Blog
dark mode light mode Search Archivos descargables
Search

Pomelo logró la certificación ISO 27001 en 3 meses

Hackmetrix Pomelo

Conoce a Pomelo

Pomelo se ha consolidado como una fintech líder en América Latina, proporcionando infraestructura tecnológica para la operación de tarjetas de crédito. Con la capacidad de procesar 55 millones de transacciones diarias, Pomelo permite a sus clientes lanzar tarjetas de prepago, débito y crédito en múltiples países mediante una única integración tecnológica, reduciendo significativamente los costos operativos.

Desde su fundación, Pomelo ha recaudado más de 103 millones de USD y colabora con más de 100 empresas, incluyendo Rappi, Bitso, Global66 y Belo. Su enfoque en ofrecer una infraestructura robusta y escalable ha facilitado su rápida expansión en México, Argentina, Brasil, Colombia, Perú y Chile. Esta combinación de innovación y capacidad técnica ha posicionado a Pomelo como un actor clave y confiable en el ecosistema financiero de la región.

Conoce más sobre Pomelo en su página web o LinkedIn.


Nuestra conversación con Roberto

En esta entrevista, conversamos con Roberto Rubiano, líder del equipo de gobierno, riesgo y cumplimiento en Pomelo. Con más de 15 años de experiencia en ciberseguridad, Roberto nos comparte cómo Pomelo ha logrado certificarse en ISO 27001 con la ayuda de Hackmetrix, enfrentando los desafíos de un crecimiento rápido y las demandas regulatorias de múltiples países.

Evaluamos varias alternativas… nos decidimos por Hackmetrix porque tenía una oferta integral, sumaban una plataforma más el servicio de acompañamiento en la consultoría.

ROBERTO RUBIANO

Si deseas conocer más sobre Roberto o conectar con él, visita su LinkedIn.

Highlights de la entrevista:

Elección de Hackmetrix

“Evaluamos varias alternativas… nos decidimos por Hackmetrix porque tenía una oferta integral, sumaban una plataforma más el servicio de acompañamiento en la consultoría.”

Impacto Comercial

“El hecho de contar con esta certificación abrió muchas nuevas oportunidades de negocio… mostrando que no era solo un esfuerzo técnico, sino que brindaba un valor agregado significativo.”

Plataforma Eficiente

“Hackmetrix tiene un montón de ventajas en el sentido que nos permite unificar con una sola visión de una forma amigable, sencilla y fácil de entender… la parte de gestión documental es una de las grandes fortalezas.”

Comparación de Métodos

“Sin Hackmetrix, seguramente nos hubiera tomado mucho más tiempo… Hackmetrix terminó de apuntalar todo ese conocimiento compartido del equipo y darle una formalidad en una plataforma que realmente potencie y optimice todo lo que veníamos haciendo.”

¿Prefieres leer?

Acá te dejamos la trascripción completa de la entrevista:

 Adriel: Hola, hoy exploraremos una fintech que está revolucionando los servicios financieros de América Latina. Pomelo, fundada en Argentina, está transformando la infraestructura tecnológica para la operación de tarjetas de crédito. Por ahora, en seis países de América Latina, con la capacidad de procesar hasta 55 millones de transacciones diarias. Pomelo ha captado más de 103 millones de dólares de inversión y colabora con más de 100 empresas en América Latina, desde bancos tradicionales hasta fintechs como Rappi y grandes cadenas comerciales. Hoy nos acompaña de Pomelo, Roberto Rubiano, quien lidera el equipo de gobierno, riesgo y cumplimiento, y además cuenta con más de 15 años de experiencia en ciberseguridad. No solo eso, sino que es docente en varias universidades argentinas, aportando una rica combinación de conocimientos técnicos y experiencia práctica que es lo que todos buscamos. Bienvenido Roberto, hoy queremos conocerte.

Roberto Rubiano: Buenos días, buenas tardes, buenas noches. Como bien dijiste, Pomelo lleva 3 años ya de vida. Yo los acompaño casi desde el principio. Hoy me toca liderar el equipo de gobierno, riesgo y cumplimiento, desde donde llevamos algunas iniciativas como la certificación PCI DSS, que fue la primera que encaramos por cumplimiento normativo, y después nos tocó certificar ISO 27001 en su versión 2022 para lo cual contamos con el apoyo de Hackmetrix.

