Sobre la Certificación PCI que exige IATA
A partir de marzo, la IATA exigirá contar con la Certificación PCI-DSS para la emisión de pasajes abonados con tarjetas de crédito. Este es un tema que viene preocupando mucho a las Agencias de Viajes. Por esta razón Daniel Manfredi decidió hacer pública esta importante y completa información de Assertiva / 1srSecureIT, que incluye soluciones convenientes y equilibradas para dar cumplimiento a esta nueva exigencia de la IATA.
Estado de situación en Latinoamérica de la certificación PCI que exige IATA
Ya no es noticia que IATA exige a sus agencias acreditadas la certificación PCI-DSS, pero desde que lo informó hasta la fecha han surgido otros comunicados diversos y hasta contradictorios en algunos casos. Así lo demuestran los comunicados que fueron emitiendo (respuestas a preguntas frecuentes, cambio de la fecha límite, y últimamente sugiriendo un servicio particular para cumplir con el requerimiento). A excepción de Despegar.com y algunas pocas que deben realizar la certificación Nivel 1, con visita en sitio de un auditor, la certificación en sí consiste en :
- Completar un Cuestionario de Autoevaluación, similar a una declaración jurada. Hay diversos tipos de cuestionario, que según los procesos de la agencia les corresponderá uno u otro. La complejidad de estos cuestionarios es muy diversa, y muchas agencias han modificado sus procesos para no tener que someterse a los más extensos.
- Realizar satisfactoriamente un Escaneo de Vulnerabilidades Externo: un procedimiento de verificación de seguridad de servidores expuestos a internet, necesario en la medida que almacenen, transmitan o procesen datos de tarjetas de crédito. Esto se hace con alguna herramienta validada por el PCI Council, es decir, listada en https://www.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
Finalmente quien valida ambas cosas con un certificado es una empresa QSA (Qualified Security Assessor), también aprobada por el PCI Council, que se encuentran listadas en https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
En Argentina FAEVYT recomendó a las agencias 2 proveedores para realizar la certificación, según los que les parecieron más razonables: Team Latam y Assertiva. Ambas consultoras, con sede en Argentina, pero asociadas a empresas QSA del exterior, como Trustwave (para Team Latam) y 1stSecureIT (para Assertiva). Los servicios de estas consultoras son igualmente válidos para IATA, aunque tienen enfoques distintos. Team Latam salió ofreciendo un servicio de consultoría asociado a la certificación, con su correspondiente valor (inaccesible para la mayoría de las agencias del país), mientras que Assertiva ofreció un servicio más "autogestionado", con asesoramiento remoto, y por un valor radicalmente menor (un 10% que su competencia). A la fecha ya son más de 200 las empresas de viaje que contrataron el servicio de Assertiva en Argentina, y otras tantas en Chile, de las cuales la mayoría ya obtuvo su certificado.
Dado que en el resto de Latinoamérica no parece haber tantas agencias certificadas, IATA comunicó el 31 de enero que realizó un convenio con Trustwave, ofreciendo un servicio a valores similares a los de Assertiva/1stSecureIT (pasando por arriba de sus partners locales). Parece ser un recurso de último minuto para lograr que más agencias se certifiquen en fecha, pero con algunas particularidades, como el pago en dólares, y la ausencia de un referente local en Latinoamérica (excepto en México).
Por otro lado, respecto al procedimiento para enviar el certificado a IATA, este ha variado a lo largo del tiempo. Inicialmente quienes lo enviaron a través del portal de IATA, elevando un caso y adjuntando el PDF, obtuvieron un mail de conformidad aprobando dicha certificación hasta el año siguiente. Pero en los últimos meses la respuesta de IATA fue que "IATA de momento no está solicitando el envió del certificado. Es probable que la petición se haga a partir de marzo 2018. Si necesitamos que nos lo envié, se lo comunicaremos a través de nuestros portales", lo cual como es lógico aumenta la confusión de las agencias.
Los interesados en contactarse con Assertiva S. A. para solicitar los servicios de certificación, pueden hacerlo a :
Adolfo Hübner: ahubner@assertiva.biz (Chile)
Gastón Gadea: ggadea@assertiva.biz (Argentina y resto de Sudamérica.
Gastón Gadea
Gerente de Operaciones - Assertiva S.A.
+54 9 1122700354
gastongadea
ggadea@assertiva.biz
Daniel Manfredi