Blog
dark mode light mode Search Archivos descargables
Search

El impacto de la ISO 27001 en el crecimiento de Bold

Hackmetrix Bold

Conoce a Bold

Bold es una fintech colombiana que está revolucionando el procesamiento de pagos. Su plataforma permite a más de 460,000 comercios aceptar tarjetas y billeteras digitales, facilitando transacciones seguras con certificaciones internacionales como PCI-DSS e ISO 27001. Sus datáfonos de bajo costo, aliados con VISA y Mastercard, permiten inscripción rápida y verificación en menos de 24 horas en Bogotá y 48 horas en todo el país.

Bold ha logrado que sus datáfonos estén activos en más del 75% de los municipios colombianos y ha desembolsado más de 10,000 créditos. Con planes de convertirse en un banco digital, Bold ha recaudado USD 108.5 millones en tres rondas de inversión, consolidándose como una de las fintechs de más rápido crecimiento en Colombia.

Conoce más sobre Bold en su página web o LinkedIn.


Nuestra conversación con José y William

En esta entrevista, hablamos con José Mazo, del equipo de seguridad de la información en Bold, y William, auditor de NYCE. Nos compartieron cómo lograron la certificación ISO 27001 en tiempo récord y el impacto positivo que esto tuvo en la empresa.

Discutimos la necesidad de la certificación por el rápido crecimiento de Bold y las exigencias regulatorias. También abordamos los desafíos superados, el impacto en la seguridad y confianza de los clientes, y la importancia del conocimiento de los auditores en tecnologías innovadoras.

El éxito de alcanzar esta certificación en tiempo récord fue gracias a una buena planeación y contar con aliados estratégicos como Hackmetrix y NYCE.

José mazo

Conéctate con José y William en LinkedIn y conoce más sobre NYCE aquí.

Highlights de la entrevista

Elección de Hackmetrix

“Elegimos Hackmetrix porque eran una startup latinoamericana, su metodología era ágil y su plataforma muy fácil de usar. Las referencias de sus clientes también fueron clave para nuestra decisión.”

Proceso de implementación

“Básicamente, desde el 2020 venimos certificados en PCI DSS, esto nos ha ayudado a tener una serie de controles y a tener un sistema de gestión de seguridad de la información robusto. Lo que hicimos fue complementar lo que nos faltaba con la ayuda de la plataforma de Hackmetrix para lograr la certificación ISO 27001.”

Impacto de la Certificación

“La certificación ha generado confianza en nuestros clientes y usuarios finales, asegurándoles que sus datos están resguardados de forma segura y con los mecanismos suficientes para evitar violaciones de seguridad.”

Módulos de la Plataforma

“El módulo de auditoría nos permitió ver cada uno de los requisitos y asociarlos con la documentación correspondiente. Esto fue clave para la auditoría externa, facilitando la presentación de evidencias y asegurando el cumplimiento normativo.”

Ahorro de tiempo

“Anteriormente, obtuvimos una certificación PCI para Bold. Con Hackmetrix, logramos la ISO 27001 en cinco meses, mientras que normalmente tomaría 18 meses. Su plataforma aceleró el proceso y nos permitió enfocarnos en obtener los resultados necesarios.”

¿Prefieres leer?

Acá te dejamos la trascripción completa de la entrevista:

Adriel: Hoy visitamos las oficinas de Bold para hablar con José y William que han sido parte del proceso de certificación. Nos van a contar cómo fue el proceso, las trabas, los éxitos y todo lo que conlleva obtener una certificación ISO 27001.

Adriel: José es parte del equipo de seguridad de la información y fue el responsable de llevar a cabo el proceso de certificación. Bold es una empresa que ha crecido rápidamente en los últimos 6 meses, pasando de 500 a más de 1000 personas. Además, Bold ha lanzado productos innovadores para el ecosistema financiero, desde productos de pago, como de crédito, para las tiendas de todo Colombia.

Adriel: José, fuiste el responsable de llevar a cabo la certificación ISO 27001 en tiempo récord. Te tomó nada más y nada menos que 5 meses, cuando a empresas del tamaño, y con la explosión que ha tenido Bold, les tomaría más de 18 meses. Cuéntanos primero ¿Cómo fue que llegó el proyecto a tus manos? y, ¿Cómo es que te animaste a tomarlo?

