Seminario PCI-DSS o Cómo superar la parálisis del miedo

"Quisimos acercarles el tema, plantearlo, tratar de entenderlo entre todos y darles herramientas para que decidan qué hacer", comentó a modo de cierre Marcelo Marchetti, uno de los responsables de la Comisión de Transporte Aéreo de la Faevyt. En general, nos solemos paralizar ante lo desconocido. Y si encima no nos dejan tiempo para analizar, pensar, controlar nuestros impulsos e informarnos, como pretendió hacer la IATA, esa parálisis se transforma en pánico. Esa misión tranquilizadora parece haber sido ampliamente cumplida por el seminario-workshop sobre PCI-DSS que organizó la Faevyt en el Hotel Savoy, de la Ciudad de Buenos Aires. La iniciativa, que tuvo el acompañamiento de la Aviabue y el Facve, y del Ente de Turismo porteño, quizás no puso demasiados "paños fríos"a la situación, pero sí permitió que se entienda el tema muchísimo más. Ante un auditorio lleno, fue Adrián Pastine, otro de los responsables de la Comisión de Transporte Aéreo de la Faevyt, el que introdujo el tema. Cabe recordar que la certificación es, en realidad, un estándar de seguridad (de ahí su nombre Data Security Standard, DSS) impulsado por la industria de las tarjetas de crédito (Payment Card Industry). Fue creado por diversas empresas de tarjetas que conformaron un consejo independiente que dictó la norma que apuntaa parametrizar, controlar y velar por la seguridad (en la jerga sería "seguritizar", pero en castellano eso no existe) los datos de las tarjetas de crédito y cerrar posibles brechas de seguridad que permitan el robo de datos y los fraudes. La cuestión tiene varios años pero recién en febrero pasado la IATA modificó la Resolución 818G, volviendo obligatorio que las agencias acreditadas sean certificadas con PCI-DSS,
cuestión obligatoria desde el 1° de junio de este año. Por intervención de las asociaciones de agencias de viajes de todo el mundo, la IATA dispuso postergar a marzo de 2018 la entrada en vigor de la requisitoria. "La realidad es que seguimos negociando porque creemos que el tiempo no es suficiente. Pretendemos de la IATA un nuevo aplazamiento de la fecha y se está discutiendo en los APJC (Agency Programme Joint Council)", explicó Pastine. Metiéndose en el berenjenal. La segunda parte del encuentro corrió a cargo de Guillermo Oyadomari, director de Operaciones; y Ariel Canossa, director Comercial de Team Latam de Trustwave, una certificadora PCI. A ellos les tocó el trabajo más complejo de explicar la certificación. Lo que resulta fundamental de entender es que lo que pretende PCI es blindar las operaciones con tarjeta de crédito centrándose en la seguridad delos datos. La certificación establece procedimientos y requerimientos de seguridad que tienen que ver con la manipulación de esa información. En tal sentido, Oyadomari y Canossa explicaron que se adopta un concepto de seguridad por capas. La primera, la más externa, es la física: ¿hay cámaras de seguridad en las oficinas?, ¿las hay en la oficina específica donde se procesan los pagos?, ¿cómo es el acceso a esas oficinas?, ¿se cuenta con cajas de seguridad? La siguiente capa, la segunda, tiene que ver ya con la seguridad informática: ¿cómo es la seguridad de la red?, ¿hay firewall corriendo?, ¿las redes wi-fi tienen contraseña?, ¿la red wi-fi de trabajo es la misma que se le habilita a un pasajero cuando viene a comprar a la agencia?, ¿es el mismo password? La capa tres tiene que ver con un proceso dinámico de los softwares que continuamente emiten parches para bloquear "agujeros"en su propia seguridad, entonces: ¿están actualizados los sistemas operativos? La cuarta capa se relaciona con la seguridad de las aplicaciones que utilizamos en el proceso de pago de las tarjetas. El nivel 5 tiene que ver con la educación y formación del personal y con la estipulación de procedimientos (poniéndolos por escrito, detallándolos). Ahora bien, la certificación establece qué datos de las tarjetas de crédito se deberían conservar y cómo, y cuáles no. Pero además, obviamente, no pone en la misma bolsa a todas las empresas y las
rankea por niveles de venta y por cómo es el camino interno que los datos de las tarjetas recorren en cada empresa. Lo central es que el disparador es un autocuestionario (al que se puede acceder a través de www.es.pcisecuritystandards.org/minisite/env2). De esa autoconsulta surge cuán lejos está "parada" una empresa para poder acceder a la certificación. Por otra parte de ese cuestionario también surgen los puntos a modificar y emerge a cuál de los cuatro niveles de comercio (o tres de proveedores) se debe adecuar una firma. El nivel 1 es el que mayores operaciones realiza al año y por lo tanto el que debe enfrentar una lista de requisititos más profundos y complejos. Los niveles siguientes tienen un planteo más laxo y de hecho por lo conversado en el Savoy, gran parte del mercado local se debería ubicar entre los niveles 3 y 4. Tras cumplimentar el cuestionario en su totalidad, parte de él sirve como declaración jurada. Esa sección, en compañía del resultado de escaneos de seguridad externos que deben hacerse mediante aplicaciones específicas, es lo que se debería presentar para obtener la certificación que luego debe ser remitida a la IATA, cuando ésta la solicite.