Adriel: Muchas gracias Roberto, ¿Cómo fue que surgió la necesidad de certificarse ISO 27001? 

Roberto Rubiano: Como bien dijiste, hoy tenemos presencia en seis países de la región: México, Brasil, Chile, Perú, Colombia y Argentina. Diferentes reguladores y grandes clientes nos comenzaron a plantear muchas exigencias de cumplimiento, un poco apurados por algunas cuestiones regulatorias y en pos de tener un nivel suficiente de calidad en lo que respecta al marco de gestión de ciberseguridad y seguridad de la información. En plan de demostrar y tener una visión unificada, ya que las diferentes regulaciones tienen cada una sus implicancias y particularidades locales, decidimos que una certificación como la ISO 27001 nos daba una postura de seguridad unificada para poder demostrarles a todo el ecosistema de clientes, reguladores y cualquier otra parte interesada que cumplíamos con las exigencias que plantea este marco normativo. 

Adriel: Perfecto Roberto, si la verdad es que nosotros notamos en Hackmetrix que cumplir con la ISO 27001 es la base de todas las regulaciones de latinoamérica, con algunas excepciones en la regulación mexicana, Roberto ¿Cómo fue el proceso de búsqueda de proveedores y por qué eligieron Hackmetrix?

Roberto Rubiano: Para buscar proveedores, fue un proceso laborioso en el cual nos tomamos el tiempo suficiente para evaluar los pros y contras de cada una de las ofertas que tenía el mercado. Evaluamos varias alternativas, incluso teniendo en cuenta la posibilidad de avanzar de forma independiente, sin que medie un consultor para hacerlo. Pero nos decidimos por Hackmetrix porque tenía una oferta integral, en la cual, sumaban una plataforma más el servicio de acompañamiento en la consultoría propiamente dicha. Con lo cual, nos quedaba, no solamente el acompañamiento del proceso, sino que también podíamos sacar provecho de la plataforma una vez que terminara el trabajo de certificación, el hito de certificación.

Roberto Rubiano: Y hoy, estamos usando esa plataforma para concentrar todo el marco normativo, toda la gestión de riesgo e incluso estamos pensando en ver cuál será el próximo desafío, cuál va ser la próxima certificación, ya que la plataforma ofrece la posibilidad, con un esfuerzo mínimo, poder encauzar ese esfuerzo y reutilizar lo que ya hicimos para ISO 27001, en caso de que queramos encarar alguna otra certificación de la misma familia, como la 27017 o la 2718, o cualquier otra específica. Así que fue una conjunción de eso, de recursos, de facilidad de uso y, a final de cuentas, de esta amalgama entre costo y beneficio.

Adriel: Me interesa conocer cómo fue el proceso de implementación de los controles, la documentación y demás, entendiendo que Pomelo es una empresa de rápido crecimiento, es decir, lo que estás implementando hoy puede cambiar mañana. Cuéntame ¿Cómo fue lidiar con el explosivo crecimiento y la implementación de una ISO?

Roberto Rubiano: Como bien dices, tenemos un lema que dice que hacemos todo con velocidad y calidad Pomelo. Esto significa que, siempre priorizamos la experiencia del usuario, siempre priorizamos el hecho de salir lo más acorde, acompañando las necesidades del cliente, y generalmente, suele ser de que todo para ya, si no es ya, tiene que ser antes de ya. Entonces, es un gran desafío poder ofrecer seguridad en ese esquema, en esa dinámica de que todo tiene que ser lo más rápido posible. 

Lo que nos tocó como parte de este esfuerzo fue ver cómo podíamos reutilizar la certificación previa de PCI DSS y ajustarla para cumplir con todo lo que nos permitía llegar a esta ISO. Fue cuestión de unir esfuerzos con todas las partes de producto para hacerles entender cuál era el valor agregado que daba el hecho de poder cumplir con esta certificación, mostrándoles que no era nada más un esfuerzo técnico, sino que el hecho de contar con esta certificación iba a abrir, y de hecho abrió, muchas nuevas oportunidades de negocio. 

