PCI DSS – CHIARIMENTI RISPETTO ALLA CIRCOLARE DEL 2 FEBBRAIO ALLE ADV IN BSP

Alla luce della nuova circolare IATA inviata a tutte le ADV in BSP lo scorso 2 febbraio, riguardo alla “proroga” dell’adeguamento degli standard PCI DSS, è opportuno chiarire alcuni elementi.
Prima di tutto, afferma Fiavet, che il termine dell’1 marzo 2018 di adeguamento delle agenzie allo standard PCI DSS non è perentorio ma indicativo.
A suffragio di questa affermazione è sufficiente prendere come riferimento la circolare Iata che sul punto riporta “se l’agente di viaggio si trova attualmente in un paese regolato dalla Risoluzione 818g (caso dell’Italia), la mancata rispondenza ai requisiti come da richiesta Iata (01.03.18) comporta l’invio all’agente di un avviso di non conformità, con notifica alle compagnie aeree associate. Tale avviso rimarrà valido fino a quando il paese dell’attività dell’agente non migra verso il nuovo sistema NewGen Iss ai sensi della Risoluzione 812…”, termine previsto a partire dal 1° aprile 2019 per l’Italia.
 Quindi per specificare ulteriormente, qualora le agenzie non dovessero adeguarsi, IATA attiverà delle procedure articolate in diversi tempi e modi che si concretizzeranno con una diffida dell’Agenzia all’adeguamento e consisteranno nel limitare immediatamente l’uso del metodo di pagamento con carta del cliente da parte dell’agente che perdurerà fino a quando l’agente non abbia dimostrato in modo soddisfacente per IATA che la condizione di non conformità amministrativa sia stata risolta e che l’agente stesso abbia tutti i requisiti idonei per l’autorizzazione all’uso del metodo di pagamento con carte del cliente.
Successivamente alla diffida quindi si avrà tempo massimo fino al primo aprile 2019 per adeguarsi con l’entrata in vigore il nuovo bsp chiamato NewGen Iss e solo dopo tale data si attiveranno le procedure di inibizione di pagamento con la carta appena citate.
Inoltre con l’adozione del Payment Card Industry Data Security Standard le agenzie saranno chiamate a rispondere ad altre criticità come la formazione dell’Agente e del personale, la protezione dei dati sensibili compatibilmente con il nuovo standard Iata  il quale andrà ad incrociarsi con il nuovo regolamento UE 2016/679 sulla privacy il  General Data Protection Regualtion la cui entrata in vigore sarà prevista  il prossimo 25 maggio la quale inciderà profondamente sul trattamento e protezione dei dati on-line.
Per poter ovviare a tali criticità Fiavet si è attivata sul mercato per individuare degli operatori da convenzionare che siano certificati secondo lo standard PCI DSS.
Cordiali saluti.
Ernesto Mazzi
Responsabile Commissione Trasporti Fiavet
Prot. 23/18 – News 19