Retrouvez l'actualité du Tourisme pour les professionnels du secteur tourisme avec l'Echo Touristique : agences de voyages, GDS, prestataires spécialisés, voyagistes

Norme bancaire PCI DSS : un vrai casse-tête !

La nouvelle norme s'imposera à un très grand nombre de professionnels du voyage. Pour se mettre en conformité, Bourse des Vols change sa page de paiement, et réorganise même ses locaux.

La norme PCI DSS, c’est l’acronyme de Payment Card Industry Data Security Standard. Il s’agit d’un standard de sécurité de l’industrie des cartes de paiement, pour les principaux groupes de cartes de paiement (Visa, MasterCard, American Express…).

Qui est concerné par la norme, destinée à améliorer la sécurité des paiements ? Réponse de Jean-Marc Rozé, secrétaire général des Entreprises du Voyage (EdV) : "Tous les commerçants acceptant des cartes de paiement et stockant des données relatives à ces cartes." Nous voilà prévenus. "C’est une norme bancaire, pas spécifique à IATA" (soit de l’Association internationale du transport aérien), précise-t-il, pour couper court à un éventuel amalgame.

Une équipe "bunkérisée" au sein de Bourse des Vols

Les professionnels du voyage se préparent, doucement mais surement, à la mise en conformité. L’agence Bourse des Vols a démarré ce vaste chantier depuis le mois de février 2017. "Nous serons prêts à la fin de l’année", témoigne son directeur Christophe Suleski, qui évoque la forte pression des réseaux bancaires. "Les normes sont drastiques. Nous avons décidé de revoir en profondeur la transmission électronique des numéros de carte bancaire, qui seront désormais gérés par notre PSP" (Prestataire de Services de Paiement), précise-t-il, ce qui impose des changements d’architecture web.

Mais le plus contraignant est ailleurs, dans la sécurisation des numéros de CB partagés au téléphone par les clients. Bourse des Vols réaménage à dessein son 6e étage. Fini l’open space, réunissant notamment développeurs, administrateurs et conseillers. "Nous allons mettre une cloison pour séparer les télévendeurs des autres salariés, installer un digicode, une caméra de surveillance." Et même des fenêtres sans tain. Le plateau ne doit pas être visible de l’extérieur, quand il manipule des numéros de carte…

Pas assez d'informations

Pour les Entreprises du Voyage (EdV), les informations relatives à ce sujet sensible restent insuffisantes : "Nous demandons à IATA, qui a repoussé la mise en place de cette norme au 1er mars 2018, de nous préciser entre autres comment les agences devront communiquer leur conformité à l'association, et surtout quels seront les types d’auto-certification acceptés. Sachant que, sur le site PCI DSS – en anglais -, il en existe une multitude", souligne Jean-Marc Rozé. Chaque année, la certification pourra de fait être remise en cause.

IATA, "qui menaçait les agences d’une double irrégularité, et donc d’un risque d’être coupées en cas de non-conformité", a déjà assoupli sa position, se réjouit-il : désormais, l’association ne parle plus de retirer aux agences non conformes l’utilisation du "Marchant of record" (la facilité d’utiliser le code marchand de la compagnie pour accepter la carte de crédit du client). Dans ce cas précis, les ventes resteraient possibles avec règlement classique via le BSP.

Laisser votre commentaire (qui sera publié après moderation)

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Dans la même rubrique