Nuevos marcos NIST SP 800-53, CMMC, NIST 800-171, PCI DSS SAQ-A y -D, NIST Privacy, ISO 27701, NIST CSF, Microsoft SSPA y MVSP para ayudar a más clientes a lograr y mantener el cumplimiento

SOC 2 y ISO 27001 son marcos confiables para proteger los datos de clientes y negocios para empresas de diversas industrias y etapas de crecimiento. A menudo, ambos informes son requeridos para hacer negocios en los Estados Unidos e internacionalmente, respectivamente. Sin embargo, dependiendo de las industrias a las que sirva su organización, las geografías donde opere y los clientes con los que haga negocios, puede haber otros marcos de seguridad, privacidad y cumplimiento que se requieran.

Es por eso que nos complace anunciar el soporte de Secureframe para nuevos marcos en prácticas recomendadas federales, de la industria de pagos, de privacidad, comerciales y de seguridad junto con nuestro soporte existente para SOC 2, ISO 27001, HIPAA, GDPR, CCPA y PCI DSS. Combinado, la moderna plataforma de gobernanza, riesgo y cumplimiento (GRC) todo en uno de Secureframe ayuda a las organizaciones y equipos de cumplimiento a entender los requisitos, gestionar controles, optimizar flujos de trabajo y automatizar tanto tareas como recolección de evidencia para lograr y mantener un cumplimiento continuo en su negocio.

Además, Secureframe ha ampliado nuestra oferta de SOC 2 para incluir ahora los 5 Criterios de Servicios de Confianza disponibles al respaldar la Integridad de Procesamiento y la Privacidad.

“Los clientes elogian a Secureframe por cómo les permitimos lograr y mantener los estándares globales más rigurosos, pidiéndonos constantemente que extendamos las capacidades de nuestra plataforma a otros marcos de seguridad, privacidad y cumplimiento requeridos en su negocio,” dijo Shrav Mehta, fundador y CEO de Secureframe. “El anuncio de hoy sobre nuestra expansión cubriendo más marcos es una respuesta directa a los comentarios de los clientes y al éxito y valor abrumadores que los clientes están logrando con nuestra plataforma de gobernanza, riesgo y cumplimiento todo en uno.”

“Nos impresionó lo rápido y fácil que Secureframe nos ayudó a estar listos para la auditoría y lograr el cumplimiento tanto de SOC 2 como de ISO 27001,” dijo Yingsong Wang, Ingeniero de Seguridad de Sistemas de Información en Haystack Team Inc. “Estamos emocionados de que Secureframe haya ampliado su plataforma para incluir más marcos, incluido ISO 27701. Confiamos en que Secureframe continuará ayudando a Haystack a lograr y mantener un cumplimiento continuo con rapidez y facilidad."

Siga leyendo para aprender más sobre estos marcos y cómo Secureframe le ayuda a cumplir rápidamente y con facilidad. Si está interesado en la moderna plataforma todo en uno de seguridad, privacidad y cumplimiento de Secureframe, por favor agende una demostración.

Marcos federales

El Instituto Nacional de Estándares y Tecnología (NIST) fue fundado por el Congreso en 1901 para mejorar la competitividad industrial de los Estados Unidos. Hoy en día, NIST desarrolla muchos de los marcos utilizados por organizaciones y agencias gubernamentales para gestionar el riesgo cibernético. Para hacer negocios con agencias gubernamentales o si una empresa interactúa o almacena datos gubernamentales sensibles, entonces esa empresa necesita cumplir con uno o más de estos marcos NIST.

NIST 800-53

El Instituto Nacional de Estándares y Tecnología (NIST) 800-53 es un estándar y marco de cumplimiento de seguridad desarrollado por NIST para ayudar a las agencias federales y sus contratistas a cumplir con los requisitos de la Ley de Modernización de Seguridad de la Información Federal (FISMA). Cualquier organización que trabaje con el gobierno federal o maneje datos federales está obligada a cumplir con NIST 800-53 para mantener la relación.

