ИНФОРМАЦИОННЫЙ ТРЭВЕЛ - ПОРТАЛ

IATA АТТЕСТОВАЛА АГЕНТСТВА ГК «МОЙРЕЙС»

 

 

В третьем выпуске АвиаГоризонтов мы подняли важный для агентской среды вопрос обеспечения соответствия агентства требованиям PCI DSS – Стандарту безопасности данных платежных карт согласно Распоряжению IATA от 24 мая 2018 года. Мы продолжаем тему и делимся соответствующим опытом ЗАО «АЛЬЯНС-ТРЭВЕЛ».

 

 

 

Сегодня мы не можем обойтись без платежных карт. Это действительно удобный инструмент, который всегда под рукой и позволяет исключить многие рутинные процессы, связанные с учетно-расчетными операциями. Но платежная карта это и «зеркало» личных данных клиента и корпоративных платежных реквизитов, которые являются лакомым куском для хакеров и объектом мошеннических действий.

В авиатранспортной среде требование по обеспечению безопасности операций с платежными картами сегодня обрело особую актуальность, поскольку отрасль вышла на переломный этап авиационной дистрибуции, который характеризуется широкомасштабным внедрением новых стандартов по обмену данными в рамках NDC, появлением альтернативных дистрибутивных каналов, новыми бизнес-моделями и схемами коммерческого взаимодействия субъектов отрасли.

Вполне естественно, что для IATA, которая разрабатывает и внедряет общеотраслевые нормативы для авиатранспортного рынка, индустрия платежных карт, в целом, и обеспечение соответствия вышеупомянутому стандарту PCI DSS, в частности, являются важнейшими приоритетами в контексте учетно-расчетных процессов.

Напомним, что стандарт PCI DSS является высоко авторитетным и был разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Структурно, он представляет собой 12 критериев безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.

Обязательство по соблюдению стандарта PCI DSS распространяется на все аккредитованные IATA организации, принимающие транзакции по картам на основании договора торгово-сервисного предприятия с обслуживающим банком или оформляющие транзакции по картам в рамках систем BSP, включая трэвел-агентов.

На уровне отраслевых нормативов правила продаж по банковским картам определяются Резолюциями IATA 812 и 890. В последней, в частности, говорится, что в процессе продажи авиаперевозки агент обязан убедиться в том, что тип предъявленной банковской карты принимается к оплате членом IATA или авиакомпанией, на чьем перевозочном документе оформляется перевозка. Если же агент принял банковскую карту, которая не соответствует данному критерию, член IATA или авиакомпания вправе взыскать с такого агента соответствующую сумму и выставить ему дебетовое авизо (ADM), а в странах, где нет системы BSP, — счет на соответствующую сумму.

 

 

В конце марта 2018 года IATA уведомила своих членов и аккредитованных представителей Конференции агентств по пассажирским авиаперевозкам «Меморандум по Резолюции 812 в части ограничений агента по методу оплаты платежными картами клиента», в котором, в частности, отмечается, что в определенных ситуациях IATA может дать указание провайдерам систем электронного тикетирования (TSP) активировать/деактивировать те или иные способы оплаты на уровне агента, в том числе, наличными деньгами или по кредитной карте. Подобные ситуации могут возникнуть в результате изменений в типе аккредитации агента, использования максимального предела перечисления (RHC), либо в ответ на риск нарушения отраслевых нормативов.

Российским агентам необходимо оперативно разбираться в этой теме и быть готовым к изменениям.

В этой связи мы хотели бы поделиться своим опытом в этой области.

ЗАО «АЛЬЯНС-ТРЭВЕЛ» имеет на своих интернет-сайтах www. мойрейс.рф и www.moireis.ru  платежную страницу провайдера. Мы обратились к нашему платежному провайдеру за консультацией и он дал следующую рекомендацию: «Так как IATA, заботясь о безопасности, требует от своих агентов пройти сертификацию PCI DSS, агенту необходимо заполнить анкету самооценки соответствия требованиям PCI DSS  и провести ASV-сканирование * (Это необходимо делать ежегодно). По результатам этих действий полученные документы  необходимо направить в IATA.»

*ASV – сканирование — это проверка интернет-сайта на предмет уязвимости при возможных мошеннических действиях и хакерских атаках.

Согласно распоряжению IATA от  24 мая 2018 года о необходимости подтвердить соответствие  агентства стандарту PCI DSS  следующие аккредитованные в IATA агентства группы компаний МойРейс:

— ALLIANCE TRAVEL JSC  (92 2 2257 2)

— GC BUSINESS CENTER LLC (92 2 2945 4)

— CENTRAL AIR SERVICE  (92 2 2974 5)

прошли процедуру  получения подтверждения соответствия PCI DSS и необходимые подтверждающие документы были направлены в IATA.

В сентябре 2018 года мы получили ответ, что указанные выше агентства ГК МойРейс получили подтверждение соответствия стандарту PCI DSS в IATA (PCI DSS Attestation of compliance) и соответствующая запись внесена в базу данных IATA.

Подтверждение соответствия стандарту PCI DSS имеет срок действия и должно обновляться ежегодно.

Надеемся, что наш опыт и изложенная информация будут полезны наши коллегам.

Поделиться ссылкой: