Iata não irá "cortar" agências sem documento antifraude

A Associação Internacional de Transporte Aéreo (Iata) está aberta para conversar com os agentes de viagens e a cadeia produtiva como um todo. A entidade, por meio do gerente de Comunicação Corporativa para as Américas, Jason Sinclair, respondeu ao Portal PANROTAS as principais dúvidas referentes ao Payment Card Industry Data Security Standard (PCI DSS).

A iniciativa, que será implementada em 1º de junho no Brasil, tem como finalidade reduzir ao máximo o ataque de hackers em pagamentos on-line. À reportagem, o profissional disse que a agência de viagens que não tiver o certificado até a data não será prejudicada. Um processo de flexibilização, segundo ele, será implementado. Os detalhes não foram revelados.

Ao ser questionado sobre a quantidade de empresas que terão o documento atualizado até o fim do ano, Sinclair não deu estimativas de números.

Confira a entrevista na íntegra abaixo:

PORTAL PANROTAS: A principal preocupação do trade brasileiro é o tempo. Você acredita que todas as empresas vão estar certificadas até 1º de junho?
JASON SINCLAIR: Nossa comunicação tinha a intenção de lembrar os agentes de viagens dessa questão e informar esse grupo muito antes do futuro requerimento. Ainda, queríamos chamar a atenção sobre a importância em assegurar que eles mantenham seguras as informações dos seus clientes.

O PCI DSS tem sido solicitado por bandeiras de cartão há anos, em uma longa comunicação transmitidas pelos bancos a todos os acionistas e, certamente, essa questão não é nova.

Nós só estamos organizando um mecanismo no qual os agentes podem nos informar seu status no que diz respeito a esse amplamente aceito padrão de segurança de pagamento de cartão.

PP: Por que é demorado para conseguir essa permissão - de três meses a um ano? Você pode explicar o processo?
JS: Cada situação é única e, no caso de agentes pequenos com uma configuração muito simples e que dependem basicamente de uma ferramenta GDS e sem a
presença da internet, não deve demorar tanto tempo.

Primeiramente, o agente deve saber que tipo de requerimento irá aplicar ao seu negócio. Ao acessar os sites das detentoras de cartões, há basicamente duas situações:

- A companhia que aceita esse tipo de pagamento faz mais de seis milhões de transações da Visa ou Mastercard, e deve contratar um especialista em segurança para auditar esses sistemas e processos. O chamado Assessor de Segurança Qualificado (QSA, em inglês) irá entregar um certificado, uma vez que a empresa passou por todas as aprovações. Esse é o certificado a ser apresentado para a Iata.

É um processo anual porque o risco de ameaça não é estático. A segurança da informação é um mundo muito dinâmico.

- A companhia que faz menos de seis milhões de transações da Visa ou Mastercard em um ano pode responder um questionário de autoavaliação assinado por um funcionário autorizado da empresa.

Essa série de perguntas e respostas permite avaliar os seus processos e sistemas e conferir se há algo para se preocupar. Se o escritório autorizado assinar e certificar que essa empresa é compatível em todo aspecto, esse é o documento a ser apresentado para a Iata.

PP: O que a Iata irá fazer com empresas que não tiverem o PCI antes de 1º de junho?
JS: Nós não pensamos em especificamente “cortá-las”, pelo contrário: nosso objetivo é preservar e crescer os canais de distribuição indireta de companhias aéreas e, para fazer isso, garantir a segurança de dados dos clientes é primordial.

Nós estamos trabalhando no desenvolvimento de um processo que vai implicar em um nível de flexibilidade e vai aplicar todos os esforços possíveis para não prejudicar os negócios dos agentes.

Todos têm de cumprir seu papel. Os agentes precisam avaliar sua situação e entender que essa remediação é necessária, se houver. E eles precisam comunicar a Iata. Não é algo como poder dar isenções ou adiar a entrada em vigor, pois o requerimento para cumprir o PCI não pode ser suspenso ou adiado.

PP: Quantas empresas - entre agências, consolidadoras e estarão certificadas no Brasil até o fim deste ano?
JS: Todas as empresas precisam fundamentalmente ter essa certificação a fim de proteger os dados de seus clientes. Nos entendemos que não se trata de um exercício único, mas um esforço contínuo.

Essa certificação tem de ser renovada anualmente para que permaneça atualizada, dada a constante evolução natural de sistemas de TI e processos de negócios. E os padrões do PCI por si só evoluem ao tempo de se manter a par de novas ameaças.

Nós esperamos que a maioria dos agentes pequenos que operam em uma configuração muito simples possam rapidamente confirmar, em um processo de autoavaliação, que eles não sofrem nenhuma vulnerabilidade ao expor os dados de seu cliente.

Também presumimos que operadores maiores, como consolidadoras e companhias aéreas, já estejam familiarizados com o PCI DSS.

PP: As companhias aéreas brasileiras estão prontas para trabalhar sob a certificação do PCI-DSS?
JS: A proteção de dados de clientes sensíveis é uma preocupação de todas as companhias aéreas que vendem no Brasil, não apenas todas as transportadoras brasileiras. Na verdade, é uma questão global, não está ligada especificamente ao Brasil ou as partes interessantes. Mas os comerciantes não anunciam publicamente o status de conformidade de seu PCI para não atrair o tipo errado de interesse.