PCI DSS certifikacija za turističke agencije – sve što trebate znati

Ilustracija Photo by ThisIsEngineering/Pexels

Ako vaša turistička agencija koristi GDS sustave (npr. Amadeus, Travelport, Sabre) i obrađuje plaćanja karticama, vjerojatno ste već čuli za PCI DSS certifikaciju. No, što to točno znači, zašto je važna i kako ju dobiti?

Od 2018. godine IATA zahtijeva da sve akreditirane agencije prođu PCI DSS certifikaciju. Bez nje, možete se suočiti s ograničenjima u radu s avio-kompanijama i bankama. Osim toga, ovo nije samo još jedna birokratska obaveza – radi se o zaštiti podataka vaših klijenata, izbjegavanju mogućih prijevara i osiguravanju sigurnosti vašeg poslovanja.

Ako vam sve ovo zvuči komplicirano – bez brige! U nastavku donosimo jednostavan vodič koji će vam objasniti kako sve to funkcionira i što trebate napraviti.

Što je PCI DSS i koga se tiče?

PCI DSS (Payment Card Industry Data Security Standard) je globalni sigurnosni standard koji osigurava zaštitu podataka o kartičnim plaćanjima.

Ako vaša agencija prima, obrađuje ili pohranjuje podatke o platnim karticama, tada ste obavezni zadovoljiti ovaj standard. To vrijedi za sve agencije u Hrvatskoj, Sloveniji, Srbiji, BiH, Crnoj Gori i Sjevernoj Makedoniji – bez obzira na veličinu.

Jednostavno rečeno: Ako primate uplate karticama – morate biti usklađeni s PCI DSS standardom.

Kako izgleda proces certifikacije?

PCI DSS certifikacija može zvučati komplicirano, ali u stvarnosti se proces može podijeliti na nekoliko konkretnih koraka:

1. Odredite koliko ste “veliki”

Postoje četiri razine trgovaca, ovisno o broju kartičnih transakcija godišnje:

  • Razina 1 – Više od 6 milijuna transakcija godišnje (veliki sustavi, OTA portali).
  • Razina 2 – 1 do 6 milijuna transakcija godišnje (veće agencije).
  • Razina 3 – 20.000 do 1.000.000 e-commerce transakcija godišnje.
  • Razina 4 – Manje od 20.000 e-commerce transakcija godišnje (većina agencija spada ovdje).

Ako ste manja agencija, postupak certifikacije bit će puno jednostavniji i jeftiniji!

2. Odaberite način certifikacije

  • Samoprocjena (SAQ upitnik) – Manje agencije mogu same ispuniti upitnik i dostaviti ga banci ili IATA-i.
  • Nezavisni audit (QSA izvještaj) – Veće agencije moraju angažirati certificiranog sigurnosnog stručnjaka (QSA) koji provodi detaljnu provjeru.

3. Uvedite sigurnosne mjere

Kako biste zadovoljili standard, morate implementirati određene mjere zaštite podataka, poput:
Sigurnog unosa kartičnih podataka (nema zapisa na papirima ili čuvanja sa strane!)
Enkripcije podataka
Kontrole pristupa i jačih lozinki
Redovitog testiranja sigurnosti

4. Provedite sigurnosna skeniranja

Ako imate online sustave, morate provesti kvartalna skeniranja ranjivosti putem ovlaštenih pružatelja usluga (ASV).

5. Ispunite i predajte dokumentaciju

Kad ste sigurni da ste sve implementirali, ispunjavate Attestation of Compliance (AOC) i predajete dokumente banci ili IATA-i.

Cijena PCI DSS certifikacije ovisi o veličini vaše agencije i načinu rada:
Male agencije (razina 4) – 200 do 500 EUR godišnje
Srednje agencije – 2.000 do 10.000 EUR godišnje
Velike agencije i OTA portali – 15.000 do 40.000 EUR ili više

Ako koristite vanjske servise za plaćanja (npr. payment gateway koji je već PCI DSS certificiran), vaša certifikacija može biti jednostavnija i jeftinija!

Tko provodi PCI DSS certifikaciju?

Ako ste mala agencija, certifikaciju možete provesti samostalno kroz SAQ upitnik. Međutim, ako vam je potreban profesionalni audit, u regiji djeluju ove ovlaštene QSA tvrtke:

VikingCloud (SecureTrust) – Partner IATA-e, nudi digitalni alat za PCI certifikaciju.
Advantio – Europska tvrtka specijalizirana za sigurnost u turizmu.
SecurityMetrics – Pruža SAQ alat i sigurnosna skeniranja.
ECS (Hrvatska) – Lokalne konzultantske usluge za PCI DSS.
Deloitte, KPMG, PWC, Trustwave, Foregenix – Međunarodni pružatelji QSA audita.

PCI DSS nije samo obaveza, to je ulaganje u sigurnost vaših klijenata i vašeg poslovanja! Vjerujem da ste svi upoznati s ovim procesima i vjerojatno ste svi svjesni rizika koji razvojem tehnologoje sve više dolaze do izražaja. Koliko mi je poznato Non-Iata agencije nemaju ovu obavezu ali vjerujem da ovakve provjere mogu pomoći, ako ne ništa, onda da makar osvjeste zaposlenike o važnosti rukovanja karticama na način da što manje izlažu riziku klijente, sebe i svoje agencije.

Related posts

EU RAZMATRA PROMJENE PRAVA PUTNIKA: NAKNADA ZA KAŠNJENJE LETOVA TEK NAKON PET SATI ČEKANJA?

IndiGo uvodi Amadeusov sustav za upravljanje prihodima

RateHawk i Hays Travel sklopili strateško partnerstvo

Tragento.com koristi kolačiće ( 🍪 cookies) kako bi omogućili bolje korisničko iskustvo. Nastavljajući svoju posjetu na našoj web stranici, pristajete na to da koristimo kolačiće, ali ne i osobne podatke Pročitaj više