Auditoría Informática en el Sector Aéreo

Jaime Narvaez Kerolin Alemán

Introducción

Por hacer un poco de historia podríamos decir que en el mundo informático del sector aéreo los aspectos jurídicos no han tenido un gran impacto en el desarrollo dado que apenas existían y este sector estaba monopolizado por la empresas fabricantes de hardware y los productos y aplicaciones software en las que se basaba el tratamiento de los datos y en las facilidades que ofrecía el sistema operativo de sus máquinas.

Los aspectos sobre los que se realizaban trabajos de auditoría eran los clásicos de materia económica y financiera sobre los cuales, aparte del modo operativo, había que cumplir requisitos obligados que estaban reglamentados por los organismos oficiales del país. No obstante, dentro del sector había que cumplir la legislación internacional correspondiente.

Cuando el mundo de la auditoría se dio cuenta de que los datos eran manejados por sistemas informáticos, nació la auditoría informática, la cual iba más dirigida a la organización del centro proceso de datos y a la custodia de los datos en diapositivas magnéticas cumpliendo con la legislación de guardar la información al menos cinco años.

Sist. de reservas AMADEUS

Las líneas aéreas europeas no podían quedarse atrás ante el empuje americano y se constituyó como sociedad anónima AMADEUS GLOBAL TRAVEL DISTRIBUTION, siendo los socios actuales Air France, Iberia, Lufthansa y Continental Airlines.

Su finalidad es proporcionar un sistema de reservas a nivel internacional de diversos productos entre los que se encuentran: vuelos aéreos, hoteles, alquiler de coches, etc.

Por lo tanto AMADEUS contrata servicios de proceso de datos y acceso a la base de datos de reservas para cualquier línea aérea que esté adherida a un sistema informático de reservas, programas de vuelos, disponibilidad de plazas y tarifas, al informáticos para la gestión de las Agencias de Viajes y también para la gestión de todo el sistema de reservas a nivel internacional

Facturación entre compañías aéreas

Este trasiego de información es gratuito, pero cuando se realiza una reserva y la correspondiente emisión del billete para otra compañía aérea es necesario regular este para que el importe recaiga sobre el auténtico transportista.

Si un pasajero solicita información y desea contratar un vuelo con una compañía aérea, por ejemplo Madrid-Londres, y ese trayecto lo realiza la misma, no existe facturación entre compañías.

Pero si el vuelo que desea realizar es: Madrid-Nueva York-Hawai-San Francisco-Nueva York-Madrid, y la compañía aérea no puede efectuar alguno de estos tramos por no disponer de autorización para realizar esos vuelos, existe un acuerdo entre las compañías aéreas de poder emitir el billete en las líneas de aquellas compañías que los explotan comercialmente.

Lógicamente cada una de éstas deberá recibir el importe del trayecto en el cual ha sido transportado el pasajero que pagó el importe por su reserva y emisión del billete.

Aquí aparece el concepto del BSP, Bank Sttelment Plan, Plan de liquidación Bancaria, cuyas oficinas están en Ginebra donde se centralizan todas las operaciones funcionando como una Cámara de compensación. Para ello existe una fecha determinada, como límite cada mes, para hacer llegar los importes totales y desglosados para cada compañía aérea de cada uno de los billetes emitidos y realizados. La distribución de los Procesos BSP está basada en regulaciones IATA, Asociación del Transporte Aéreo.

Para evitar el fraude, IATA facilita un control numérico del stock de billetes que se adjudica a cada compañía aérea y Agencias de Viajes y que sólo son válidos para aquellos miembros asociados a la citada organización, siendo esta enumeración incorporada a los datos del pasajero para saber el billete que se le entrega con los trayectos que solicitó y la o las tarifas que abonó.

Código de conducta para CRS

La Comunidad Económica Europea por mediación del consejo de las Comunidades Europeas aprobó, y publicó el Reglamento núm. 2299/89 de 24 de julio de 1989, por el que se establece un código de conducta para los sistemas informatizados de reserva, posteriormente aprobó y publicó el Reglamento núm 2299/89, por el que se establece un código de conducta para los sistemas informatizados de reserva.

