión de vulnerabilidades; implementar medidas sólidas de control de acceso; Monitorizar y probar regularmente las redes; Mantener una política de seguridad de la información.
Todo esto conlleva un costo (que aún no se determina y un tiempo determinado, por lo que muy pocas agencias van a llegar al 1ero de junio con todos los requisitos al día.
La respuesta
Desde FAEVYT emitieron una carta al Director Regional de IDFS de la IATA para las Américas, Jean-Charles Odelé- Gruau. En la misma expresan su disconformidad y preocupación por los requisitos solicitados. Además, les reclaman el hecho de no haber consensuado con las agencias de viajes y que a su vez, sólo se lo comunicaron a unas pocas. Por otro lado, solicitan una evaluación de los países en los que llega la resolución, ya que no todos tienen la misma capacidad tecnológica y capacidad de enfrentar costos. Se espera que esta semana, en el marco del APJC (Agency Programme Joint Council)- la reunión de los agentes de viajes con las compañías áreas IATA-que se llevará a cabo en Montevideo, se dialogue por una solución a este tema, además de solicitar una prórroga del plazo que dio IATA.
Habrá que esperar la resolución, pero en el mientras tanto, reina la incertidumbre entre los agentes.
¿Diálogo en puerta?
Según trascendió en el diario brasileño Panrotas, el Gerente de Comunicación Corporativa de la IATA para Brasil, Jason Sinclair, afirmó que la Asociación Internacional de Transporte Aéreo está abierta a hablar con los agentes de viajes y la cadena de producción en su conjunto. Sinclair dijo que las agencias de viajes que no tienen el certificado hasta la fecha no se verán perjudicadas. “No creemos en particular, que se van a apartar a las agencias que no cumplan en lo inmediato con los requisitos: nuestra meta es de preservar y hacer crecer los canales de distribución indirectos de las compañías aéreas y, para ello, asegurar la seguridad de los datos del cliente es lo más importante”, afirmó el ejecutivo y agregó: “Estamos trabajando en el desarrollo de un proceso que dará lugar a un nivel de flexibilidad y aplicará todos los esfuerzos posibles para no dañar el negocio de los agentes”. ¿Será un efecto dominó en toda la región?
Recomendado para vos