Entre la experiencia y el debate.
La última parte del encuentro combinó tanto a responsables de la Comisión de Transporte Aéreo de la Faevyt, como Marcelo Marchetti y Luciano Grigera; con certificadores como Daniel Gutiérrez, gerente de Servicios PCI de Cybsec (empresa recientemente comprada por Deloitte); y Martín Lambertucci, director de Business & Technology de Insside; con Guillermo Isasti, director de Operaciones de Furlong-Fox;y Francisco Jelves, director de Seguridad de la Información de Almundo.com. Esta última empresa ha certificado PCI-DSS y la compañía especialista en viajes corporativos está en pleno proceso de hacerlo. Algunas de las interesantes reflexiones, en este punto, es que la certificación termina por empujar a la empresa a revisar sus propios procesos. "Creo que es importante hablar con los colegas, poner en común esta cuestión porque de la experiencia del otro se aprende", comentó Isasti. Por otro lado y como un modo de derribar un mito, Lambertucci explicó: "El tamaño de la empresa no tiene nada que ver con la rapidez para certificar, sino cuán lejos se está de poder cumplir
con lo que se pide". También quedó evidenciado que si la gestión y el procesamiento se terceriza en favor de una plataforma de pago que ya está certificada PCI-DSS, el proceso de certificación de la agencia de viajes se acorta y acelera. "Estamos ante una decisión empresaria. Podemos patearla para adelante, suponer que vamos a lograr la postergación de plazos por parte de la IATA o que podemos convivir con los dos incumplimientos-sanciones con que amenaza la IATA que va a poner si no cumplimos, pero es una apuesta que puede salir mal. También podemos aplicarnos a tratar de resolver la cuestión ya desde ahora", reflexionó Pablo Damerau, presidente del Facve. Finalmente, y dado que aunque no en todo el proceso pero sí en ciertainstancia se precisa la intervención de un certificador, la jornada en el Savoy concluyó al mediodía con un pequeño workshop donde cada empresa pudo plantear su caso particular y averiguar acerca de la inversión necesaria, directamente con los certificadores.

La mala y la buena.
La mala noticia o la "fea" conclusión es en realidad de vieja data. El propio Marcelo Marchetti la expuso en el Savoy: "La verdad es que poco podemos hacer en cuanto a la capacidad de lobby o de plantear una medida de fuerza o de acción directa. En realidad hemos logrado un espacio de diálogo que estamos aprovechando, pero no mucho más". De lo que se habla en definitiva es de la arbitrariedad con la queIATA sigue manejando su relación con las agencias. Una relación de poder despareja que dista mucho de ser ecuánime y justa. No es la primera vez que se llega ante instancias de "tómalo o déjalo" y la certificación PCI-DSS es más de lo mismo en ese sentido. La buena noticia tiene que ver, aunque por oposición, un poco con lo anterior. La Federación exhibió su experiencia, en este caso su músculo, su capacidad para, si no se puede remediar la situación, al menos salir a la búsqueda de paliativos, explorar soluciones, facilitar el camino para sus socios (aunque no puedan quitar las espinas).