Segurança de dados para agências de viagem e turismo: O papel crucial do PCI DSS
Desde que a Associação Internacional de Transporte Aéreo (IATA) introduziu a exigência de que as agências de viagens credenciadas obtivessem a conformidade com o Padrão de Segurança de Dados do PCI (PCI DSS), a importância e amadurecimento deste segmento vem evoluindo como um escudo vital contra os riscos crescentes de segurança de pagamento na indústria de viagens.
Mas quais as motivações para tudo isso?
Bom, a indústria de viagens e turismo têm sido um alvo frequente de ataques coordenados por cibercriminosos de atuação global. Esses setores oferecem inúmeras “oportunidades” para invasores obterem acesso a volumes substanciais de dados de pagamento com cartão.
Durante as altas temporadas de férias, por exemplo, as transações de viagens aumentam consideravelmente, expondo ainda mais as vulnerabilidades do setor. Ao reservar uma viagem, seja por meio de agências físicas, online ou por telefone, os consumidores compartilham dados sensíveis adicionando riscos e criando pontos de vulnerabilidade ao longo do processo.
Quais os desafios do cenário?
A maioria das agências de viagens é composta de pequenos negócios, frequentemente com recursos limitados em segurança da informação. Nestas, o manuseio dos dados do titular do cartão varia amplamente, desde métodos como anotar em papel, até inseri-los em sites sem as medidas adequadas de proteção. A falta de proteção adequada e de medidas assertivas de segurança da informação é ainda ampliada pelo fato de que algumas agências podem fazer reservas usando detalhes de empresas de viagens distintas, confundindo os bancos adquirentes.
A conformidade com o PCI DSS para as agências de viagem e turismo oferece assim, orientações práticas para o correto tratamento e manipulação destes dados e informações permitindo o entendimento do ciclo como os dados de pagamento são aceitos e processados e, do mapeamento das partes envolvidas e os métodos de compartilhamento de informações, seja online, por telefone ou através de dispositivos de pagamento aprovados.
Movida a estas preocupações e objetivando um futuro mais seguro da indústria de viagens e seus clientes, a IATA passou a exigir a conformidade de seus afiliados com o PCI DSS como uma medida essencial para fortalecer a resistência a imagem e operação da indústria de viagens contra ameaças cibernéticas cada vez mais sofisticadas.