NIST 800-53 tiene un mayor volumen de controles con requisitos más específicos y detallados en comparación con otros marcos. Por ejemplo, NIST incluye muchos parámetros "definidos por la organización" que no son claros, lo que significa que cada organización tiene que definir por sí misma los parámetros (es decir, alcance y frecuencia) para los controles en su plan de seguridad del sistema (SSP).

Las empresas comerciales que no manejan información federal o trabajan con organizaciones y agencias federales comúnmente utilizan NIST 800-53 como una guía para asegurar sus sistemas, pero no necesariamente estarían sujetas a FISMA.

NIST 800-171

El Instituto Nacional de Estándares y Tecnología (NIST) 800-171 se enfoca en la protección de la Información No Clasificada Controlada (CUI) que reside en sistemas y organizaciones no federales. Los requisitos de seguridad establecidos en NIST 800-171 se aplican a los componentes de cualquier sistema u organización no federal que procese, almacene y/o transmita CUI, o que proporcione protección para dichos componentes.

No existe un organismo de certificación o auditoría oficial para determinar la adherencia de un contratista a los requisitos de NIST 800-171. Sin embargo, las empresas contratadas que trabajan con el Departamento de Defensa (DoD) deben someterse a evaluaciones de NIST 800-171 por una entidad certificada o un socio de ciberseguridad. Secureframe automatiza el cumplimiento para ayudar en el proceso de preparación para la auditoría, incluyendo plantillas y documentación para el SSP y el Plan de Acción y Milestones (POAM).

CMMC

El Certificado de Madurez de Ciberseguridad (CMMC) es un marco de evaluación y un programa de certificación de evaluadores diseñado para aumentar la confianza en las medidas de cumplimiento de una variedad de estándares publicados por el Instituto Nacional de Estándares y Tecnología (NIST) de acuerdo con los estándares del Departamento de Defensa (DoD). Las empresas que trabajen o estén pensando en trabajar con el DoD en el futuro necesitan estar certificadas en CMMC.

CMMC organiza los requisitos de seguridad de NIST en un conjunto de dominios, que se asignan directamente a las familias de controles de NIST y al marco NIST 800-171. CMMC 2.0 está actualmente en un período de transición durante el proceso de reglamentación, lo que significa que aún no es contractualmente requerido. El DoD está explorando oportunidades para proporcionar incentivos a los contratistas que obtengan voluntariamente una certificación CMMC en el período interino.

Para estos marcos federales, Secureframe automatiza el cumplimiento con monitoreo, pruebas automatizadas, plantillas para políticas y procedimientos de privacidad, y todo lo que una organización necesita para lograr el cumplimiento con NIST 800-53, NIST 800-171 y CMMC. Los mapeos de CMMC de Secureframe se basan en la versión 2.0, lo que da a los contratistas del gobierno una ventaja para los requisitos futuros. Si está interesado en la plataforma moderna, todo en uno, de seguridad, privacidad y cumplimiento de Secureframe para las necesidades de cumplimiento del gobierno federal de su organización, por favor solicite una demostración.

Marcos de Pagos

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad destinados a garantizar que todas las empresas que procesan, almacenan, transmiten o impactan datos de tarjetas de crédito o datos de titulares de tarjetas mantengan un entorno seguro.

El cumplimiento de PCI DSS requiere un Informe de Cumplimiento de Nivel 1 (RoC) o un Cuestionario de Autoevaluación de Nivel 2-4 (SAQ). Secureframe ya admite ayudar a los clientes a recibir un RoC de nivel 1 y ahora admite SAQ A y SAQ D.

PCI DSS SAQ A

SAQ A es para cualquier organización de comercio electrónico o pedidos por correo/teléfono donde las tarjetas de pago no están presentes durante la transacción. Todas las funciones de datos de los titulares de tarjetas están subcontratadas a un proveedor de servicios de terceros, y no se almacenan, procesan ni transmiten datos de los titulares de tarjetas en los sistemas o instalaciones del comerciante.