José:  Más que yo, fue un equipo completo que está detrás del proyecto, no solamente José Mazo sino un equipo interdisciplinario. El éxito de alcanzar esta certificación, en este tiempo récord, como lo dices, fue una buena planeación, definir un buen alcance de la certificación, contar con unos aliados estratégicos, como son ustedes, Hackmetrix y NYCE. ¿Y por qué Hackmetrix? por todo lo que sabemos que nos ayudó en el tema de la consultoría y lograr estar en regla para poder tener la certificación. Por otro lado, poder contar con unos auditores experimentados y con conocimiento en todas las tecnologías que nosotros utilizamos acá en Bold.

Adriel: Hoy Bold tiene más de 460,000 comercios utilizando sus tecnologías, productos, y como bien mencionaste, todo esto se ha hecho a través de una plataforma que utiliza servicios en la nube y está utilizando lo más reciente en cuanto a tecnología, para poder dar un servicio espectacular a estos comercios. Puedes contarnos por favor ¿Cómo fue el proceso de implementación? y luego, ¿Cómo un partner como NYCE fue clave en la auditoría de esta innovación?

José: Sí, Adriel. Pues básicamente, acá también algo a recalcar, es que nosotros desde el 2020 venimos certificados en PCI DSS, esto nos ha ayudado a tener una serie de controles y a tener un sistema de gestión de seguridad de la información robusto. Y lo que hicimos fue: lo que nos faltaba, complementarlo, para obtener esta certificación. Si bien hay opciones de mejora, nuestro sistema cumple y es un sistema robusto que nos permite asegurar la información de nuestros grupos de interés.

Adriel: ¿Cómo fue la experiencia certificándote con NYCE? Entendiendo que Bold utiliza tecnologías demasiado innovadoras para industrias tradicionales como la financiera.

José: Bueno, acá fue clave precisamente, y lo conversaba con William hace unos minutos, el conocimiento de los auditores que nos hicieron la auditoría externa. Precisamente por el conocimiento que tenían en temas de nube, en estas nuevas tecnologías, como tú lo dices, porque no somos nada tradicional a lo que está en el mercado. Entonces, para mí, esa fue la clave, tener un entendimiento también desde el inicio, la organización que se llevó con cada uno de los auditores, y bueno, eso nos ayudó a tener todo de una buena manera.

Adriel:  William, NYCE además de ser parte de un holding a nivel global que es QIMA, es una de las empresas más relevantes en todo Latinoamérica, con más de 10,000 clientes certificados en ISO 27001. Vos sos una de las personas que lleva la representación en Colombia, habiendo certificado desde grandes corporativos hasta empresas tradicionales industriales, y hoy te tocó un desafío, auditar a una de las empresas más innovadoras. Contanos tu experiencia, por favor.

William: Te puedo contar que NYCE, como tal, si bien es líder en certificación en sistemas de gestión en general, los 10,000 clientes se encuentran ahí. Sistemas de Gestión de Seguridad de la Información es un mercado más pequeño, donde efectivamente, somos líderes en Latinoamérica para ofrecer esos servicios de certificación. Que un servicio de certificación, consiste básicamente en que un evaluador externo, ajeno al proceso de implementación y ajeno a las actividades de la empresa que se está certificando, realiza un proceso de auditoría, para confirmar el cumplimiento de los requisitos mínimos normativos que tenemos, en este caso, en la norma ISO 27001. 

William: En los procesos con Bold, pues nosotros nos sentimos muy orgullosos de tener clientes tan dinámicos, tan activos, que utilizan las últimas tecnologías y que nos ponen a nosotros a prueba; Para asegurar que, nuestros auditores conocen, tienen la experiencia para generar procesos de auditoría, ágiles y bajo los mismos lineamientos, que las compañías actualmente están manejando: con tecnología de vanguardia, en todo el tema financiero y tecnológico.

Adriel: Has auditado anteriormente instituciones financieras de grandes tamaños. ¿Qué dirías que es el valor agregado que trae una empresa como Bold al mercado, para un auditor que necesita garantizar la seguridad para más de 450,000 tiendas en Colombia?

