Dal prossimo primo marzo ci sarà un protocollo in più da osservare per le agenzie di viaggi che svolgono anche l’attività di biglietteria Iata. L’associazione delle compagnie aeree ha infatti richiesto, entro questa data, di adeguarsi agli standard Pci Dss, ovvero Payment Card Industry - Data Security Standard per la gestione dei dati relativi alle carte di credito.
Questo significa che i dettaglianti hanno ancora meno di cinque settimane di tempo per adeguarsi alla richiesta. Ma, esattamente, in che cosa consiste lo standard Pci Dss?
“Si tratta di un insieme di 543 dettami - spiega Vittorio Amato, responsabile Industry relations di Welcome Travel - ed è uno standard, non una normativa”. Questo significa, innanzitutto, che Iata ha autonomamente deciso di adeguarsi: non si tratta, infatti di una prescrizione di legge.
Una questione di sicurezza
Semplificando, lo standard riguarda la sicurezza nella custodia e nella trasmissione dei dati relativi alle carte di credito. In particolare, per rientrare nello standard, “bisogna essere in grado di monitorare chi ha accesso ai dati sensibili relativi alle carte di credito”, precisa ancora Amato.
In sostanza, dunque, adeguarsi allo standard Pci Dss significa garantire di utilizzare tecnologie per il trattamento dei dati relativi alle carte di credito (dalla connessione alla conservazione) in grado di costituire, nel loro complesso, un sistema informatico sicuro.
Le agenzie non Iata
Ma questo significa che le agenzie di viaggi che non emettono biglietteria Iata non sono toccate dal provvedimento? In realtà, non fino in fondo. “Se emetto biglietteria Iata tramite un consolidatore, il collegamento che utilizzo deve essere protetto”, precisa Amato.
È necessario però specificare che lo standard in questione non è stato creato esclusivamente per il travel, ma è applicabile a qualunque categoria merceologica e a chiunque lavori con le carte di credito.
I controlli e le verifiche
In relazione alle nuove norme, Iata chiede alle agenzie di viaggi “di compilare un questionario di autovalutazione - prosegue il responsabile Welcome Travel - in cui l’agenzia stessa dichiara di essere conforme ai 534 dettami. È già questo primo passaggio non è semplice, perché è necessario sapere nel dettaglio cosa bisogna fare per essere in regola”.
Ma, ovviamente, la cosa non si esaurisce qui. “Chi afferma di essere in regola è poi soggetto a 3 ispezioni l’anno (da parte di soggetti qualificati dall’ente Pci Dss, non da Iata) per verificare che effettivamente rispetti i requisiti. E il costo dell’ispezione è a carico dell’agenzia di viaggi”.
C’è però un modo per evitare complicazioni, ed è quello di “utilizzare la certificazione di soggetti terzi”, precisa Amato. “Se decido di detenere i dati nel mio computer, infatti, io devo essere certificato. Se invece sfrutto un servizio cloud per conservare i dati, deve essere certificato il provider”. Non solo: “Sarà il provider stesso a ricevere (e dunque pagare) le ispezioni, non l’agenzia di viaggi. Ed è in sostanza questa la soluzione che noi proponiamo”.
Welcome Travel, infatti, ha annunciato da poche ore l’accordo con Sicuritalia per supportare (nei brevi tempi previsti dalla tabella di marcia della Iata) le agenzie di viaggi del network in questo ulteriore adempimento.