• dimanche le 27 mai, 2018

Conformité PCI: deux mois après la date limite, des zones d’ombres planent encore …

Partagez nous!

Un agent qui a contacté notre partenaire Travelweek a indiqué qu’il lui a fallu environ une semaine pour se conformer à la norme PCI DSS. Interrogé sur la façon dont il évaluerait le niveau de difficulté à se conformer à la norme PCI DSS, (1 étant relativement facile et 10 étant extrêmement difficile), l’agent a répondu par un «10»!

Bien que l’ACTA et les médias aient transmis certaines informations, certaines zones d’ombres demeurent encore. Plus de deux mois se sont écoulés depuis la date limite du 1er mars pour que les agences de voyages deviennent conformes à la norme PCI DSS.

UN MANQUE D’INSTRUCTIONS CLAIRES!

L’agent qui a contacté Travelweek a déclaré qu’il avait complété le processus de conformité avec l’aide de Trustwave, l’une des nombreuses sociétés de conformité PCI sur le marché aujourd’hui. Trustwave, a déclaré l’agent, était moins cher que Accel PCI (la société recommandée par l’ACTA). Bien qu’il ait été difficile au début de contacter son équipe de support, Trustwave s’est finalement révélé « très utile ».

Cependant, l’agent a ajouté que «des instructions facilement compréhensibles n’étaient pas disponibles» et que «la terminologie utilisée dans les instructions et les questionnaires ne peut être facilement suivie par les agents».

C’était un retour d’information commun des agents et des propriétaires d’agences qui ne pouvaient pas non plus éviter ce processus de conformité. Mandatée par l’IATA, la conformité PCI DSS vise à protéger les informations confidentielles des cartes de paiement contre le vol et la fraude. Cependant, avec des instructions compliquées, des frais élevés et un long processus, devenir conforme semblait être plus de problèmes que cela valait la peine.

Heather Craig-Peddie, vice-présidente de l’ACTA: «La principale préoccupation exprimée par les agences membres de l’ACTA était le manque d’instructions claires de l’IATA sur les informations à fournir, le plus important quand l’information devait être soumise. « 

L’IATA a annoncé en 2017 que la preuve de la conformité PCI DSS (Norme de sécurité des données de l’industrie des cartes de paiement) était obligatoire avant le 1er mars 2018 pour les agences utilisant IATA. Cependant, des détails spécifiques sur comment se conformer ont été envoyés aux agences par courriel autour du 22 mars 2018, soit trois semaines après la date limite, a déclaréHeather Craig-Peddie. «Les agences se sont dites préoccupées par le fait qu’elles recevraient un avis de non-conformité, qu’elles recevraient peut-être une pénalité ou, pire encore, qu’ils ne pourraient plus éditer de billets.

AU FINAL, QUI PEUT VRAIMENT SOUMETTRE UNE ATTESTATION DE CONFORMITÉ? 

L’autre grande préoccupation exprimée par les membres de l’ACTA, a-t-elle ajouté, était la confusion autour de qui peut effectuer ou soumettre une attestation de conformité pour l’agence. L’IATA parle d’une liste d’évaluateurs de sécurité qualifiés (QSA), mais la majorité des agences relèvent de la catégorie 4, qui comprend les commerçants qui traitent moins de 20 000 cartes BSP et qui traitent jusqu’à six millions de transactions par carte par an. Les marchands de niveau 4 n’exigent pas l’intervention d’un fournisseur de services de qualité sauf demande contraire.

LES QUESTIONS QU’ON SE POSE TOUS …

Mais comme pour toute nouvelle politique difficile à comprendre, il y aura toujours des questions et des préoccupations persistantes. Voici quelques interrogations auquelles Madame Craig-Peddie a répondu pour nous:

Est-ce la fin du monde si une agence a manqué le délai de conformité?

« Non, ce n’est pas la fin du monde. L’IATA n’était pas prête à recevoir une preuve de conformité pour la date limite du 1er mars. Lorsque l’IATA a commencé à envoyer des notifications aux agences désignées par l’IATA, il était indiqué que l’agence avait une période de 30 jours pour se conformer. « 

Si une agence se voit retirer son mode de paiement par carte de crédit pour non-conformité, à quelle vitesse sera-t-elle rétablie?

« En ce moment, on ne sait pas à quelle vitesse l’IATA va remédier à la situation. Nous savons que le non-respect de ces exigences par la demande de l’IATA entraînera une non-conformité administrative et l’agence disposera de 30 jours pour remédier à la situation. Si l’agence n’a pas démontré à IATA sa conformité, l’IATA va:

  • Limiter immédiatement l’utilisation par l’agent de la méthode de paiement par carte client.
  • Cette restriction restera en vigueur jusqu’à ce que l’agent ait démontré à IATA que la raison de la non-conformité administrative a été corrigée.

« Si l’agence reçoit un avis de non-conformité administrative et elle reçoit 30 jours de plus pour remédier à la situation, l’ACTA ne sait pas avec quelle rapidité IATA appliquera ces exigences ou la rapidité avec laquelle elle remédiera à la situation. »

Si une agence est pénalisée / condamnée à une amende pour ne pas être conforme, mais finit par remédier à la situation, y aura-t-il une marque permanente associée à son nom?

« ACTA n’est pas au courant que cette information deviendra publique et disponible aux consommateurs. Cependant, le statut de conformité d’une agence sera partagé avec les compagnies aériennes membres de l’IATA et les compagnies aériennes individuelles pourraient déterminer si elles continueront à traiter avec cette agence. « 

Pourquoi les agences doivent-elles être conformes chaque année?

« Cette exigence est pour tous les commerçants en vertu des règles définies par le PCI DSS Council (les sociétés de cartes de crédit). L’IATA a simplement décidé d’inclure cette exigence de commerçant obligatoire dans ses règles. « 

Si une agence doit payer des frais de retard, à qui ira l’argent?

« Si une agence reçoit un avis de l’IATA d’une pénalité due à une non-conformité administrative, cet argent ira à l’IATA. De plus, les agences peuvent recevoir des frais mensuels de non-conformité de la part de leur fournisseur ou acquéreur (Moneris, First Data, Elavon, etc.) « 

Si une agence est non conforme et qu’il y a un cas de fraude avec un client, l’agence est-elle en péril?

«L’ACTA ne peut confirmer les mesures précises qui seraient prises à l’égard de l’agence. Cependant, avec la participation de l’ACTA au groupe de la prévention des fraudes au Canada, nous savons que l’agence est généralement responsable des fraudes. ACTA comprend que si une agence n’est pas conforme, les compagnies de cartes de crédit pourraient imposer une pénalité (de 5 000 $ à 100 000 $) aux banques acquérantes, et cette amende sera finalement transmise au commerçant.

Comment les agents sont-ils censés conserver les formulaires d’autorisation de carte de crédit sans violer le PCI?

Il existe des moyens de conserver des données des clients sans enfreindre la conformité PCI. Cette information est disponible pour les agences qui passent par le processus pour devenir conforme et la formation d’accompagnement. ACTA a de l’information disponible dans la section réservée aux membres de son site Web à www.acta.ca/PCI.

(Source: Cindy Sosroutomo, Travelweek)

Partagez nous!
Menu