ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças

Se você está perguntando o que são ISO 27001, PCI-DSS e segurança da informação, agora é a hora de aprender. Primeiramente, recomendo que você leia este artigo: O que é a ISO 27001?. Basicamente, existem muitas normas em segurança da informação, mas duas que têm uma relevância especial por seu escopo e por seu impacto internacional são a ISO 27001 e PCI-DSS. Neste artigo veremos uma descrição geral e a estrutura de cada uma.

PCI-DSS ou ISO 27001?

blogpost-banner-22301-pt

É possível que muitas organizações tenham esta questão em mente, e a resposta obviamente dependerá das necessidades de cada negócio. De qualquer forma, vamos a elas:

  • ISO 27001 é uma norma internacional, com reconhecimento mundial, que estabelece os requisitos para o estabelecimento de um Sistema de Gestão de Segurança da Informação. Ela se aplica a qualquer tipo de organização, e sua implementação e certificação é opcional, então não é obrigatória para uma organização.
  • PCI-DSS é uma norma de segurança de dados para o setor de cartões de crédito. Para estas organizações, a conformidade com a norma é obrigatória, embora dependendo do volume de cartões processados, diferentes requisitos ou obrigações podem ser aplicáveis.

Uma das coisas mais importantes que a ISO 27001 possui, e a PCI-DSS não, é o PDCA (Plan, Do, Check, Act), que é estabelecido em qualquer sistema de gestão baseado na ISO. Assim, tenha em mente que a ISO 27001 é melhor para aquelas organizações onde já existe um Sistema de gestão, e que querem complementá-lo com a segurança da informação (ou não possuem um sistema de gestão e o querem para proteger a informação), enquanto a PCI-DSS é mais adequada, e obrigatória, para aquelas organizações que trabalham com cartões de crédito.

Estrutura da PCI-DSS

A PCI-DSS consiste de 13 grupos de controles (12 requisitos + 1 anexo), e mais de 200 controles que estão focados na segurança dos dados de cartões de crédito:

  • Requisito 1: Instalar e manter configuração de firewall para proteger os dados do titular do cartão
  • Requisito 2: Não fazer uso de padrões fornecidos por vendedores em senhas de sistemas e outros parâmetros de segurança
  • Requisito 3: Proteger dados do titular armazenados
  • Requisito 4: Encriptar a transmissão de dados do titular do cartão através de redes abertas / públicas
  • Requisito 5: Proteger todos os sistemas contra malware e regularmente atualizar software ou programas anti-virus
  • Requisito 6: Desenvolver e manter sistemas e aplicações seguros
  • Requisito 7: Restringir o acesso a dados do titular do cartão de acordo com a necessidade de saber do negócio
  • Requisito 8: Identificar e autenticar o acesso a componentes do sistema
  • Requisito 9: Restringir o acesso físico a dados do titular do cartão
  • Requisito 10: Rastrear e monitorar todos os acessos a recursos de rede e dados de titulares de cartão
  • Requisito 11: Regularmente testar a segurança de sistemas e processos
  • Requisito 12: Manter uma política que trate de segurança da informação para todo o pessoal
  • Requisito A.1: Provedores de hosts compartilhados devem proteger o ambiente dos dados dos titulares de cartão

O conteúdo desta norma consiste de 112 páginas, está disponível gratuitamente, e pode ser consultado / baixado do website oficial do PCI Security Standard Council. O documento indica os requisitos e provê um guia para estar em conformidade com eles.

Similaridades e diferenças

Por outro lado, a ISO 27001 consiste de 11 cláusulas (iniciando na 0 e terminando na 10) que estão relacionadas com o Sistema de gestão, e também possui 13 grupos de controles e 114 controles de segurança genéricos que podem ser aplicados em qualquer tipo de organização. Leia este artigo para ter uma visão geral dos controles de segurança: Visão geral do Anexo A da ISO 27001:2013. Muitos destes controles têm similaridades coma PCI-DSS:

  • A.5 Políticas de Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
  • A.6 Organização da Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
  • A.7 Segurança em Recursos Humanos (está relacionada ao requisito 12 da PCI-DSS)
  • A.8 Gestão de ativos (está relacionada ao requisito 12 da PCI-DSS)
  • A.9 Controle de acesso (está relacionada ao requisito 7 da PCI-DSS)
  • A.10 Criptografia (está relacionada ao requisito 4 da PCI-DSS)
  • A.11 Segurança física e do ambiente (está relacionada ao requisito 9 da PCI-DSS)
  • A.12 Segurança nas operações (está relacionada aos requisitos 1, 5, 10 e 11 da PCI-DSS)
  • A.13 Segurança nas comunicações (está relacionada ao requisito 4 da PCI-DSS)
  • A.14 Aquisição, desenvolvimento e manutenção de sistemas (está relacionada ao requisito 6 da PCI-DSS)
  • A.15 Relacionamento na cadeia de suprimento
  • A.16 Gestão de incidentes de segurança da informação
  • A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
  • A.18 Conformidade

O conteúdo desta norma consiste de 30 páginas, e está disponível a partir da página principal da ISO, mas você precisa pagar por ela. O documento apenas indica os requisitos, mas se você quer saber como você pode estar em conformidade com eles, outra norma é necessária: ISO 27002, a qual é um código de boas práticas.

Como usá-las?

Assim, como você pode ver, existem muitas similaridades entre ambas as normas, por exemplo a melhoria continua da ISO 27001, i.e., os melhores controles gerais de segurança da ISO 27002 e os melhores controles controles com relação a cartões de crédito da PCI-DSS. Existem muitas organizações que trabalham com ambas as normas usando as vantagens das duas, e oferecendo serviços a seus clientes com a melhor segurança. Assim, tendo em mente que elas se complementam muito bem, e que para um esforço aceitável você ganha muito, talvez seja uma boa ideia considerar a implementação das duas.

Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.