top of page

IATA และ PCI DSS: คู่มือตัวแทนท่องเที่ยวเพื่อปกป้องข้อมูลบัตรชำระเงิน

อัปเดตเมื่อ 26 พ.ค.



ในปัจจุบัน ตัวแทนท่องเที่ยวที่ได้รับการรับรองจากสมาคมขนส่งทางอากาศระหว่างประเทศ หรือ IATA (International Air Transport Association) จำเป็นต้องปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน หรือ PCI DSS (Payment Card Industry Data Security Standards) ซึ่งเป็นมาตรฐานความปลอดภัยข้อมูลระดับโลกที่มีจุดมุ่งหมายเพื่อปกป้องข้อมูลบัตรชำระเงินที่เป็นความลับจากการถูกขโมย


เหตุผลที่ตัวแทนท่องเที่ยวต้องปฏิบัติตาม PCI DSS ก็เพราะสายการบินต่างๆ ได้เรียกร้องให้ IATA สนับสนุนโครงการปรับปรุงมาตรฐานการรักษาความปลอดภัยของตนเอง ด้วยการทำให้ระบบการขายตั๋วผ่าน BSP (Billing and Settlement Plan) ซึ่งเป็นระบบชำระเงินหลักระหว่างตัวแทนท่องเที่ยวกับสายการบินสมาชิก IATA สอดคล้องตามมาตรฐาน PCI DSS


PCI DSS ถูกพัฒนาขึ้นโดยคณะกรรมการมาตรฐานความปลอดภัยอุตสาหกรรมการชำระเงินด้วยบัตร (PCI Security Standards Council) ซึ่งมีหน้าที่บริหารจัดการมาตรฐานความปลอดภัยสำหรับธุรกิจบัตรชำระเงิน โดยมีแบรนด์บัตรชำระเงินหลัก 5 แบรนด์มีส่วนร่วมในการก่อตั้ง ได้แก่ American Express, Discover, JCB, Mastercard และ Visa



มาตรฐาน PCI DSS มีผลบังคับใช้กับทุกคนที่ทำงานหรือเกี่ยวข้องกับระบบบัตรชำระเงิน ไม่ว่าจะเป็นร้านค้า สถาบันการเงิน ผู้ให้บริการเครื่องชำระเงิน รวมถึงนักพัฒนาฮาร์ดแวร์และซอฟต์แวร์ที่ดูแลระบบประมวลผลการชำระเงินทั่วโลก


หากข้อมูลบัตรถูกละเมิดหรือขโมย จะส่งผลกระทบต่อทั้งอุตสาหกรรมการชำระเงินด้วยบัตร ลูกค้าจะสูญเสียความเชื่อมั่นในบริการของตัวแทน สายการบิน ธนาคาร และทำให้เครดิตบูโรของลูกค้าเสียหาย นำไปสู่ผลเสียต่อชีวิตส่วนตัวอย่างมหาศาล ธุรกิจและสถาบันการเงินจะสูญเสียความน่าเชื่อถือ ลูกค้า และต้องรับผิดชอบทางการเงินจากการสูญหายของข้อมูล ดังนั้น ระบบชำระเงินระหว่างประเทศจึงกำหนดให้ทุกฝ่ายต้องปฏิบัติตามมาตรฐาน PCI DSS


การเป็นตัวแทนที่สอดคล้องตาม PCI DSS จึงเป็นประโยชน์สูงสุด ไม่เพียงแต่จะปกป้องข้อมูลอ่อนไหวของลูกค้า แต่ยังช่วยให้องค์กรมีระบบรักษาความปลอดภัยที่แข็งแกร่งขึ้น ป้องกันอาชญากรไซเบอร์ ลดความเสี่ยงจากค่าปรับ การฉ้อโกง ต้นทุนดำเนินงาน และความเสียหายด้านชื่อเสียงในกรณีที่ข้อมูลรั่วไหล รวมถึงรักษาความสามารถในการรับชำระเงินด้วยบัตร ไม่ให้ถูกระงับและส่งผลกระทบต่อธุรกิจในระยะยาว


ขั้นตอนในการปฏิบัติตามมาตรฐาน PCI DSS สำหรับตัวแทนท่องเที่ยวมีดังนี้

ขั้นที่ 1: ประเมินการดำเนินงานด้านการชำระเงินด้วยบัตรขององค์กร

  • ใช้บัตรประเภทใด (B2B/B2C, บัตรเครดิตของเอเจนซี่, ฯลฯ)

  • ระบบและฐานข้อมูลใดบ้างที่มีข้อมูลบัตร

ขั้นที่ 2: ขอหลักฐานยืนยันการปฏิบัติตาม PCI DSS

  • ใช้บริการของ ALPHASEC ซึ่งเป็นผู้ตรวจสอบที่ได้รับการรับรองจาก PCI Security Standards Council

ขั้นที่ 3: ส่งหลักฐานการปฏิบัติตามผ่าน IATA Customer Portal

  • เข้าสู่ระบบ IATA Customer Portal

  • ไปที่หัวข้อ "IATA Accreditation & Changes"

  • คลิก "Update your PCI DSS Compliance"

  • เลือกรหัสเอเจนซี่ ใน Step A

  • เลือกสถานะความสอดคล้องกับ PCI DSS ใน Step B พร้อมแนบเอกสารยืนยัน

  • ยอมรับข้อตกลงและส่งข้อมูลให้ IATA ใน Step C

IATA มีคู่มือแนะนำขั้นตอนการส่งเอกสารอย่างละเอียดผ่านระบบ เพื่อให้ตัวแทนท่องเที่ยวสามารถปฏิบัติตามมาตรฐานอย่างถูกต้องสมบูรณ์

สรุปได้ว่า การปฏิบัติตามมาตรฐาน PCI DSS เป็นสิ่งจำเป็นสำหรับตัวแทนท่องเที่ยวที่ต้องการดำรงไว้ซึ่งมาตรฐานความปลอดภัยระดับโลกในการคุ้มครองข้อมูลบัตรชำระเงินของลูกค้า ตามที่อุตสาหกรรมการบินและ IATA กำหนด ซึ่งจะส่งผลดีต่อความเชื่อมั่น ชื่อเสียง และความยั่งยืนของธุรกิจตัวแทนท่องเที่ยวในระยะยาวอีกด้วย ที่มา : https://www.iata.org/en/services/finance/pci-dss/ 📱 โทร: 099-351-5959

💬 Inbox: m.me/AlphaSecTH

📧 อีเมล: contact@alphasec.co.th

🔗 เว็บไซต์: https://www.alphasec.co.th