IATA ga reisebyråene ett år utsatt sikkerhetsfrist

04-05-2017

Pressemelding: 20. april 2017

For å få alle med måtte IATA gi reisebyråene nesten ett års utsettelse på innføringen av betalingskortindustriens datasikkerhetsstandard PCI DSS. Men, fra mars 2018 er det ingen bønn. Her er tre veier frem til mål og et hett tips i forhold til den nye personvernlovgivningen som berører alle norske bedrifter.

Reisebyråer og andre netthandels-bedrifter risikerer å bli sittende med regningen selv hvis penger eller data blir stjålet ved betaling på nett.

I praksis er vaksinen å følge betalingskortindustriens datasikkerhetsstandard PCI DSS. PCI Security Standards Council ble etablert av Visa, MasterCard, American Express, Discover og JCB i 2006. Hensikten var å øke sikkerheten for nettbetalinger og å hindre svindel. Målet nå å sørge for en verdensomspennende sikkerhetsstandard som beskytter kortholderens kontoinformasjon og samtidig gjøre det rimelig og enkelt å følge den.

IATA: Dette er tyvene på utkikk etter

Opprinnelig skulle IATA innføre standarden fra 1. juni 2017, men etter press fra reisebyråer er fristen i praksis utsatt til mars 2018. Fra ECTAA (Group of European Travel Agents’ and Tour Operators’ Associations within the EU) har vi fått videresendt et skriv fra IATA som opplyser at kravet om innføring fra 1. juni vil bli opprettholdt. Men, grunnet tidsbehov og kompleksiteten i å bli PCI DSS-compliant vil kravet ikke bli proaktivt fulgt opp før 1. mars 2018.

– Det er ikke uten videre lett å innfri PCI DSS-kravene. Belønningen er til gjengjeld at reisebyråene får et gjennomprøvd sikkerhetsopplegg som blir utviklet i takt med nye sikkerhetstrusler, sier Esten Hoel, kvalitets- og sikkerhetssjef  i Basefarm. Han legger til:

– Dette er ingen skrivebordsøvelse du gjør én gang i året. Her gjelder det å implementere nye rutiner fortløpende. Driver man i brudd med reglene, er risikoen høy for bøter og erstatningsansvar. Byråene kan ende opp med å måtte betale andres kredittregning.

Les mer fra IATA - hva tyvene er på utkikk etter

btn-top

Her er PCI DSS-kravene

Som den første tilbyderen av virksomhetskritisk IT-drift ble Basefarm selv PCI DSS-sertifisert tilbake i 2011. Målet var å etablere Basefarm som en leverandør til bank- og finansmarkedet. Selskapet er i dag attestert for versjon 3.2 som er den nyeste. Det er en omfattende prosess både å bli og opprettholde sertifiseringen som banker i praksis er nødt til å inneha i og med at kredittkort-transaksjoner er nært sammenvevd med bankvirksomhet. Bankene får en enklere og rimeligere sertifisering gjennom Basefarm sammenlignet med om de skulle ha sertifisert seg enkeltvis.

– Nå er PCI DSS-sertifiseringen vår blitt viktig også overfor reiselivsbransjen og i mange andre sammenhenger hvor sikring av betalingstransaksjoner og persondata er tema, sier Hoel.

I den forbindelse viser Hoel til GDPR som er en annen stor snakkis i den pågående digitaliseringsprosessen. GDPR innebærer at alle norske virksomheter får nye personvern-plikter fra mai 2018. GDPR-definisjonen av ”personlige data” er hva som helst som kan bli brukt til å identifisere et menneske. At reisebyråer blir berørt av GDPR er det med andre ord ingen tvil om.

– På en del områder er det mulig å gjenbruke tilpasninger til PCI DSS-standarden i forhold til GDPR. Reisebyråene behøver derfor ikke å gjøre dobbelt jobb på alle felter, sier han.

Les PCI DSS Kravene

btn-top

3 veier til PCI DSS-sertifisering

Så hva gjør man i praksis som e-commerce-aktører eller IATA-akkreditert reisebyrå?

i) Større bedrifter og organisasjoner kan selv bygge opp kompetanse og tilrettelegge IT-systemene sine slik at de kvalifiserer for og kan bli sertifisert for PCI DSS. I praksis vil et vanlig reisebyrå eller nettbutikk ikke ha ressurser til å gjøre dette på egenhånd.

ii) Virksomheter som Basefarm tar ansvaret for virksomhetskritisk IT-drift og sørger for at dataene er sikret gjennom et PCI DSS sertifisert miljø for andre bedrifter og organisasjonen. Basefarm kan med andre ord sørge for at systemer som selskapet drifter holdes i samsvar (er compliant) med standarden.

iii) IT-systemleverandører til reisebyråene kan sørge for at deres systemer er compliant med standarden. Når systemene for eksempel leveres som en nettjeneste (Software as a Service – SaaS) kan kundene være trygge.

Selv forbrukere blir eksponert for PCI DSS-begrepetSelv forbrukere blir eksponert for PCI DSS-begrepet, viser dette skjermbildet fra betalingstjeneste. De som følger standarden reduserer risikoen for selv å bli sittende med regningen ved kredittkortsvindel. Derfor er PCI DSS-sertifikat blitt et kvalitetsstempel. 

Last ned retningslinjer for PCI DSS compliance

Last ned retningslinjer for å kunne bli PCI DSS kompatibel

btn-top

Ønsker du mer informasjon om PCI DSS?

Ta kontakt med for nærmere informasjon:

Robert Baumann, markedssjef, på telefon 982 42 560
Esten Hoel, kvalitets- og sikkerhetssjef, på telefon 95176422

btn-top