最近同行群裡大家都在討論一個熱話,就是 2025年開始,IATA旅行社續期一定要交PCI DSS合規證明。一開始我還以為只是謠言,後來去查了一下,原來是真的!
先說說,什麼是PCI DSS?
全名叫 Payment Card Industry Data Security Standard,簡單說就是 信用卡資料安全標準。只要你的系統裡有處理、儲存或傳輸信用卡資料,基本上都要遵守這個標準。以前IATA對這個沒那麼嚴,但現在,為了配合國際支付安全要求,他們要求旅行社提供合規證明,才能完成續期。
那問題來了:這對我們旅行社影響大嗎?
講真,影響還不小。因為很多中小旅行社根本沒聽過PCI DSS,更別說去做認證了。但現在IATA直接擺明要求,不做不行。 如果到時候你沒準備好,續期被卡住,IATA號碼用不了,票務、機票分銷業務全部會受影響,損失可大了。
那要怎麼做?
這裡簡單講一下步驟: ✅ 找專業機構做PCI DSS審核(通常要IT安全顧問介入) ✅ 檢查你的系統是否符合標準,包括防火牆、數據加密、帳號管理、訪問權限等等 ✅ 改進系統裡的不合規項目 ✅ 拿到合規證明(證書或報告) ✅ 在IATA續期時提交
聽起來複雜吧?沒錯,特別對小旅行社來說,可能以前從沒碰過這些技術名詞。但現在,IATA要求的就是這一套,沒得商量。
我自己的煩惱
老實說,當初我聽到這個消息時真的有點頭痛。因為小公司資源有限,不可能像大集團那樣有專門IT部門、專職資訊安全人員。後來我跟幾家做過的同行聊,他們都說最好提早準備,因為等到續期前臨急抱佛腳,反而花得更多、趕得更急。
結語
2025年IATA新規,大家真的要小心,尤其是還沒開始準備的旅行社。PCI DSS不是什麼「隨便做個聲明就算」的東西,而是一套需要時間、需要投入的合規程序。建議有IATA牌照的旅行社,現在就開始了解,找適合的技術支援,提前把合規搞定,才不會到時候手忙腳亂。
如果你也覺得這件事煩,可以留言,我們互相交流一下經驗!畢竟,這不只是誰的問題,而是整個行業都要面對的難題!