PCI DSS SAQ D (Comerciantes y Proveedores de Servicios)

Todos los comerciantes que no encajen en otra categoría de SAQ necesitarán completar un SAQ D. Todos los proveedores de servicios que sean elegibles para completar un SAQ también necesitarán un SAQ D.

Para estos marcos de pago, Secureframe hace que obtener y mantener el cumplimiento sea rápido y fácil con la recolección automática de evidencia a través de integraciones, plantillas para políticas y procedimientos de PCI DSS, pruebas automatizadas y personalizadas, y todo lo demás que una organización necesita para lograr el cumplimiento de PCI DSS. Si está interesado en la moderna plataforma todo en uno de seguridad, privacidad y cumplimiento de Secureframe para el cumplimiento de PCI DSS de su organización, por favor solicite una demostración.

Marcos de privacidad

Con una creciente cantidad de datos personales y de consumidores recolectados por las empresas, han aumentado las preocupaciones sobre la protección y distribución de esos datos. Secureframe ya ayuda a las empresas a cumplir con las leyes de privacidad de datos como HIPAA, GDPR y CCPA. Ahora hemos añadido dos nuevos marcos para ayudar a mejorar su postura de privacidad y cumplimiento.

Marco de Privacidad NIST

El Marco de Privacidad del Instituto Nacional de Estándares y Tecnología (NIST) fue desarrollado por NIST para proporcionar a las organizaciones un marco para comunicar y priorizar sus actividades de protección de la privacidad. Es un marco amplio que se mantiene actualizado con las tendencias tecnológicas y es independiente de cualquier tecnología, sector, estándar, ley o jurisdicción en particular.

El Marco de Privacidad de NIST fue diseñado para ser flexible y usable por cualquier tipo de organización en todo el mundo, independientemente de sus leyes y regulaciones locales. Esto permite que el marco sea adoptado rápidamente, pero también significa que las organizaciones aún necesitan demostrar cumplimiento con leyes y regulaciones como GDPR y CCPA si aplican.

ISO 27701

El estándar ISO 27701 forma parte de la familia de estándares ISO 27000. Mientras que ISO 27001 cubre la seguridad de la información, ISO 27701 amplía la seguridad de la información existente para cubrir la privacidad. Como tal, ISO 27701 requiere que la organización establezca, mantenga y mejore continuamente un sistema de gestión de información de privacidad (PIMS). Dada la creciente popularidad e interés en la privacidad de los datos, ISO 27701 fue creado teniendo en cuenta los marcos legales de privacidad existentes, incluidos los requisitos legales del marco GDPR.

ISO 27701 no es una certificación independiente sino una extensión de ISO 27001. Esto se debe a que la seguridad de la información es fundamental para proteger los datos, incluidos los datos personales o la información de identificación personal (PII). Las organizaciones que deseen completar ISO 27701 deben completar ISO 27001 antes o al mismo tiempo. La certificación ISO 27701 estará vinculada al certificado ISO 27001.

Cumplir con los marcos de privacidad requiere mucho tiempo y esfuerzo para comprender los controles específicos necesarios y redactar políticas y procedimientos adecuados. La plataforma de Secureframe fue diseñada específicamente para ayudar a las organizaciones a cumplir de manera rápida y segura. Secureframe simplifica el cumplimiento con pruebas automatizadas y personalizadas, plantillas para políticas y procedimientos de privacidad, y todo lo demás que una organización necesita para lograr el cumplimiento de HIPAA, GDPR, CCPA, el Marco de Privacidad de NIST y ISO 27001 rápidamente. Si estás interesado en la plataforma moderna y todo en uno de Secureframe para seguridad, privacidad y cumplimiento, por favor programa una demostración.

