Descubre cómo estos dos estándares se complementan y aseguran tu negocio
Con la digitalización tan acelerada que estamos viviendo, cada vez es más importante la ciberseguridad. Con este crecimiento, además de llamar la atención de grandes empresas que pueden impulsar nuestro negocio, los piratas informáticos también ven una oportunidad.
Por eso mismo, estándares de ciberseguridad como ISO 27001 o PCI DSS son esenciales para estar seguro. Aunque cada uno tiene un enfoque diferente, si cuentas con ambos, te aseguras tanto de proteger tu información, como los datos de pago de tus clientes.
Lo mejor de todo, es que estos dos estándares se complementan entre sí. O sea que si ya implementaste uno, el camino para implementar el otro no será tan largo. Antes de ver cómo se complementan, entendamos de qué va cada uno.
Si quieres conocer más a profundidad en qué consisten ISO 27001 y PCI DSS, te sugerimos leer lo siguiente:
¿Qué es PCI DSS y quiénes deben cumplirla?
Mantén la calma: Esto es la ISO 27001
¿Qué es ISO 27001?
ISO 27001 es una normativa internacional que permite proteger tu información tanto física cómo digital. Esta ISO te pide cumplir con una serie de requisitos para gestionar la seguridad de la información de tu empresa.
Si cumples con ISO 27001, la seguridad de la información de tu empresa estará garantizada. Por otro lado, PCI DSS, se concentra en la protección de datos de tarjetahabientes.
¿Qué es PCI DSS?
Payment Card Industry Data Security Standard o PCI DSS, es el estándar global de protección de datos en industrias que manejan tarjetas de pago.
Si tu empresa maneja datos de tarjetas de pago, y quieres protegerlos deberías certificarte. Con PCI DSS tu y tus usuarios tendrán la confianza de que con tu plataforma no corren riesgo de fraude u otros cibercriminales que impliquen los datos de tarjetas
Algunas similitudes
Ahora entendamos las similitudes y diferencias de ambos servicios. Primero lo primero. Al comenzar, en ambos estándares hay que acotar hasta dónde va a llegar la implementación.
Cuando hablamos de ISO 27001 e ISO 27002, esto se define en el alcance del sistema de gestión de seguridad de la información (SGSI) Aquí hay que identificar el servicio, proceso, áreas y/o activos que quieres proteger.
Después, se realiza un análisis GAP para conocer el estado actual de cumplimiento de la empresa y al estado de cumplimiento que se quiere llegar para la certificación.
Por otro lado, con PCI DSS definimos el alcance en estos 3 documentos:
- Descripción de los procesos de negocio que involucran tarjetas de pago (definición de alcance).
- Diagrama de flujo de datos.
- Diagrama de red.
Algunas diferencias
A diferencia de ISO 27001, PCI DSS no confía sólo en lo que declares en el documento de alcance.
PCI DSS te pide evidencia que soporte el alcance que definiste; por eso te solicita los diagramas de flujo de datos y de red. Ya que con ellos se puede ver que los procesos de negocio declarados son en realidad los que involucran tarjetas de pago.
Además, en PCI, los requisitos de seguridad que debes cumplir dependen del tipo de SAQ que te toque completar. Mientras que, en ISO, sea cual sea el alcance, hay que cumplir con las cláusulas de ISO 27001 y los controles que apliquen de ISO 27002.
Hackmetrix insight: El cuestionario de autoevaluación o SAQ (Self-Assessment Questionnaire) es una herramienta con la que las empresas se autoevalúan desde el punto de vista de cumplimiento de los requisitos de PCI DSS. Existen 9 diferentes tipos de SAQ. Lo que te indica qué tipo de SAQ usar es qué tipo de comercio eres y cómo interactúas con las tarjetas de crédito o débito.
¿Cómo se complementan?
Así como existen similitudes en la primera etapa de implementación, también hay requisitos de seguridad que cubren lo mismo. O sea que, si cumples con estos dominios de ISO 27001, también cumples con requisitos de PCI DSS y viceversa.
En algunos casos habrá que ajustar controles o requisitos; esto por los diferentes objetivos de cada normativa. Lo importante es que la implementación, no empezaría de cero.
Cruce de dominios y requisitos
Te dejamos aquí una tablita para que puedas ver cómo se complementan entre sí:
Requisitos PCI DSS | Dominios ISO 27001 |
1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta. | A.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. | A.9 Control de accesosA.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
3. Proteja los datos del titular de la tarjeta que fueron almacenados. | A.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
4. Cifrar la transmisión de los datos del titular de la tarjeta que fueron almacenados. | A.13 Seguridad de las comunicacionesA.14 Adquisición, desarrollo y mantenimiento de sistemas |
5. Proteger todos los sistemas contra malware y actualizar los programas de antivirus regularmente. | A.12 Seguridad de la operaciónA.14 Adquisición, desarrollo y mantenimiento de sistemas |
6. Desarrollar y mantener sistemas y aplicaciones seguros. | A.14 Adquisición, desarrollo y mantenimiento de sistemas |
7. Restringir el acceso a los datos del titular de la tarjeta que tenga la empresa | A.9 Control de accesosA.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
8. Identificar y autenticar el acceso a los componentes del sistema. | A.9 Control de accesosA.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
9. Restringir el acceso físico a los datos del titular de la tarjeta. | A.11 Seguridad física y ambiental |
10.Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta. | A.12 Seguridad de la operaciónA.13 Seguridad de las comunicaciones |
11. Pruebe con regularidad los sistemas y procesos de seguridad. | A.6 Organización para la seguridad de la informaciónA.12 Seguridad de la operaciónA.14 Adquisición, desarrollo y mantenimiento de sistemasA.18 Cumplimiento |
12. Mantenga una política que aborde la seguridad de la información para todo el personal. | A.5 Políticas de seguridad de la información |
Conclusión
La ciberseguridad es un tema que cobra cada vez más importancia en el mundo de los negocios. No sólo tienes que garantizar la seguridad de tu información, sino que también tienes que demostrarle a tus usuarios que pueden confiar en ti.
ISO 27001 y PCI DSS son tan sólo dos estándares de los varios que existen para asegurar tu negocio. Sin embargo, por su importancia a nivel internacional contar con ellos representa prestigio y confianza para quien quiera hacer negocios contigo en el futuro.
Como vimos, ISO 27001 se centra en proteger la información y procesos de tu negocio mientras que, PCI DSS se enfoca únicamente en los procesos que involucran tarjeta de pago (crédito o débito).
Sin embargo, a pesar de que tienen enfoques diferentes, estos estándares tienen algunos requerimientos en común y cumplir con uno de ellos facilita el cumplimiento del otro.
Si quieres conocer más sobre PCI DSS, ISO 27001 y cómo implementarlos en tu empresa, no dudes en contactarnos.