William: Mira, el valor que tiene la certificación, más que el orgullo de la compañía de haberse certificado y por poder demostrar a sus clientes que ha implementado de forma adecuada un sistema de gestión, genera esa confianza en los clientes y en los usuarios finales de sus productos, que efectivamente la información, en este caso sus datos personales y demás información que tiene la compañía certificada de todos sus clientes, se resguarda de forma segura y con los mecanismos suficientes, para asegurar que no vayan a existir violaciones de seguridad en el futuro que hoy en día están muy de moda…

Adriel: William, has auditado a otras empresas que han utilizado métodos tradicionales para obtener su certificación. ¿Puedes contarnos cómo fue tu experiencia auditando a Bold, que utilizó las metodologías de Hackmetrix? 

William: Actualmente, de los auditores que realizaron el proceso de auditoría con Bold, la información que nos dan de ellos es que los datos, la información, todo estaba de una forma muy bien organizada, que permitieron de forma ágil permitir confirmar y verificar el cumplimiento de cada uno de los requisitos, asegurando esos estándares mínimos de cumplimiento normativo.

Adriel: José, cuando iniciaste el proceso, la evaluación para iniciar tu certificación ISO 27001, viste varios proveedores y decidiste avanzar con Hackmetrix. ¿Cuáles fueron las claves que te hicieron decidir trabajar con nosotros?

José: Cuando estábamos evaluando cuál iba a ser nuestro aliado para que nos acompañara en este proyecto, las claves por las cuales los seleccionamos a ustedes fueron básicamente tres: uno, era una startup también, de latinoamérica; segundo, la metodología que nos prestaba vimos que era una metodología cero compleja, ágil; hicimos también unas referenciaciones con clientes de ustedes y nos contaron que efectivamente ya lo habían logrado, y, cómo el éxito de de todo esto y la plataforma, la plataforma nos gustó mucho, la manera tan fácil de navegar en ella y de encontrar y de seguir como ese camino para ir logrando cada una de las actividades, y al final, llegar al objetivo de estar en cumplimiento con toda la norma. Básicamente fueron esos tres puntos.

Adriel: Mencionaste la plataforma como una de las claves para el éxito. 5 meses fue el tiempo que te tomó implementar la ISO 27001 ¿Cuáles son las características de la plataforma que más resaltarías?

José: Bueno, el tema de la plataforma, el cómo está estructurada la información, cómo está ese pipeline, donde yo tengo un paso a paso para ir cumpliendo cada uno de los objetivos, digámoslo de esa manera, y uno de los módulos que más nos genera valor es el tema de la auditoría; porque en la auditoría podemos ver cada uno de los requisitos, y cada uno de esos requisitos, está asociado a qué documentación. Entonces, eso es clave precisamente para la auditoría externa donde se tiene que ir mostrando evidencias y que efectivamente la documentación existe. Ese módulo es primordial.

Adriel: José, anteriormente obtuviste una certificación PCI para Bold. ¿Cómo fue tu experiencia? ¿Cuánto tiempo consideras que te ahorró Hackmetrix en tu certificación ISO 27001 comparado con tu experiencia anterior con PCI?

José: A nivel de ese ahorro de tiempo, yo creo que, como también lo mencionaste al principio, sabemos que esto es un proyecto de alrededor de 18 meses dependiendo de la industria y el tamaño de la compañía. Enfocándonos plenamente en la certificación ISO 27001, esto nos ahorró demasiado esfuerzo. Esto se ve proyectado en términos de costos, obviamente pues de tiempo y lo que vemos es que realmente es una plataforma que nos acelera el proceso en el poder tener la certificación de ISO 27001. O sea, realmente funciona y funciona muy bien, siempre y cuando, hayan unas personas también al lado del cliente, que sí estén trabajando en pro de obtener todos los resultados.

Adriel: José, mencionaste que el módulo de auditoría es uno de los que más te ha gustado. Entonces, habiéndolo utilizado y con la experiencia que tenés trabajando con NYCE, contanos ¿Cuánto tiempo te tomó de auditoría llegar a que NYCE te diga estamos okay?

José: El módulo de auditoría nos sirvió precisamente, para que, en los espacios de las entrevistas con el auditor, todo fluyera de una manera más fácil, más rápida y con un buen entendimiento precisamente para el auditor. En total fueron dos etapas, la primera fueron de tres días mostrando la documentación y la segunda de otros tres días mostrando cada una de las evidencias de los controles.

Adriel: Este fue el testimonio de Bold desde sus propias oficinas, con la presencia y ayuda de nuestros partners de NYCE. Muchas gracias y que tengan un excelente día.