Esta última modificación introduce conceptos en el reglamento sobre la protección de datos de carácter personal y la prohibición legal del uso de la información del billete por los sistemas de distribución, en este caso AMADEUS, aplicable a los propietarios de los sistemas nacionales, IBERIA.El citado reglamento comunitario establece en sus art. 4, 6 y 21, entre otras, las siguientes obligaciones:

Procesos Informáticos

Las aplicaciones informáticas a las que se les practica la auditoría son dos, procesándose en plataformas informáticas diferentes.● Proceso TICKETING● Proceso BSP

Proceso TICKETING

Desarrollado para grandes sistemas UNISYS. Bajo este nombre, y para no complicar con nomenclaturas, vamos a reunir las numerosas aplicaciones que componen la información de vuelos, reserva de plazas y emisión de billetes además de los procesos de identificación de usuarios y terminales y la gestión de la red de comunicaciones.

Este proceso comienza por la solicitud de la Agencia de Viajes o Compañía aérea de la solicitud de los vuelos para un trayecto determinado, horarios de los mismos, disponibilidad de plazas, diversas tarifas, reserva de vuelo y asiento con su definitiva confirmación en la emisión del billete para el cliente.

La seguridad de la aplicación está basada en el SIGN-IN facilitado a la Agencia de Viajes en el momento de la contratación comercial del servicio. Esta contraseña permite permite identificar tanto a la oficina de ventas y a sus terminales como a las funcionalidades asignadas para la realización de las determinadas transacciones que está autorizado a utilizar, igualmente se guarda la identificación para que sólo esa Agencia y no cualquier otra con sign-in diferente, pueda modificar, eliminar o añadir datos al registro creado en la base de datos para la reserva y emisión del billete del pasajero.

Proceso BSP

Desarrollado para grandes sistemas IBM. Los datos económicos del billete del vuelo son tratados en procesos de facturación y administración contable y de preparación para ser remitidos al Centro de compensación para la facturación entre compañías aéreas.

La transmisión de estos archivos se formalizó mediante contrato exigiendo todas las medidas de seguridad necesarias y de acuerdo con la legislación nacional vigente y la no divulgación de los datos comerciales de las compañías participantes. Las medidas de protección vienen dadas por clave User-Id asignada a personas significadas únicamente con autorización de la lectura para los archivos determinados, con lo cual la confidencialidad, divulgación y no manipulación de la información queda asegurada.

Auditoría Informática

Anualmente se recibe la visita de auditores que en cumplimiento del Reglamento Comunitario sobre Código de conducta de CRS, vienen de Alemania, sede del sistema AMADEUS para realizar sus trabajos respecto a los procesos señalados en el punto anterior. el cumplimiento de esta auditoría es obligado, y en caso del no cumplimiento de lo estipulado en los artículos del reglamento se podría cancelar el contrato de servicio entre ambas empresas.

La finalidad de la auditoría es detectar posibles desviaciones para asegurar la correcta función neutral en la emisión del billete por parte IBERIA como subcontrarado de AMADEUS, así como asegurar las apropiadas salvaguardas, como los procedimientos internos y las medidas de seguridad conforme al Reglamento de la CEE núm. 2299/89, de 24 de julio 1989 y Reglamento CEE núm. 3089/93, de 29 de octubre 1993, por el que se establece un Código de Conducta para los sistemas informatizados de reservas y los requerimientos de AMADEUS incluidos en el contrato con la subcontratación de servicios de Ticketing con IBERIA en cuanto a información al cliente, calidad de los servicios y confidencialidad se refiere.

El primer paso después de preparar la agenda de entrevistas con los auditores, es recibir en IBERIA un cuestionario sobre determinadas preguntas que debidamente complementado y comentado se les hace entrega el día de la visita.

Estas preguntas se concretan en 4 apartados: A. Datos PersonalesB. Datos BSPC.Otras modificaciones y cambiosD.Documentación

Establecimiento de Flujo de trabajo

Entrevistas con los responsables de las áreas de la aplicación Ticketing en orden a confirmar, completar o corregir las medidas, procedimientos y controles establecidos poniendo un mayor énfasis en los aspectos de seguridad.

Procedimientos de auditoría

Están basadas en la separación organizacional y en la documentación solicitada con anterioridad.Otro enfoque ha estado basado principalmente en la implementación de medidas y procedimientos de seguridad y sus controles distribuyendolos en temas como :● Seguridad Física● Sistemas de Seguridad e integridad● Medidas de seguridad en las Aplicaciones y sus datos● Seguridad en el desarrollo de la Aplicación

Conclusiones

Las aplicaciones deben controlar fuertemente la identificación de los clientes, lo que hará variar y ampliar el desarrollo por el mundo INTERNET con nuevas soluciones en materia de seguridad, lo que a su vez obligará a desarrollar nuevas metodologías en el mundo de la auditoría informática.