ИНФОРМАЦИОННЫЙ ТРЭВЕЛ - ПОРТАЛ

«КОД ДОСТУПА» — PCI DSS

 

 

Продолжим тему, начатую Мариной Андреевой в статье «А жизнь агента проще не становится…» в текущем выпуске. Действительно, в авиационном бизнесе агентству нет возможности расслабиться, новые вводные, новые задачи, новые требования. Текущий год принес с собой еще один императив IATA о том, что аккредитованное в IATA агентство, работающее с платежными банковскими картами, должно подтвердить соответствие Стандарту безопасности данных индустрии платежных карт PCI DSS.

 

 

 

 

Асимметрия данных

Всевозможные платежные карты стали неотъемлемой частью нашей жизни. Они чрезвычайно удобны, экономят время, создают удобства, мы дорожим ими и боимся потерять, но с другой стороны, они таят в себе серьезную угрозу нашим сбережениям и персональным данным, а на корпоративном уровне могут использоваться для широкомасштабных мошеннических операций и незаконного обогащения.

Так, например, по данным британской компании Financial Fraud Action UK, финансовые потери, связанные с мошенническими операциями с кредитными картами и удаленным банкингом, составили £366.4 миллиона в период с января по июнь 2017 года. Это означает, что каждые 15 секунд кто-то в Соединенном Королевстве становится жертвой мошенников.

Для авиатранспортного рынка, который имеет колоссальный пласт, связанный с взаиморасчетами по платежным картам и должен быстро реагировать на новации в области информационных и вычислительных технологий, эта проблема является чрезвычайно острой.

Генеральный директор IATA Александр де Жюньяк в этой связи подчеркнул: «С одной стороны, мы видим взаимосвязанный и взаимозависимый мир с открытым доступом к информации и гармонизированными стандартам, а с другой, наблюдаем асимметрию между теми, кто владеет и контролирует данные и теми, кто их использует. Все это вынуждает авиакомпании создавать новые инструменты борьбы с фродом и отвлекать немалые финансовые ресурсы, которые можно было бы потратить на развитие. Киберопасность, как новый вид риска для бизнеса, постоянно усиливается, фактически превращаясь в самостоятельную отрасль на фоне постепенного стирания граней между физическими объектами, включая самолеты, автомобили, поезда и виртуальной средой».

Немудрено поэтому, что IATA, которая считается законодателем моды в области стандартов авиатранспортного рынка, уделяет большое внимание индустрии платежных карт, включая обеспечение соответствия Стандарту безопасности данных платежных карт (Payment Card Industry Data Security Standard) или просто PCI DSS.

Этот стандарт был разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами VisaMasterCardAmerican ExpressJCB и Discover и представляет собой 12 критериев безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.

Обязательство по соблюдению стандарта PCI DSS распространяется на все аккредитованные IATA организации, принимающие транзакции по картам на основании договора торгово-сервисного предприятия с обслуживающим банком или оформляющие транзакции по картам в рамках систем BSP, включая трэвел-агентов.

На уровне отраслевых нормативов правила продаж по банковским картам определяются Резолюциями IATA 812 и 890. В последней, в частности, говорится, что в процессе продажи авиаперевозки агент обязан убедиться в том, что тип предъявленной банковской карты принимается к оплате членом IATA или авиакомпанией, на чьем перевозочном документе оформляется перевозка. Если же агент принял банковскую карту, которая не соответствует данному критерию, член IATA или авиакомпания вправе взыскать с такого агента соответствующую сумму и выставить ему дебетовое авизо (ADM), а в странах, где нет системы BSP, — счет на соответствующую сумму.

 

Процедуры контроля

Помимо этого, IATA разработала процедуру проверки соответствия требования PCI DSS, которая предписывает агентам провести инвентаризацию IТ-активов и бизнес-процессов для обработки платежных карт и проанализировать их на предмет возможных уязвимостей, которые могут привести к разглашению данных держателей карт, а также заполнить Анкету самооценки (Self-Assessment Questionnaire — SAQ), с помощью которой можно проверить правомочность фирм, принимающих к оплате кредитные карты (акцептантов), и поставщиков услуг, которые самостоятельно оценивают соответствие Стандарту PCI DSS.

Также процедура предписывает сканирование агентских сетевых ресурсов с помощью программных инструментов, которые анализируют инфраструктуру на предмет возможных несоответствий, последующие корректировки и проверку решения проблем и устранения недостатков.

Со своей стороны, в целях соблюдения указанных резолюций, авиакомпании рассылают агентам напоминания. Например, в циркуляре Jet Airways говорится, что агентствам разрешено принимать карты в качестве оплаты за продажу билетов от имени Jet Airways, в соответствии с Правилами и процедурами, изложенными в Резолюции 890 и Главах 9, 14 Руководства BSP для агентов. Далее подчеркивается, что агент обязан проверить действительность платежной карты, обеспечить наличие подписи держателя, а также убедиться, что Jet Airways принимается к оплате эту карту.

