ACUERDO ADVANTIO - PIPELINE SOFTWARE

Acuerdo con Advantio para facilitar a las agencias IATA el cumplimiento de los requisitos PCI DSS

El 1 de marzo de 2018 entrarán en vigor las disposiciones de IATA relacionadas con la normativa PCI DSS (Payment Card Industry Data Security Standards). Puede encontrar más información en http://www.iata.org/services/finance/Pages/pci-dss.aspx

Las agencias que no procesen transacciones mediante tarjeta de crédito deberán enviar una autodeclaración a través del Portal del Cliente de IATA. Tras la entrega de dicha declaración, IATA no solicitará ninguna prueba de cumplimiento de PCI DSS, pero la forma de pago con tarjetas de crédito quedará deshabilitada para la agencia.

Las agencias que deseen seguir realizando transacciones con tarjeta de crédito necesitan cumplir los requisitos PCI DSS (de acuerdo con las resoluciones de IATA 818g, punto 2.1.18 y 890, punto 2.1.6). Para ello tienen 2 opciones (http://www.iata.org/services/finance/Documents/pci-dss-compliance-procedure.pdf):

a) La opción más económica es que la agencia realice una autoevaluación mediante el cuestionario (SAQ) correspondiente + test de red cuatrimestrales realizados por un ASV (Approved Scanning Vendor, de acuerdo con la FAQ nº 13, disponible en http://www.iata.org/services/finance/Documents/pci-dss-faqs.pdf). En https://www.pcisecuritystandards.org/documents/SAQ-InstrGuidelines-v3_2.pdf pueden encontrar información sobre este procedimiento y una guía de los distintos SAQ disponibles.

Dada la complejidad de este proceso, existen empresas que han desarrollado sistemas que facilitan la autoevaluación y además ofrecen los test de red requeridos. Entre estas empresas, Pipeline Software recomienda contratar el servicio de Advantio, a través de https://pipeline.zerorisk.io/signup/plans. Adjuntamos información adicional. La tarifa de Advantio son 486 € por 3 años (162 € anuales) o 186 € si se contrata únicamente por un año. La contratación a través del link indicado incluye soporte básico complementario adicional por parte de Pipeline Software y es especialmente recomendable para los usuarios de nuestras aplicaciones Orbis de Gestión Comercial para Agencias de Viajes. Advantio es también la empresa recomendada por UNAV y otras organizaciones. IATA recomienda otra empresa similar, Trustwave, aunque su tarifa es más elevada (a partir de 250 USD anuales) y Pipeline Software no puede ayudar a los usuarios que opten por esa posibilidad.

b) La segunda opción es obtener es obtener una certificación emitida por un QSA (Asesor de Seguridad Cualificado). Entre las distintas empresas que prestan este servicio cabe destacar A2SECURE, que ha alcanzado acuerdos con ACAVe y CEAV. Los costes de esta opción son mucho más elevados, estimándose entre 990 € y 13.200€ anuales en función del SAQ requerido por cada agencia.

La certificación de agencias con aplicaciones de gestión instaladas localmente resulta mucho más compleja, por lo que se recomienda la utilización de nuestra aplicación Orbis ASP. Pipeline Software está completando una autoevaluación con el SAQ D para facilitar el cumplimiento de los requisitos PCI DSS a las agencias usuarias de esta aplicación.

Para las agencias que tienen cualquier versión de Orbis instalada localmente (en modalidad de adquisición de licencia, renting o SaaS), Orbis utiliza SQL Server como base de datos y utiliza las funciones criptográficas implementadas en SQL Server para almacenar los datos de las tarjetas de crédito. Concretamente utiliza la función ENCRYPTBYPASSPHRASE, que cifra los datos mediante una frase de contraseña usando el algoritmo TRIPLE DES con una longitud de clave de 128 bits. Esta encriptación se implementó el 06-03-2017 y está disponible en todas las aplicaciones Orbis (Orbis Junior, Orbis Profesional, Orbis Empresarial, Orbis Mayorista, Orbis ASP y Orbis SaaS), a partir de la Versión 2017 Rev. B (inclusive). Esta encriptación es uno de los requisitos imprescindibles para poder lograr la certificación PCI DSS.

Por ahora no es necesario enviar ninguna autodeclaración ni prueba del cumplimiento de PCI DSS. IATA avisará cuando requiera esta documentación, informando del calendario y método de envío. Recordamos que, de acuerdo con las Resoluciones de IATA 820e, punto 1.3.2  890, punto 1.4, no es lícito pagar en ningún caso utilizando una tarjeta de crédito de la agencia.

Más información:

IATA. Manual del Agente. Edición 818g. Válido a partir del 1 de julio de 2017.

PCI Security Standards Council

FAQ