Ako vaša turistička agencija koristi GDS sustave (npr. Amadeus, Travelport, Sabre) i obrađuje plaćanja karticama, vjerojatno ste već čuli za PCI DSS certifikaciju. No, što to točno znači, zašto je važna i kako ju dobiti?
Od 2018. godine IATA zahtijeva da sve akreditirane agencije prođu PCI DSS certifikaciju. Bez nje, možete se suočiti s ograničenjima u radu s avio-kompanijama i bankama. Osim toga, ovo nije samo još jedna birokratska obaveza – radi se o zaštiti podataka vaših klijenata, izbjegavanju mogućih prijevara i osiguravanju sigurnosti vašeg poslovanja.
Ako vam sve ovo zvuči komplicirano – bez brige! U nastavku donosimo jednostavan vodič koji će vam objasniti kako sve to funkcionira i što trebate napraviti.
Što je PCI DSS i koga se tiče?
PCI DSS (Payment Card Industry Data Security Standard) je globalni sigurnosni standard koji osigurava zaštitu podataka o kartičnim plaćanjima.
Ako vaša agencija prima, obrađuje ili pohranjuje podatke o platnim karticama, tada ste obavezni zadovoljiti ovaj standard. To vrijedi za sve agencije u Hrvatskoj, Sloveniji, Srbiji, BiH, Crnoj Gori i Sjevernoj Makedoniji – bez obzira na veličinu.
Jednostavno rečeno: Ako primate uplate karticama – morate biti usklađeni s PCI DSS standardom.
Kako izgleda proces certifikacije?
PCI DSS certifikacija može zvučati komplicirano, ali u stvarnosti se proces može podijeliti na nekoliko konkretnih koraka:
1. Odredite koliko ste “veliki”
Postoje četiri razine trgovaca, ovisno o broju kartičnih transakcija godišnje:
- Razina 1 – Više od 6 milijuna transakcija godišnje (veliki sustavi, OTA portali).
- Razina 2 – 1 do 6 milijuna transakcija godišnje (veće agencije).
- Razina 3 – 20.000 do 1.000.000 e-commerce transakcija godišnje.
- Razina 4 – Manje od 20.000 e-commerce transakcija godišnje (većina agencija spada ovdje).
Ako ste manja agencija, postupak certifikacije bit će puno jednostavniji i jeftiniji!
2. Odaberite način certifikacije
- Samoprocjena (SAQ upitnik) – Manje agencije mogu same ispuniti upitnik i dostaviti ga banci ili IATA-i.
- Nezavisni audit (QSA izvještaj) – Veće agencije moraju angažirati certificiranog sigurnosnog stručnjaka (QSA) koji provodi detaljnu provjeru.
3. Uvedite sigurnosne mjere
Kako biste zadovoljili standard, morate implementirati određene mjere zaštite podataka, poput:
Sigurnog unosa kartičnih podataka (nema zapisa na papirima ili čuvanja sa strane!)
Enkripcije podataka
Kontrole pristupa i jačih lozinki
Redovitog testiranja sigurnosti
4. Provedite sigurnosna skeniranja
Ako imate online sustave, morate provesti kvartalna skeniranja ranjivosti putem ovlaštenih pružatelja usluga (ASV).
5. Ispunite i predajte dokumentaciju
Kad ste sigurni da ste sve implementirali, ispunjavate Attestation of Compliance (AOC) i predajete dokumente banci ili IATA-i.
Cijena PCI DSS certifikacije ovisi o veličini vaše agencije i načinu rada:
Male agencije (razina 4) – 200 do 500 EUR godišnje
Srednje agencije – 2.000 do 10.000 EUR godišnje
Velike agencije i OTA portali – 15.000 do 40.000 EUR ili više
Ako koristite vanjske servise za plaćanja (npr. payment gateway koji je već PCI DSS certificiran), vaša certifikacija može biti jednostavnija i jeftinija!
Tko provodi PCI DSS certifikaciju?
Ako ste mala agencija, certifikaciju možete provesti samostalno kroz SAQ upitnik. Međutim, ako vam je potreban profesionalni audit, u regiji djeluju ove ovlaštene QSA tvrtke:
VikingCloud (SecureTrust) – Partner IATA-e, nudi digitalni alat za PCI certifikaciju.
Advantio – Europska tvrtka specijalizirana za sigurnost u turizmu.
SecurityMetrics – Pruža SAQ alat i sigurnosna skeniranja.
ECS (Hrvatska) – Lokalne konzultantske usluge za PCI DSS.
Deloitte, KPMG, PWC, Trustwave, Foregenix – Međunarodni pružatelji QSA audita.
PCI DSS nije samo obaveza, to je ulaganje u sigurnost vaših klijenata i vašeg poslovanja! Vjerujem da ste svi upoznati s ovim procesima i vjerojatno ste svi svjesni rizika koji razvojem tehnologoje sve više dolaze do izražaja. Koliko mi je poznato Non-Iata agencije nemaju ovu obavezu ali vjerujem da ovakve provjere mogu pomoći, ako ne ništa, onda da makar osvjeste zaposlenike o važnosti rukovanja karticama na način da što manje izlažu riziku klijente, sebe i svoje agencije.