Does IATA Travel Agency Renewal Require PCI DSS Certification?

The answer is yes—it is necessary. As long as your travel agency processes credit card payments through IATA's BSP system, you must provide PCI DSS compliance certification. Regardless of the size of your company, as long as you come into contact with customer credit card information (including collection, transmission, or storage), you must comply with this standard.

What Happens If You Don't Get PCI DSS Certified?

Travel agencies that fail to provide PCI DSS compliance certification may result in IATA rejecting your renewal application, further affecting your eligibility to participate in the BSP system and issue tickets, and even affecting your ability to accept credit card payments.

What Is a QSA? Why Obtain Certification Through Them?

A QSA (Qualified Security Assessor) is a professional assessor authorized by the PCI Security Standards Council. They are responsible for guiding companies in assessing their compliance with PCI DSS standards and providing officially recognized compliance certificates, which are an indispensable part of the certification process.

Travel Agencies Take Note! PCI DSS Compliance Certification Must be Submitted for IATA Travel Agency Renewal in 2025!

如果您经营的是IATA认可的旅行社，准备进行2025年的续期申请，那么请务必留意：PCI DSS资料安全标准合规证明已被列为IATA旅行社续期所需文件之一。如果您不清楚什么是PCI DSS，或者不知道该如何开始，不用担心，下面我会一步步带您了解PCI DSS是什么、为什么它这么重要、以及旅行社该如何完成整个合规流程。

推荐阅读：【旅行社牌照申请指南】2025香港开旅行社必知重点！

什么是 IATA 旅行社续约？

IATA旅行社续期是指已获得IATA（国际航空运输协会）认证的旅行社，在其认证有效期届满前，向IATA申请延长认证资格的程序。续期成功的旅行社才可继续使用IATA代码，透过BSP（Billing and Settlement Plan）系统与航空公司直接结算票款，并享有IATA认证旅行社的各项权益。

为什么获得 IATA 认证的旅行社应该获得 PCI DSS 认证？

如果您经营的是一间IATA认证的旅行社，而且透过BSP系统处理信用卡交易，那您就必须通过PCI DSS认证。这不是IATA突然规定的，而是全球航空公司为了确保整个付款流程的安全性，要求IATA必须监管其合作的旅行代理商是否符合支付安全标准。（点击查看IATA对旅行社PCI DSS合规要求）

那么什么是 PCI DSS？

PCI DSS全名是Payment Card Industry Data Security Standard，由支付卡产业安全标准委员会（PCI SSC）制定。这个委员会是由全球五大信用卡公司组成：Visa Inc、万事达卡（MasterCard）、美国运通（American Express）、JCB International和Discover Financial Services。他们的目标很明确，就是提升全球的信用卡资料安全，防止信用卡资料外泄与诈骗。

这个标准涵盖多方面，包括：

如何保护用户信用卡帐户资讯；
提供清晰的实施指引与透明机制；
建立一套全球可查的合资格安全服务供应商名单，帮助企业找对专业协助。

简单来说，PCI DSS是国际公认的信用卡资料保护标准，只要您收信用卡钱，就得遵守。对IATA认证的旅行社来说，这是维持营运资格不可忽视的一环 ，这也是IATA的硬性规定。

如果您准备进行IATA旅行社续期，记得提前准备好PCI DSS证明，才不会因为手续不齐被中断业务。需要帮忙处理PCI DSS合规或续期流程，也可以联络 travelconnect!

为什么 PCI DSS 对旅行社如此重要？

您试想一下，客户把信用卡资料交到您手上，如果这些资料因为防护不够而被盗，不只客户会对您失去信任，您的品牌、航空公司、信用卡发卡行，甚至整个行业都会被拖下水。客户信用受损、财务损失，您的生意也可能因此受罚、面临诉讼、停卡，甚至被迫停业。

这就是为什么全球所有信用卡组织都要求：凡是储存、处理信用卡或扣帐卡资料的公司，不管大小，一律要遵守PCI DSS标准。

我的旅行社如何获得 PCI DSS 认证？

如果您是 IATA 认可的旅行社，以下是 IATA 建议的三个步骤：

第一步：评估信用卡业务范围
先了解您代理商使用的信用卡类型（B2B、B2C或自用卡），以及旅行社处理和储存持卡人资料的系统和设备。这一步的重点是了解旅行社现在的卡资料流向和风险点在哪
第二步：取得合规证明
注意！IATA已和VikingCloud合作，为大众提供了一套叫做「SecureTrust Manage PCI」的认证流程。当然，您也可以选择其他经官方认可的QSA（合格安全评估商），例如ZeroRisk、Travelport或Ubitrak。如果您不清楚如何做，可以联络 travelconnect，我们可以帮忙申请PCI DSS认证。
第三步：提交文件给IATA
登入IATA客户入口网站，按照指示上传您的PCI DSS合规文件并提交。过程不复杂，但记得资料要准备齐全。

IATA旅行社续期，不只是缴钱那么简单。随着支付安全的标准越来越高，有没有PCI DSS认证，已经成为续期时能不能过关的关键。这不是选择题，而是旅游业必须面对的现实。如果您想更快的获得PCI DSS认证，欢迎与Travelconnect联系，我们乐意助您一臂之力！

联络 Travelconnect

延伸阅读：【注册旅行社】如何成功取得旅行社牌照？?

IATA旅行社续期常见问题

IATA 旅行社续约是否需要 PCI DSS 认证？

答案是肯定的——需要。只要您的旅行社透过IATA的BSP系统处理信用卡付款，就必须提供PCI DSS合规证明。不论您公司规模大小，只要有接触到客人的信用卡资料（包括收集、传输或储存），都必须遵守这个标准。

如果您未获得 PCI DSS 认证会发生什么？

未能提供PCI DSS合规证明的旅行社，可能会导致IATA拒绝您的续期申请，并且进一步影响您参与BSP系统、发行机票的资格，甚至影响信用卡收款能力。

什么是QSA？为什么要通过他们获得认证？

QSA（Qualified Security Assessor）是经PCI安全标准委员会授权的专业评估商，他们负责指导企业评估是否符合PCI DSS标准，并提供官方认可的合规证书，是认证流程中不可或缺的一环。

旅行社注意！2025年IATA旅行社续签必须提交PCI DSS合规认证！

什么是 IATA 旅行社续约？

为什么获得 IATA 认证的旅行社应该获得 PCI DSS 认证？

那么什么是 PCI DSS？

为什么 PCI DSS 对旅行社如此重要？

我的旅行社如何获得 PCI DSS 认证？

IATA旅行社续期常见问题

Elian

上一篇文章Amadeus 订位系统介绍：旅行从业者不可或缺的全球分销平台

下一篇文章Abacus 预订系统是如何诞生的？

我们共同引领旅游业向前发展。

TravelConnect 旅接点

产品

旅游解决方案