Agencias IATA: más procesos, más costos

Hasta marzo de 2018 se extendió el plazo para que las agencias de viajes IATA de la región cumplan con el estándar de seguridad PCI DSS para el pago con tarjetas de crédito. A pesar de los costos y el engorroso proceso de certificación, las empresas colombianas avanzan a buen ritmo en esta nueva exigencia de buenas prácticas de seguridad en la información.

La exigencia tomó por sorpresa a todo el subsector de las agencias de viajes en Latinoamérica. A comienzos de marzo, la IATA emitió un comunicado hacia las agencias afirmando: “Desde la IATA hemos estado trabajando en asuntos relacionados con los riesgos asociados a las transacciones con tarjeta de pago y posibles violaciones de datos. Siguiendo el asesoramiento que se nos ha facilitado, consideramos que es fundamental que los agentes acreditados que utilizan el BSP confirmen que cumplen con las Normas de seguridad de pagos (DSS o ‘Data Security Standard’) de la Industria de tarjetas de pago (PCI o ‘Payment Card Industry’)”. Y sentenció en ese momento: “A partir del próximo 1º de junio de 2017 el cumplimiento de las DSS de la PCI será requisito obligatorio para obtener y continuar disfrutando de la acreditación en calidad de agente de la IATA en todas las oficinas acreditadas que procesen transacciones con tarjetas de crédito. El incumplimiento de las DSS de la PCI resultará en la presentación de dos casos de irregularidad a su agencia”.

La preocupación, por supuesto, no se hizo esperar. Para muchas agencias el tema resultaba desconocido o por lo menos ajeno a sus procesos internos, a pesar de que en el ámbito mundial el llamado PCI-DSS es un estándar que cuenta con más de 10 años de implementación, especialmente en compañías de retail en Estados Unidos y Europa. Ante la alarma y el llamado de los gremios de agencias de viajes de toda la región reunidos en el Folatur, la IATA accedió a postergar el plazo hasta marzo de 2018, sin embargo la molestia quedó en el aire en lo que fue considerado un capítulo más de las decisiones unilaterales de la asociación de aerolíneas. “Estamos de acuerdo con la implementación de los sistemas de seguridad PCI DSS porque consideramos que son estándares universales que tienen que efectuarse en pro de todos los asociados y los consumidores. Sin embargo, reprochamos que con el anuncio se dijera que si las agencias no cumplían tendrían una irregularidad. Consideramos que la orden se dio muy apresurada, por lo que Anato solicitó directamente a la IATA que les diera a las agencias de viajes un plazo adicional para poder certificarse. De esta forma se logró ampliar hasta el próximo año, teniendo en cuenta que es un mecanismo bastante complejo y que los costos dependen del tamaño de la operación”, afirmó a este medio la presidenta de Anato, Paula Cortés Calle.

 

¿QUÉ ES EL PCI-DSS?

En septiembre de 2006, las empresas de tarjetas, tanto de crédito como de débito, conformaron un comité que desarrolló un estándar de seguridad de datos para toda la industria denominado PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos de la Industria de las Tarjetas). Este protocolo es administrado por un consejo denominado el SSC (Security Standard Council) que tiene como finalidad ayudar a las organizaciones que procesan, almacenan y transmiten datos de tarjetahabientes en todo el mundo. El objetivo del estándar es reducir y minimizar los fraudes en los pagos con tarjeta de crédito y la violación en la confidencialidad de los datos. Por supuesto, la integración en ese sistema demanda una inversión y costos extras. No sólo en la adopción de procesos, sino, sobre todo, en la actualización de los sistemas de información y adopción de software bajo licencia. Precisamente, para apoyar a sus asociados en este nuevo reto, Anato hizo dos alianzas, una con la empresa Identian, que hace todo el tema de certificación internacional en normas PCI DSS, y otra que se firmó recientemente con Incocrédito para que las agencias de viajes tuvieran un precio preferencial y más asequible y cumplir así con estas condiciones internacionales. “De esta forma nuestras asociadas ya han empezado a certificarse”, apuntó Cortés.

 

AGENCIAS COLOMBIANAS AVANZAN A BUEN RITMO.

Actualmente, según pudo indagar este medio, la única agencia de viajes que cuenta con la certificación PCI DSS es Despegar Colombia, compañía que de hecho se encuentra recibiendo la auditoría de recertificación del período 2017-2018. “La implementación aporta buenas prácticas de seguridad en general, tanto a nivel de arquitectura (infraestructura de red, configuración de servidores, procedimientos técnicos, etc.) como a nivel de procesos operativos. De manera que si se desea reducir el riesgo de sufrir un ataque dirigido a los datos de tarjeta, certificar PCI DSS es la mejor opción. También puede conllevar a una mejora de la imagen de la empresa, ya que los clientes percibirán que la entidad se preocupa e invierte en medidas de protección para los datos más sensibles”, afirmó Felipe Botero, country manager de Despegar Colombia.

