ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

PCI-DSS vs. ISO 27001 Parte 2 – Implementação e Certificação

A ISO 27001, que estabelece um Sistema de Gestão de Segurança da Informação (SGSI), está relacionada a segurança da informação em geral. A PCI-DSS também está relacionada a segurança da informação, mas seu foco é na indústria de cartões de crédito. A principal, questão de muitas organizações é: Podemos utilizá-las em conjunto? Elas são compatíveis? Vamos ver!

A propósito, recomendo que você leia meu primeiro artigo sobre PCI-DSS e ISO 27001: PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças.

Compatíveis?

blogpost-banner-22301-pt

Sim, podemos implementar a ISO 27001 e PCI-DSS na mesma organização sem nenhum problema.

Integrar ambas as normas pode ser um grande ponto de diferenciação, porque por um lado temos um Sistema de gestão, e por outro temos controles de segurança genéricos, e também temos controles específicos para ambientes de cartões de crédito. Adicionalmente, uma vez que muitos controles de ambas as normas são similares, a integração será simples.

Assim, se você trabalha com dados de cartão de crédito e também possui um Sistema de gestão para planejar, implementar, revisar e melhorar controles de segurança, então pode ser uma oportunidade para sua organização trabalhar com a PCI-DSS e a ISO 27001 em conjunto.

Esquemas de certificação

Uma coisa importante após a implementação destas normas e a certificação delas. Os esquemas de certificação das duas normas são completamente diferentes. A ISO 27001 depende da International Standard Organization (ISO, composta de membros de todas as partes do mundo), e ela é auditada por organismos de certificação que tem que ser acreditados por organismos de acreditação nacionais. Por outro lado, o auditor deve ser qualificado por cada organismo de certificação.

No caso da PCI-DSS, existe um fórum central PCI Security Standards Council (PCI-SSC), que é composto das cinco mais importantes entidades de processamento de pagamentos: Visa, MasterCard, American Express, Discover Financial Services, e JCB International. Mas, neste caso, a PCI-SSC não gerencia a conformidade com a norma PCI-DSS; ela deve ser feita por cada marca diretamente. Isto significa que existe um Avaliador de Segurança Qualificado (Qualified Security Assessor – QSA) que cria um Relatório de Conformidade (Report on Compliance – ROC) para organizações que lidam com grandes volumes de transações, ou um Questionário de Auto-Avaliação (Self-Assessment Questionnaire – SAQ) para organizações que lidam com valores melhores. E, é importante notar aqui: Para ser um QSA você deve trabalhar com uma organização aprovada pela PCI-SSC.

O que vem primeiro?

Se não há nada implementado em sua organização, é melhor começar como o Sistema de Gestão da ISO 27001, porque com este você pode gerenciar ambas as normas com um sistema integrado de uma forma única. Então, neste caso:

  1. Defina o escopo do SGSI da ISO 27001.
  2. Implemente o ciclo PDCA e a Avaliação de Risco (a Avaliação de Risco é um requisito comum entre a ISO 27001 e PCI-DSS).
  3. Implemente o Tratamento de Risco (com os controles de segurança genéricos).
  4. Implemente os controles de segurança relacionados a cartões de crédito.

Lembre-se da estrutura dos controles do Anexo A da ISO 27001 e da estrutura da PCI-DSS, que discuti no artigo referenciado no início deste artigo.

Aqui também é importante integrar o escopo de ambas as normas, então é recomendado que ao definir o escopo da ISO 27001, você tenha em mente todos os sistemas e processos relacionados ao ambiente de cartão de crédito.

De outra forma, entendo que se sua organização possui outro Sistema de gestão ISO (por exemplo, ISO 9001), você poderia também usar o ciclo PDCA para a gestão dos controles de segurança da PCI-DSS.

Uma vez que a PCI-DSS e a ISO 27001 possuem controles de segurança similares, você pode integrá-las em sua organização com base no ciclo PDCA, que dará a sua organização um modelo de melhoria contínua, e também ajudará sua organização a gerir controles de segurança, incluindo controles de segurança específicos para cartões de crédito.

Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.