Marcos generales de seguridad de la información

Existen muchos marcos para proteger datos sensibles de ataques cibernéticos. A continuación, se presentan marcos adicionales que Secureframe admite para ayudar a las organizaciones a mejorar su postura de seguridad, privacidad y cumplimiento. Uno está destinado a proteger la ciberseguridad de la infraestructura crítica (NIST CSF), otro es específico de la empresa para proteger datos confidenciales (Microsoft SSPA) y otro está destinado a ayudar a las pequeñas empresas a establecer una postura de seguridad razonable rápidamente (MVSP).

NIST CSF

El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology) (NIST CSF) se introdujo en 2014 y se actualizó con la versión 1.1, que se puso a disposición del público el 16 de abril de 2018, para establecer conocimientos compartidos y mejores prácticas en torno al riesgo y las amenazas de ciberseguridad para la infraestructura crítica. El Instituto Nacional de Estándares y Tecnología de los EE. UU. se asoció con expertos tanto del sector privado como del gobierno para crear un marco para la ciberseguridad de la infraestructura crítica.

Hay algunos tipos diferentes de organizaciones que pueden querer implementar NIST CSF, incluidas organizaciones que:

• Trabajan con el gobierno federal de EE. UU.
• Trabajan para instituciones respaldadas por subvenciones federales
• Trabajan dentro de la cadena de suministro de una agencia federal
• Cualquier organización comercial que quiera demostrar una postura de seguridad sólida

El marco NIST CSF ayuda a evaluar el riesgo de ciberseguridad y realizar una evaluación de controles en toda la organización.

Microsoft SSPA

El programa de Garantía de Seguridad y Privacidad de Proveedores (Supplier Security and Privacy Assurance) (SSPA) de Microsoft es un conjunto de requisitos y prácticas de seguridad y privacidad que especifica los Requisitos de Protección de Datos (“DPR”) que los proveedores (“suppliers”) que forman parte de la cadena de suministro de información de Microsoft deben cumplir antes de hacer negocios con Microsoft. SSPA se aplica a los proveedores que desean procesar datos personales o confidenciales de Microsoft como parte de su relación de proveedor con Microsoft. Luego, todos los proveedores inscritos deben completar las tareas de cumplimiento de SSPA anualmente.

MVSP

Producto Seguro Mínimamente Viable (MVSP) es una línea base mínima de seguridad para productos y servicios listos para empresas. MVSP fue desarrollado por socios de la industria (incluidos, pero no limitados a: Google, Okta, Salesforce y Slack; Secureframe se ha unido al grupo de trabajo de MVSP y comenzará a contribuir al desarrollo de este marco). Diseñado con la simplicidad en mente, la lista de verificación contiene solo aquellos controles que deben, como mínimo, implementarse para garantizar una postura de seguridad razonable.

Para estos marcos generales, Secureframe automatiza el cumplimiento con monitoreo, pruebas automatizadas, plantillas para las políticas y procedimientos requeridos, y todo lo demás que una organización necesita para lograr el cumplimiento con NIST CSF, Microsoft SSPA y MVSP. Si está interesado en la plataforma moderna, todo en uno, de seguridad, privacidad y cumplimiento de Secureframe, por favor programe una demostración.

SOC 2 Privacidad e Integridad de Procesamiento

Integridad de Procesamiento y Privacidad son dos de los cinco Criterios de Servicios de Confianza que componen los estándares SOC 2:

• La Privacidad examines cómo las actividades de control de una organización protegen la información de identificación personal (PII) de los clientes. También asegura que un sistema que usa datos personales cumple con los Principios de Privacidad Generalmente Aceptados (GAPP) del AICPA.
• Los Criterios de Integridad de Procesamiento determinan si un sistema realiza sus funciones previstas sin retraso, error, omisión o manipulación accidental.

¿Listo para empezar?

Si está interesado en la plataforma moderna, todo en uno, de seguridad, privacidad y cumplimiento de Secureframe, por favor programe una demostración.