En el caso del Grupo Aviatur, la compañía viene trabajando desde hace cerca de dos años en la implementación en un proceso que es transversal para toda la organización. De acuerdo con Pilar González, gerenta de Seguridad de la Información, en este proceso no solo intervienen la parte de tecnología sino los procesos y personas. “Se ha tenido que alinear a todas las empresas y a todos los canales hacia el logro común de obtener la certificación. En la práctica intervienen de manera importante el área de tecnología, el área financiera, el área de ventas para los canales de atención presencial, telefónico (call center), virtual y corporativo, que son los que establecen el contacto directo con los clientes. También el área de atención al cliente y las áreas de control pago transaccional”, apuntó la experta y agregó que las inversiones son bastante elevadas teniendo en cuenta el costo del personal que interviene en el proyecto y los mecanismos de seguridad que se incorporan.

Para Andrés Monguí, gerente de BDC Travel, si bien es un proceso complicado, es el nivel al que se tiene que llegar como industria: “Mi compañía hace cerca de 1.000 transacciones diarias en donde hay clientes de todo tipo y se manejan muchos documentos y medios de pago. Creo que todas las buenas prácticas que están establecidas en la norma son favorables para garantizar que haya seguridad para nuestros clientes y para nosotros, porque finalmente cuando sucede una transacción fraudulenta el establecimiento comercial finalmente es responsable”.

En el caso de Ultraviajes (GoTravelRes), su CEO Andrés Peláez señaló que la compañía avanza en un 60% en la implementación de la certificación: “Lo más importante es asignar el recurso humano y generar la concientización de la empresa de que éste es un tema clave que hay que sacarlo. Hoy en día las empresas no solo tienen que construir muros físicos sino virtuales que nos permitan salvaguardar adecuadamente la información”.

Por su parte, la alianza de agencias Travel Group avanza en un proyecto que tiene como objetivo certificar en la norma a sus cerca de 40 agencias hacia finales de diciembre. Así lo reveló Sofía Zárate, gerenta de Travel Grup, y agregó que hay disponible para ese propósito un presupuesto de $ 40 millones para aportar los procesos de cada agencia. Se trata, por supuesto, de un monto parcial, toda vez que hay cotizaciones que ascienden a los $ 17 millones por agencia.

En el caso de Tourexito, la implementación del PCI DSS implicó una inversión cercana a los $ 12 millones, según manifestó su gerente Carlos Moreno: “Creo que es un estándar que nos impulsa a estar a la altura de los mercados más importantes y que se complementa con el tema de protección de bases de datos que ya estamos manejando”.

Para Jaime Borrero, presidente del Grupo Over, “todo esfuerzo económico que se haga para mejorar los estándares de seguridad deben ser tomados como una inversión. Creo que todas tienen elementos de seguridad incorporados en sus procesos; si existen estándares que los complementan, pues bienvenidos”, apuntó.

 

¿CONTRACCIÓN EN LAS AGENCIAS IATA?

Al margen del buen ritmo al que avanzan las principales agencias del país en esta materia, no ha pasado desapercibida la posibilidad de que la exigencia genere una contracción de las agencias IATA, en la medida que muchas agencias prefieran ahorrarse la inversión y emitir tiquetes vía las agencias consolidadoras. “Creo que muchas agencias no están en condiciones de asumir los costos, especialmente con las condiciones actuales del mercado. En la relación ‘invertir en las empresas’ versus ‘rentabilidad actual de las agencias’, para muchos es preferible plegarse a grupos como Aviatur, Despegar, Bestravel, etc.”, manifestó Moreno.

Lo propio cree Daniel López, gerente de Colaéreo, para quien exigencias de este tipo, sumadas a las pólizas que exige la IATA, pueden llevar a las agencias pequeñas a preferir trabajar con un consolidador.

Para Borrero una decisión de este tipo, aunque respetable, resulta equivocada. “Creo que darle la espalda a las recomendaciones sobre un hecho tan evidente como es el manejo de la información no es una decisión acertada”, apuntó.

Sin embargo, la posibilidad está abierta. Para Viviana Cruz, encargada del tema en Aeroviajes Pacífico, una de las agencias más adelantadas en la implementación, “con este requerimiento van a ser muy poquitas las IATA a no ser que todos se hayan puesto juiciosos desde hace tiempo”, apuntó la experta y agregó que el tema de la información errónea en este tipo de procesos es “bien delicado”.

Aún restan poco menos de seis meses para el vencimiento del plazo; solo el tiempo dirá qué sucederá con las cerca de 540 agencias de viajes afiliadas a la IATA que existen actualmente en el país.

“Creo que el gran desafío para las agencias de viajes de hoy es el almacenamiento de datos sensibles. No se trata solamente de un tema de tecnología, de ‘yo compro, yo contrato’. Es importante que las agencias conozcan el nivel de riesgo y exposición que tienen”, afirmó a este medio Carlos Caetano, director regional asociado del PCI Security Standards Council.

 

EN NÚMEROS

540 son las agencias de viajes colombianas afiliadas a la IATA.

1 agencia de viajes cuenta con la certificación PCI DSS: Despegar Colombia.

03/2018 es cuando vence el plazo para obtener la certificación.

FUENTE: agencias-iata-mas-procesos-mas-costos

Temas relacionados

Deja tu comentario

Notas de Tapa