Gestão de SI

ISO 27001 e PCI-DSS

A norma ISO 27001 e PCI-DSS são normas completas, as duas têm relevância por seu impacto internacional.

Muito profissionais já devem ter parado para pensar sobre a questão PCI-DSS ou ISO 27001?

A norma ISO 27001 é uma norma com abrangência internacional e reconhecida, mundialmente.

A norma estabelece os requisitos para um Sistema de Gestão de Segurança da Informação, tem por premissa a aplicação em qualquer tipo de organização, sendo opcional sua implementação e certificação.

A norma PCI-DSS é um padrão de Segurança de Dados da Indústria de Cartões de Pagamento, tem por finalidade a proteção da privacidade e da confidencialidade da dados de cartões de pagamento. Sua implementação é obrigatória dependendo do volume de cartões processados. Pode ser adquirido gratuitamente através do site da PCI Security Standards Council.

A principal diferença entre a norma ISO 27001 e PCI-DSS, que compões qualquer sistema de gestão baseado na ISO é o PDCA, sendo assim a norma é melhor para a organização que desejam complementar os controles do PCI-DSS.

Lembrando que a norma PCI-DSS é obrigatória para as organizações que processam com cartão de crédito, a norma ISO entra como melhoria, não substituindo a PCI-DSS.

O Padrão PCI-DSS possui 12 requisitos e 1 anexo

Requisito 1: Instalar e manter configuração de firewall para proteger os dados do titular do cartão

Requisito 2: Não fazer uso de padrões fornecidos por vendedores em senhas de sistemas e outros parâmetros de segurança

Requisito 3: Proteger dados do titular armazenados

Requisito 4: Encriptar a transmissão de dados do titular do cartão através de redes abertas / públicas

Requisito 5: Proteger todos os sistemas contra malware e regularmente atualizar software ou programas antivírus

Requisito 6: Desenvolver e manter sistemas e aplicações seguros

Requisito 7: Restringir o acesso a dados do titular do cartão de acordo com a necessidade de saber do negócio

Requisito 8: Identificar e autenticar o acesso a componentes do sistema

Requisito 9: Restringir o acesso físico a dados do titular do cartão

Requisito 10: Rastrear e monitorar todos os acessos a recursos de rede e dados de titulares de cartão

Requisito 11: Regularmente testar a segurança de sistemas e processos

Requisito 12: Manter uma política que trate de segurança da informação para todo o pessoal

Requisito A.1: Provedores de hosts compartilhados devem proteger o ambiente dos dados dos titulares de cartão

A norma ISO 2701 possui 11 clausulas, , 13 grupos de controle e 114 controles de segurança, muitos possuem  similaridades com o padrão PCI-DSS:

A.5 Políticas de Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)

A.6 Organização da Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)

A.7 Segurança em Recursos Humanos (está relacionada ao requisito 12 da PCI-DSS)

A.8 Gestão de ativos (está relacionada ao requisito 12 da PCI-DSS)

A.9 Controle de acesso (está relacionada ao requisito 7 da PCI-DSS)

A.10 Criptografia (está relacionada ao requisito 4 da PCI-DSS)

A.11 Segurança física e do ambiente (está relacionada ao requisito 9 da PCI-DSS)

A.12 Segurança nas operações (está relacionada aos requisitos 1, 5, 10 e 11 da PCI-DSS)

A.13 Segurança nas comunicações (está relacionada ao requisito 4 da PCI-DSS)

A.14 Aquisição, desenvolvimento e manutenção de sistemas (está relacionada ao requisito 6 da PCI-DSS)

A.15 Relacionamento na cadeia de suprimento

A.16 Gestão de incidentes de segurança da informação

A.17 Aspectos da segurança da informação na gestão da continuidade do negócio

A.18 Conformidade

As normas são compatíveis e a ISO 27001 complementa o padrão PCI-DSS, sendo assim a sua implementação é possível e como visto acima, muitos controles das normas são similares tornando a integração simples.

Alguns cuidados devem ser tomados ao implementar a norma ISO 27001 e PCI-DSS em conjunto, são eles:

Defina o escopo do SGSI da ISO 27001, tenha em mente todos os sistemas e processos relacionados ao ambiente de cartão de crédito.

Implemente avaliação de Risco, esse é um requisito da ISO 27001 e PCI-DSS.

Implemente o ciclo PDCA.

Implemente o Tratamento de Risco.

Implemente os controles de segurança relacionados a cartões de crédito.

Também recomendo a leitura da série publicada aqui sobre a ISO 27001 em https://portalgsi.com.br/2015/07/20/como-implantar-um-sistema-de-gestao-de-seguranca-da-informacao-sgsi-parte-1/

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.