MUISZ-fórum az új bankkártya adatkezelési szabályokról
Forrás: turizmus.com
2017. május 11. 20:10
Tátrai Péter, az AperSky képviseletében prezentációjában elmondta, hogy a cég az egyetlen magyar tulajdonú PCI auditor itthon, így releváns segítséget tud nyújtani a témában érdeklődő irodáknak.
A fórumon elhangzott, hogy az AperSky az egyetlen magyar tulajdonú PCI-auditor itthon |
|
A PCI-DSS szabványról
A szabványt, szabályrendszert a bankkártya-adatok biztonságának garantálása hívta életre, hiszen napjainkban komoly veszélyt jelentenek a hekkertámadások, fizikai adatlopások a turizmusban is.
Az internetes vásárlás sok esetben egy bank weboldalára való átirányítással történik, ezen a ponton avatkozhatnak illetéktelenek a folyamatba. Az adattovábbítási, tárolási folyamatokat éppen ezért komoly védelemmel kell ellátni.
Az utazási irodák gyakran alkalmaznak POS terminált, mely szintén ki van téve a veszélynek. Az ügyfelek, illetve utasok bankkártya adatait csak és kizárólag védetten kezelhetik, erős titkosítással adhatják tovább azokat. Az adattárolást papíron lehetőleg kerülni kell.
A PCI-DSS adatbiztonsági szabvány tulajdonosa a PCI Council. A részletes követelményrendszer különböző technikai és informatikai elvárásokat is tartalmaz, célszerű a jövőben ehhez igazodva meghatározni a turisztikai vállalkozás működését.
Határidők
A IATA először megadott egy június elsejei határidőt, mely a jövő héten folytatódó szakmai egyeztetések után 2018 márciusára módosulhat. A határidő be nem tartása komoly bírságot vonhat maga után.
A szigorú szabályok teljesítése előnyökkel is jár, hiszen növeli az ügyfelek bizalmát az adott iroda felé, nő a kártyatudatosság, növeli az iroda hírnevét a piacon. Rengeteg kellemetlenség előzhető meg segítségével.
A szabvány hatásköre minden, az irodában használt fizetési módra kiterjed (online tranzakció, POS terminál, GDS rendszer stb.).
Adatszolgáltatás módja
Amennyiben elegendő adatszolgáltatást nyújt, a vállalkozás választhatja az önértékelő kérdőívet, mellyel igazolni lehet a szabályos működést. Az SAQ kérdőív hitelességét növelheti egy auditáló cég ellenjegyzése. A kitöltött dokumentumot a IATA részére kell eljuttatni várhatóan.
Ha még relevánsabb adatszolgáltatásra van szükség, a kérdőív helyett helyszíni auditálásra kerül sor, mely során elemzik a céget, annak tranzakciós folyamatait. A költséges eljárás végén nincs hibahatár, tökéletes megfelelés szükséges. A megfelelési dokumentum szintén a IATA felé továbbítandó.
A MUISZ a közelmúltban tájékoztató levelet küldött tagirodáinak, mely segít eligazodni a kérdéskörben és segít meghatározni, hogy mely típusú kérdőívet kell kitölteni.
Simon András, a MUISZ légi közlekedési bizottságának vezetője kiemelte, a szövetség több hete egyeztet a IATA-val. A jövő hét folyamán további megbeszéléseket folytatnak az adatszolgáltatás pontos határidejéről, a követelményekről. A MUISZ honlapján további információk várhatóak a témában.