PCI-DSS vs. ISO 27001 Parte 2 – Implementação e Certificação

A ISO 27001, que estabelece um Sistema de Gestão de Segurança da Informação (SGSI), está relacionada a segurança da informação em geral. A PCI-DSS também está relacionada a segurança da informação, mas seu foco é na indústria de cartões de crédito. A principal, questão de muitas organizações é: Podemos utilizá-las em conjunto? Elas são compatíveis? Vamos ver!

A propósito, recomendo que você leia meu primeiro artigo sobre PCI-DSS e ISO 27001: PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças.

Compatíveis?

Sim, podemos implementar a ISO 27001 e PCI-DSS na mesma organização sem nenhum problema.

Integrar ambas as normas pode ser um grande ponto de diferenciação, porque por um lado temos um Sistema de gestão, e por outro temos controles de segurança genéricos, e também temos controles específicos para ambientes de cartões de crédito. Adicionalmente, uma vez que muitos controles de ambas as normas são similares, a integração será simples.

Assim, se você trabalha com dados de cartão de crédito e também possui um Sistema de gestão para planejar, implementar, revisar e melhorar controles de segurança, então pode ser uma oportunidade para sua organização trabalhar com a PCI-DSS e a ISO 27001 em conjunto.

Esquemas de certificação

Uma coisa importante após a implementação destas normas e a certificação delas. Os esquemas de certificação das duas normas são completamente diferentes. A ISO 27001 depende da International Standard Organization (ISO, composta de membros de todas as partes do mundo), e ela é auditada por organismos de certificação que tem que ser acreditados por organismos de acreditação nacionais. Por outro lado, o auditor deve ser qualificado por cada organismo de certificação.

No caso da PCI-DSS, existe um fórum central PCI Security Standards Council (PCI-SSC), que é composto das cinco mais importantes entidades de processamento de pagamentos: Visa, MasterCard, American Express, Discover Financial Services, e JCB International. Mas, neste caso, a PCI-SSC não gerencia a conformidade com a norma PCI-DSS; ela deve ser feita por cada marca diretamente. Isto significa que existe um Avaliador de Segurança Qualificado (Qualified Security Assessor – QSA) que cria um Relatório de Conformidade (Report on Compliance – ROC) para organizações que lidam com grandes volumes de transações, ou um Questionário de Auto-Avaliação (Self-Assessment Questionnaire – SAQ) para organizações que lidam com valores melhores. E, é importante notar aqui: Para ser um QSA você deve trabalhar com uma organização aprovada pela PCI-SSC.

O que vem primeiro?

Se não há nada implementado em sua organização, é melhor começar como o Sistema de Gestão da ISO 27001, porque com este você pode gerenciar ambas as normas com um sistema integrado de uma forma única. Então, neste caso:

  1. Defina o escopo do SGSI da ISO 27001.
  2. Implemente o ciclo PDCA e a Avaliação de Risco (a Avaliação de Risco é um requisito comum entre a ISO 27001 e PCI-DSS).
  3. Implemente o Tratamento de Risco (com os controles de segurança genéricos).
  4. Implemente os controles de segurança relacionados a cartões de crédito.

Lembre-se da estrutura dos controles do Anexo A da ISO 27001 e da estrutura da PCI-DSS, que discuti no artigo referenciado no início deste artigo.

Aqui também é importante integrar o escopo de ambas as normas, então é recomendado que ao definir o escopo da ISO 27001, você tenha em mente todos os sistemas e processos relacionados ao ambiente de cartão de crédito.

De outra forma, entendo que se sua organização possui outro Sistema de gestão ISO (por exemplo, ISO 9001), você poderia também usar o ciclo PDCA para a gestão dos controles de segurança da PCI-DSS.

Uma vez que a PCI-DSS e a ISO 27001 possuem controles de segurança similares, você pode integrá-las em sua organização com base no ciclo PDCA, que dará a sua organização um modelo de melhoria contínua, e também ajudará sua organização a gerir controles de segurança, incluindo controles de segurança específicos para cartões de crédito.

Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.