Önbevallás vagy audit – szigorodnak a bankkártya elfogadás szabályai
Teltházas fórumot rendezett a Magyar Utazási Irodák Szövetsége (MUISZ) a bankkártya-elfogadás szigorodó szabályairól. Mint köztudott, a Nemzetközi Légi Szállítási Szövetség (IATA) szigorúan megköveteli a kártyaszabályzat betartását. Az új előírások elvileg most júniusban lépnek életbe, de jövő év márciusától számíthatnak büntetésre azok, akik megsértik a szabályokat.
A rendezvényt dr. Simon András, a MUISZ alelnöke, a légiközlekedési bizottság elnöke nyitotta meg, aki elmondta, hogy számos egyeztetésen vannak már túl az IATA-val, de egyértelmű eligazítást nem kaptak a rendelkezés életbe lépéséről. Ugyanakkor megjegyezte, hogy az IATA mellett egyre több bank és kártyatársaság is megköveteli partnereitől a szigorúbb, szabályozott adatkezelést, ezért semmiképp nem haszontalan foglalkozni ezzel a kérdéssel. Minden olyan iroda érintett, amelyik bármilyen formában elfogad bankkártyát.
Tátrai Péter, a bankkártya használat auditálásával foglalkozó egyetlen magyarországi társaság, az Apersky képviselője foglalta össze az auditálással kapcsolatos legfontosabb tudnivalókat. Mint elmondta, a bankkártya adatokat könnyen ellophatja valaki, akár egy beépített kamerával, vagy különleges billentyűzettel, de arra is van példa, hogy a honlapunkról a fizetési oldalra való átirányítást hekkelik meg, és egy kamuoldalon landol a gyanútlan felhasználó.
A kártyaadatokat két csoportba sorolják, vannak a birtokoshoz kötődő adatok és az ún. érzékeny autentikációs adatok. Ezeket csak erős titkosítással szabad továbbítani. Előírás, hogy az adatokat biztonságosan kell tárolni, bár ez történhet akár széfben is papír alapon.
Az utazási irodák a kártyahasználati előírások szempontjából kereskedőknek minősülnek minden esetben – derült ki a fórumon. A PCI DSS az az adatbiztonsági szabvány, amely a kártya adatok tárolását, kezelését és továbbítását szabályozza. Azt határozza meg, hogy a különböző folyamatokat hogyan kell működtetni.
A szabvány szerint 12 követelménycsoportnak kell megfelelni, technikai szempontból, a folyamatok tekintetében, illetve a dokumentáció szempontjából.
A 2018 márciusi határidőig minden felhasználónak igazolnia kell az IATA felé, hogy megfelel-e tevékenysége az előírt sztenderdeknek (PCI DSS). „Adatokkal való visszaélés esetén ha bizonyítható az iroda felelőssége egy konkrét esetben, akkor a kárt legalább részben átháríthatja a bank” – hangzott el.
A PCI hatóköre kiterjed a fizetési csatornákra, a tranzakciókra, nemcsak a GDS-eken keresztül történő értékesítésre, hanem a netes fizetésre is. A megfelelést kétféle módon lehet igazolni: egy önértékelési kérdőív kitöltésével vagy egy audit keretében. Ilyen auditot végez például az előadó által képviselt társaság. Évi 20 ezer tranzakció feletti forgalom esetén szükséges csak az audit, ez alatt önértékelést kell elvégezni.
Mindkét esetben az összes releváns feltételnek meg kell felelni – emelte ki az előadó. Az önértékelés esetén természetesen a kitöltő személy a felel a dokumentum tartalmáért, bár a dokumentum auditorral ellenjegyezhető. Fontos tudni, hogy különböző kérdőívet kell kitölteni különféle tevékenységek esetén. A tanácsadó azt javasolja, hogy az irodák vegyék fel a kapcsolatot a bankjukkal vagy a GDS-szolgáltatójuk képviselőjével, és kérjenek tanácsot, hogy nekik szükséges-e az audit vagy elég az önbevallás.
Simon András kiemelte, hogy két hibapontot kap az az iroda, amely nem felel meg az előírásoknak, a hibázó kártyaelfogadók pedig akár 500.000 dollár büntetést is fizethetnek.
