A ISO 27001, que estabelece um Sistema de Gestão de Segurança da Informação (SGSI), está relacionada a segurança da informação em geral. A PCI-DSS também está relacionada a segurança da informação, mas seu foco é na indústria de cartões de crédito. A principal, questão de muitas organizações é: Podemos utilizá-las em conjunto? Elas são compatíveis? Vamos ver!
A propósito, recomendo que você leia meu primeiro artigo sobre PCI-DSS e ISO 27001: PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças.
Compatíveis?
Sim, podemos implementar a ISO 27001 e PCI-DSS na mesma organização sem nenhum problema.
Integrar ambas as normas pode ser um grande ponto de diferenciação, porque por um lado temos um Sistema de gestão, e por outro temos controles de segurança genéricos, e também temos controles específicos para ambientes de cartões de crédito. Adicionalmente, uma vez que muitos controles de ambas as normas são similares, a integração será simples.
Assim, se você trabalha com dados de cartão de crédito e também possui um Sistema de gestão para planejar, implementar, revisar e melhorar controles de segurança, então pode ser uma oportunidade para sua organização trabalhar com a PCI-DSS e a ISO 27001 em conjunto.
Esquemas de certificação
Uma coisa importante após a implementação destas normas e a certificação delas. Os esquemas de certificação das duas normas são completamente diferentes. A ISO 27001 depende da International Standard Organization (ISO, composta de membros de todas as partes do mundo), e ela é auditada por organismos de certificação que tem que ser acreditados por organismos de acreditação nacionais. Por outro lado, o auditor deve ser qualificado por cada organismo de certificação.
No caso da PCI-DSS, existe um fórum central PCI Security Standards Council (PCI-SSC), que é composto das cinco mais importantes entidades de processamento de pagamentos: Visa, MasterCard, American Express, Discover Financial Services, e JCB International. Mas, neste caso, a PCI-SSC não gerencia a conformidade com a norma PCI-DSS; ela deve ser feita por cada marca diretamente. Isto significa que existe um Avaliador de Segurança Qualificado (Qualified Security Assessor – QSA) que cria um Relatório de Conformidade (Report on Compliance – ROC) para organizações que lidam com grandes volumes de transações, ou um Questionário de Auto-Avaliação (Self-Assessment Questionnaire – SAQ) para organizações que lidam com valores melhores. E, é importante notar aqui: Para ser um QSA você deve trabalhar com uma organização aprovada pela PCI-SSC.
O que vem primeiro?
Se não há nada implementado em sua organização, é melhor começar como o Sistema de Gestão da ISO 27001, porque com este você pode gerenciar ambas as normas com um sistema integrado de uma forma única. Então, neste caso:
- Defina o escopo do SGSI da ISO 27001.
- Implemente o ciclo PDCA e a Avaliação de Risco (a Avaliação de Risco é um requisito comum entre a ISO 27001 e PCI-DSS).
- Implemente o Tratamento de Risco (com os controles de segurança genéricos).
- Implemente os controles de segurança relacionados a cartões de crédito.
Lembre-se da estrutura dos controles do Anexo A da ISO 27001 e da estrutura da PCI-DSS, que discuti no artigo referenciado no início deste artigo.
Aqui também é importante integrar o escopo de ambas as normas, então é recomendado que ao definir o escopo da ISO 27001, você tenha em mente todos os sistemas e processos relacionados ao ambiente de cartão de crédito.
De outra forma, entendo que se sua organização possui outro Sistema de gestão ISO (por exemplo, ISO 9001), você poderia também usar o ciclo PDCA para a gestão dos controles de segurança da PCI-DSS.
Uma vez que a PCI-DSS e a ISO 27001 possuem controles de segurança similares, você pode integrá-las em sua organização com base no ciclo PDCA, que dará a sua organização um modelo de melhoria contínua, e também ajudará sua organização a gerir controles de segurança, incluindo controles de segurança específicos para cartões de crédito.
Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.