Nos acompañaron con todo el proceso de concientización, también requerido por la normativa, y nos acompañaron en algunos ajustes técnicos que requiere la normativa que, en conjunto, logró que pudiéramos realizar estas certificaciones en poco menos de tres meses, con lo cual te diría que la clave fue involucrar desde un primer momento a todos los stakeholders, no sólo al área técnica sino a los de producto, a los de finanzas, a los recursos humanos y a toda la empresa en pos de lograr ese objetivo. Una vez que tuvimos eso adentro, ya todo fue sobre ruedas y fue cuestión de acompañarlos para darles, bueno, el visto bueno técnico y la curaduría,  en tener una visión integral, uniforme en el marco normativo que estamos produciendo y en los procesos que iban derivando de la misma norma.

Adriel: Básicamente tomaron la ciberseguridad como un feature más de la plataforma para sacarle beneficios comerciales de cara a los clientes y al crecimiento de la empresa. Así que, interesante el punto de vista. ¿Cuáles son las características que más te han gustado o que más le gustaron al equipo de la plataforma Hackmetrix?

Roberto Rubiano: Hackmetrix tiene un montón de ventajas en el sentido que nos permite unificar con una sola visión de una forma amigable, sencilla y fácil de entender para alguien que es idóneo o para alguien que es un neófito que no conoce la normativa, cómo están distribuidos los requisitos que presenta la norma. Están agrupados según los campos de conocimiento, según las áreas temáticas, y a su vez uno puede ir explotando a través de la misma interfaz hasta llegar al requisito puntual de la norma. 

A su vez, el seguimiento progresivo permite, dándonos a nosotros, que veníamos con la visión global, cuál era el porcentaje completo de avance, con lo cual es bastante motivador en el sentido de que veíamos que semana a semana se iba avanzando, de a poco a veces,  y a veces un poco más rápido, pero efectivamente todas las semanas había algún avance. O sea, esa parte visual parece algo muy básico pero en realidad es motivador cuando uno está tratando de llegar al 100%. 

Además de eso, la parte de gestión documental, que es una de las grandes fortalezas, me parece uno de los grandes desafíos que tiene la ISO 27001 también, se vio facilitada por la interfaz. El hecho de tener un marco normativo, un framework de trabajo distribuido donde podíamos generar documentación de forma colaborativa también facilitó un montón la tarea de poder desarrollar, documentar y formalizar todo ese GAP de requisitos que nos faltaban para lograr el objetivo. 

Así que resumida en dos partes, la parte de gestión y la parte documental. Teniendo en cuenta esos dos frentes, ya el resto era acompañar a los equipos con un Know How más estratégico, digamos, bueno, por dónde enfocar los esfuerzos y dónde quizás tenían dos o tres documentos abiertos para trabajar. Bueno, nosotros decíamos, arrancar por este, seguir por este y después el siguiente. Pero fue mucho más sencillo poder ordenar el trabajo de esa forma, antes que tenerlo como lo teníamos antes, que estaba un poco más artesanalmente distribuido con planillas, hojas de trabajo, carpetas compartidas, un poco más dispersas, por decirlo de otra formLa consolidación, creo que es el gran fuerte que tiene en ese sentido, el poder seguir todo de una misma plataforma que al final de cuentas la entienden todos los que están, los que necesitan entenderlo.

Adriel: En tu experiencia, sin Hackmetrix ¿Cuánto más tiempo piensas que te hubiera tomado hacer la ISO? 

Roberto Rubiano: Sin Hackmetrix, seguramente más del que nos llevó ahora, midiéndolo en porcentuales, quizás un cuarto. Seguramente no nos hubiera sido posible hacerlo en tres meses. Ahí nuevamente, no solamente fue la parte de la plataforma sino también fue la parte del mismo equipo, que ya teníamos ese ejercicio de haber sacado licencia en tres países, haber pasado por PCI un par de veces, y bueno, ya teníamos la rutina de poder atender auditorías, de poder tener el marco de trabajo y bueno, Hackmetrix terminó de apuntalar todo ese conocimiento compartido del equipo y darle una formalidad en una plataforma que realmente potencie y optimice todo lo que veníamos haciendo.