В конце марта 2018 года IATA разослала своим членам и аккредитованным представителям Конференции агентств по пассажирским авиаперевозкам «Меморандум по Резолюции 812 в части ограничений агента по методу оплаты платежными картами клиента», в котором, в частности, отмечается, что в определенных ситуациях IATA может дать указание провайдерам систем электронного тикетирования (TSP) активировать/деактивировать те или иные способы оплаты на уровне агента, в том числе, наличными деньгами или по кредитной карте. Подобные ситуации могут возникнуть в результате изменений в типе аккредитации агента, использования максимального предела перечисления (RHC), либо в ответ на риск нарушения отраслевых нормативов.

Европейская ассоциация трэвел-агентов и тур-операторов (ECTAA) выступила против предлагаемых изменений к Резолюции 812, в соответствии с которыми полномочия агента по тикетированию могут быть отозваны. Ассоциация указала, что возможности третьих сторон (в данном случае TSP/GDS) соблюдать требования по ограничению формы оплаты CC, никоим образом не зависит от агентов и, следовательно, никак не должны на них влиять. «Фактически это означает, что агенты должны компенсировать недостатки системы IATA, которая устанавливает правила, которые не выполняются или не могут быть выполнены третьими лицами. Другими словами, агенты будут просто отключены, без какой-либо возможности устранить возникший риск». Кроме того, ECTAA не согласна с отзывом полномочий агента по тикетированию, поскольку никак не оговаривается невыполнение требований, предъявляемых к третьим сторонам, которые вовлечены в процесс.

29 мая 2018 года на совещании в Московском представительстве IATA, на которое также были приглашены специалисты ЗАО «АЛЬЯНС-ТРЭВЕЛ», были озвучены обновления по проекту PCI DSS. Участники дискуссии заявили, что GDS пока не готовы к аттестации агентств по PCI DSS, поэтому агенты должны тесно сотрудничать с ними в этом направлении как звенья одной цепи. Вместе с тем, агенты подчеркнули, что получение аттестации PCI DSS является очень дорогостоящей процедурой, согласно расценкам, предлагаемых компаниями QSA в России.

На данный момент предложенные изменения в Резолюцию 812 не внесены, то есть работа над регулирующим документом продолжается.

 

Что делать?

Тем не менее, российским агентам, для которых тема PCI DSS была еще недавно далека, нужно оперативно в ней разбираться и быть готовым к изменениям, так как IATA необходимо подтверждение от агентств на предмет соответствия стандарту PCI DSS.

И все же, что будет, если агент не предоставит подтверждение соответствию PCI DSS?

Агентство получит уведомление о несоответствии, которое по заверениям IATA, останется лишь уведомлением до 2019 года, и не повлечет за собой санкций. Но в 2019 году, всем таким агентствам будет закрыта возможность использования формы оплаты СС (при которой авиакомпания компенсирует затраты на эквайринг и для агентства стоимость эквайринга равна 0%) на рейсы авиакомпаний, которые подтверждают эту возможность при оформлении билетов на их рейсы.

 

Что делать дальше, и нужно ли вообще что-то делать – на сей счет, нет единого мнения. Как первый вариант агент может вести продажи в онлайне в своем интернет-магазине, и как второй вариант – в офлайне в офисах продажи, принимая к оплате банковские платежные карты. В первом варианте агент может иметь свою платежную страницу и, безусловно, в этом случае должен соответствовать PCI DSS, а также может использовать на своем сайте форму платежной страницы платежного провайдера или банка-эквайера, тогда прием платежных карт осуществляется на стороне банка или провайдера, отвечающих требованиям PCI DSS. Нужно ли иметь в этом случае агенту соответствие PCI DSS? Это вопрос.

Во втором варианте, агент осуществляет продажу и вводит номер карты пассажира непосредственно в терминалах GDS, которые в свою очередь имеют сертификацию PCI DSS. Что делать в этом случае? У GDS неоднозначная позиция: одни считают, что собственный сертификат PCI DSS агенту не нужен, если агент не хранит данные по картам на своей стороне. Другие полагают, что все продавцы, принимающие к оплате любые типы платежных карт, должны исполнять обязательства по соблюдению стандарта PCI DSS.

Здесь хотелось бы поделиться опытом ЗАО «АЛЬЯНС-ТРЭВЕЛ», имеющего на своем интернет-сайте платежную страницу провайдера. Мы обратились за консультацией к нашему платежному провайдеру, который дал следующую рекомендацию: «Так как IATA, заботясь о безопасности, требует от своих агентов иметь сертификацию PCI DSS, рекомендуем агенту заполнить анкету самооценки по PCI DSS  и провести ASV-сканирование (это необходимо делать ежеквартально). По результатам этих действий полученные документы вместе с сертификатом PCI DSS нужно отправить в IATA.»

Мы решили последовать совету провайдера ….  Что будет дальше и каков будет результат, покажет время. Мы будем следить за темой и информировать вас по мере развития событий, так что продолжение следует.

 

Поделиться ссылкой: