Proteger los datos de su organización no es solo una buena práctica, es una necesidad. Pero con cientos de marcos de cumplimiento regulatorio y de seguridad disponibles, ¿cómo saber cuáles son los adecuados para su negocio? Además, ¿por qué son importantes estos marcos y cómo pueden ayudarle a fortalecer su postura de seguridad?
El marco adecuado le ofrecerá una manera estructurada de gestionar riesgos y asegurarse de que está cumpliendo con las obligaciones legales y contractuales. En este artículo, profundizaremos en los conceptos básicos de 15 marcos de cumplimiento regulatorio y de seguridad para ayudarle a tomar una decisión informada sobre cuáles se aplican a su organización.
Seguridad estructurada: Por qué importan los marcos de cumplimiento
Los marcos de cumplimiento de seguridad proporcionan un conjunto estructurado de pautas y mejores prácticas para la seguridad de datos y la privacidad. Estos marcos a menudo son moldeados por expertos de la industria y están diseñados para ayudar a las empresas a navegar el complejo panorama de la ciberseguridad. Al adherirse a un marco confiable, las organizaciones pueden asegurar que están cumpliendo con su debida diligencia para proteger datos sensibles, mitigar riesgos de seguridad e incluso cumplir con regulaciones legales.
Los marcos de cumplimiento sirven múltiples propósitos. Primero, ofrecen una hoja de ruta para crear un entorno seguro adaptado a necesidades específicas, ya sea en el cuidado de la salud, finanzas o comercio minorista. Segundo, ayudan a estandarizar protocolos de seguridad, facilitando a las organizaciones la comunicación y colaboración segura. Por último, en muchos casos, el cumplimiento no es opcional. No cumplir con los marcos de seguridad relevantes puede resultar en graves repercusiones financieras y legales, sin mencionar el daño potencial a la reputación de la marca.
Cómo decidir qué marcos de cumplimiento adoptar
Cada marco tiene su propio conjunto de requisitos y procesos de auditoría. La elección de qué marco(s) adoptar a menudo está guiada por varios factores:
- Especificidades de la Industria: Algunos marcos son específicos para ciertas industrias. Por ejemplo, las organizaciones de salud en los Estados Unidos deben cumplir con HIPAA, mientras que las instituciones financieras generalmente deben adherirse a SOX.
- Alcance Geográfico: Su ubicación y las ubicaciones de sus clientes pueden dictar qué marcos necesita. Por ejemplo, los clientes de la UE requerirán cumplimiento con GDPR, y un mercado global probablemente requerirá la certificación ISO 27001.
- Objetivos de Negocio: A veces, la elección del marco también es influenciada por sus objetivos de negocio. Si está apuntando a un mercado particular o planea ser adquirido, cumplir con ciertos marcos puede hacerlo más atractivo para los inversores o compradores potenciales.
- Disponibilidad de Recursos: Implementar un marco de cumplimiento requiere una inversión significativa de tiempo, personal y tecnología, y ese nivel de esfuerzo puede variar dependiendo del marco. La disponibilidad de recursos de su organización puede ser un factor significativo para decidir qué marcos adoptar y cuándo.
Marcos de Cumplimiento Regulatorio
Los marcos regulatorios son conjuntos de directrices, reglas y principios establecidos por organismos reguladores o gobiernos para supervisar actividades, industrias o sectores específicos. Estos marcos son legalmente obligatorios y se desarrollan para garantizar que la industria opere de manera compatible con intereses públicos como seguridad, equidad y sostenibilidad ambiental.
A continuación, explicaremos los fundamentos de ocho de los principales marcos regulatorios que están en vigor en todo el mundo.
Reglamento General de Protección de Datos (GDPR) de la Unión Europea
GDPR otorga a los ciudadanos de la UE un mayor control sobre sus datos personales y remodela la forma en que las organizaciones deben abordar la privacidad de los datos. El GDPR se aplica tanto a las organizaciones ubicadas dentro de la UE como a las ubicadas fuera de la UE que manejen la información personal de los residentes de la UE.
El GDPR define ampliamente los datos personales como cualquier información relacionada con una persona física identificada o identificable. Esto puede incluir nombre, dirección, dirección IP, información de salud, datos financieros y más.
Requisitos reglamentarios clave:
- Establecer una base legal para el procesamiento de datos
- Obtener el consentimiento de los sujetos de los datos de manera clara, específica, informada e inequívoca
- Honrar los derechos de los sujetos de los datos, incluido el derecho al olvido
- Implementar salvaguardas técnicas y organizativas para garantizar la seguridad de los datos
- Enviar notificaciones oportunas en caso de una violación de datos
- Nombrar a un oficial de protección de datos (si aplica)
- Diseñar productos y servicios con la privacidad en mente
- Realizar una evaluación de impacto en la protección de datos para explicar cómo se identifican y minimizan los riesgos
- Restringir las transferencias de datos personales fuera de la UE
- Determinar si las leyes de residencia de datos son aplicables a su organización
- Completar una capacitación en conciencia de privacidad al menos una vez al año
El GDPR es aplicado por el Comité Europeo de Protección de Datos (EDPB), compuesto por autoridades de protección de datos de cada uno de los 27 Estados miembros de la UE. Las empresas que no cumplan con el GDPR pueden ser multadas con hasta 20 millones de euros o el 4% de sus ingresos anuales del año fiscal anterior, lo que sea mayor.
Ley de Privacidad del Consumidor de California (CCPA)
La Ley de Privacidad del Consumidor de California (CCPA) es una de las leyes de privacidad de datos más completas de EE. UU. Otorga a los consumidores de California más control sobre su información personal, permitiéndoles comprender cómo se utilizan sus datos y solicitar que se eliminen o no se vendan a terceros.
La ley se aplica a entidades con fines lucrativos que hacen negocios en California y que tienen ingresos anuales brutos de más de 25 millones de dólares; compran, reciben o venden la información personal de 50,000 o más residentes de California, hogares o dispositivos; o derivan el 50% o más de sus ingresos anuales de la venta de la información personal de los residentes de California.
Requisitos reglamentarios clave
- Los consumidores pueden solicitar detalles sobre la información personal específica que una empresa ha recopilado sobre ellos.
- Los consumidores pueden pedir a las empresas que eliminen su información personal.
- Los consumidores pueden instruir a las empresas que venden su información personal a terceros para que dejen de hacerlo.
- Las empresas no pueden discriminar contra los consumidores por ejercer sus derechos bajo la CCPA, como cobrar precios diferentes o proporcionar un nivel de servicio diferente.
La CCPA es aplicada por el Fiscal General de California. Las violaciones que no se resuelvan dentro de los 30 días posteriores a la notificación pueden resultar en sanciones civiles de hasta $2,500 por violación y hasta $7,500 por violación intencional. En casos de violaciones de datos, los consumidores pueden recuperar daños entre $100 y $750 por consumidor, por incidente, o los daños reales (lo que sea mayor).
Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) es una ley federal de EE. UU. que establece estándares para la protección de información de salud sensible del paciente.
HIPAA se aplica tanto a las entidades cubiertas (médicos, clínicas de atención médica, hospitales, etc.) como a sus asociados comerciales (entidades que proporcionan servicios a una entidad cubierta que involucren el uso o divulgación de información de salud protegida).
Requisitos reglamentarios clave:
- Regla de Privacidad: Protege la privacidad de la información de salud individualmente identificable conocida como Información de Salud Protegida (PHI).
- Regla de Seguridad: Especifica una serie de salvaguardas administrativas, físicas y técnicas para garantizar la confidencialidad, integridad y disponibilidad de la PHI electrónica.
- Regla de Notificación de Violación: Las personas afectadas deben ser notificadas de una violación dentro de los 60 días posteriores al descubrimiento de la violación. Las notificaciones deben enviarse por escrito. En ciertos casos, la notificación debe hacerse a los medios y al Secretario del Departamento de Salud y Servicios Humanos (HHS).
- Regla del Mínimo Necesario: Las divulgaciones o solicitudes de PHI deben limitarse al mínimo necesario para lograr el propósito.
- Regla General: Esta regla incorpora disposiciones de la Ley HITECH y aborda áreas como las responsabilidades del socio comercial y los derechos de los pacientes a copias electrónicas de sus registros de salud.
La Oficina de Derechos Civiles (OCR) del HHS hace cumplir las Reglas de Privacidad y Seguridad. Las violaciones varían según la gravedad y la intención detrás de la violación. Las sanciones pueden variar desde $100 por violación hasta $1.5 millones, además de sanciones penales.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP)
FedRAMP es un programa del gobierno federal de EE. UU. que estandariza los procesos de evaluación de seguridad, evaluación de riesgos, autorización y monitoreo continuo para los servicios en la nube utilizados por las agencias federales.
Tanto los servicios en la nube comerciales como los no comerciales (incluidos los desarrollados internamente por agencias federales) deben cumplir con FedRAMP si han de ser adoptados por entidades federales.
Requisitos regulatorios clave:
- Un Plan de Seguridad del Sistema (SSP) que describa los límites del sistema en la nube, el entorno del sistema, cómo opera y los procesos y políticas de seguridad que están en vigor.
- Un conjunto de controles de seguridad estandarizados derivados de NIST SP 800-53, incluidos controles de acceso, respuesta a incidentes, planificación de contingencias e integridad del sistema y de la información.
- Monitoreo y reporte continuo sobre su estado de seguridad, incluidos informes regulares, procesos de gestión de cambios y escaneo de vulnerabilidades.
- Cumplimiento con 26 familias de control NIST 800-53
- Evaluaciones anuales de seguridad realizadas por un 3PAO
FedRAMP es gestionado por la Administración de Servicios Generales (GSA), mientras que las agencias federales individuales son responsables de otorgar Autoridad para Operar (ATOs) y asegurarse de que los servicios en la nube que utilizan cumplan con FedRAMP.
El incumplimiento significa que a un proveedor de servicios en la nube no se le podrá otorgar un ATO, lo que efectivamente les impide ser adoptados por agencias federales.
La Ley Federal de Gestión de Seguridad de la Información (FISMA)
La Ley Federal de Gestión de Seguridad de la Información (FISMA) es una ley federal de EE. UU. Su objetivo es mejorar la ciberseguridad de las agencias federales y sus sistemas de información al exigir a las agencias que desarrollen, documenten e implementen un programa de seguridad y protección de la información.
Requisitos regulatorios clave:
- Evaluaciones de Riesgos: Se requiere que las agencias realicen evaluaciones de riesgos periódicas para determinar la probabilidad y el impacto de posibles brechas de seguridad.
- Controles de Seguridad: Basándose en los niveles de riesgo, las agencias gubernamentales deben seleccionar e implementar los controles de seguridad apropiados de la Publicación Especial 800-53 de NIST.
- Certificación y Acreditación: Los sistemas de información deben ser certificados por sus procesos de seguridad y luego acreditados por funcionarios de la agencia para operar.
- Monitoreo Continuo: Las agencias deben monitorear continuamente sus controles de seguridad y realizar evaluaciones de riesgos periódicas para asegurar la efectividad continua.
- Informes de Incidentes: Las agencias deben tener disposiciones para detectar, informar y responder a incidentes de seguridad.
- Evaluaciones Independientes Anuales: Las evaluaciones continuas del programa de seguridad de información de una agencia deben ser realizadas por auditores independientes.
FISMA es aplicada por la Oficina de Gestión y Presupuesto (OMB), mientras que el Departamento de Seguridad Nacional (DHS) brinda apoyo para la implementación y el Instituto Nacional de Estándares y Tecnología (NIST) desarrolla estándares y directrices.
El Modelo de Certificación de Ciberseguridad (CMMC)
La Modelo de Certificación de Ciberseguridad (CMMC) está diseñado para mejorar la protección de la información sensible de defensa, específicamente Información de Contrato Federal (FCI) e Información No Clasificada Controlada (CUI), verificando que las empresas dentro de la cadena de suministro del Departamento de Defensa tengan los controles necesarios para proteger adecuadamente la información sensible. A partir de 2026, cualquier organización que trabaje como contratista del Departamento de Defensa estará legalmente obligada a cumplir con los estándares de CMMC.
Requisitos regulatorios clave:
- Nivel 1: Fundamental: Las organizaciones tienen prácticas básicas de ciberseguridad en su lugar. Las organizaciones pueden implementar estas prácticas de seguridad de manera ad hoc, sin depender de la documentación. La certificación implica una autoevaluación anual. El Nivel 1 de CMMC es para contratistas y subcontratistas del DoD que manejan Información de Contratos Federales.
- Nivel 2: Avanzado: Las organizaciones deben tener procesos formalmente documentados y repetibles en su lugar y realizar esos procesos tal como están documentados. Las organizaciones que manejan información relacionada con la seguridad nacional deben someterse a una evaluación de terceros (C3PAO) cada tres años. Las organizaciones que no procesan datos importantes para la seguridad nacional realizarán una autoevaluación anual.
- Nivel 3: Experto: Las organizaciones deben tener estrategias y recursos dedicados para gestionar amenazas persistentes avanzadas (APT). Esto generalmente incluye objetivos documentados, proyectos, recursos y programas de capacitación. El Nivel 3 se aplica a empresas que manejan la información más sensible para los programas del DoD.
El Cuerpo de Acreditación de CMMC entrena y acredita a las Organizaciones de Evaluación de Terceros Certificadas (C3PAO), que luego tienen la tarea de evaluar las empresas en función de los estándares de CMMC. Las empresas que no están certificadas al nivel adecuado de CMMC no son elegibles para licitar o ganar contratos del DoD que requieren ese nivel de certificación.
La Ley Sarbanes-Oxley (SOX)
La Ley Sarbanes-Oxley de 2002 (SOX) es una ley federal de los Estados Unidos destinada a mejorar la gobernanza y la responsabilidad corporativa. Está diseñada para proteger a los inversores contra la presentación fraudulenta de informes financieros por parte de las corporaciones. Al enfatizar una mayor transparencia en la presentación de informes financieros. SOX también responsabiliza a los ejecutivos de las declaraciones financieras de sus empresas.
Requisitos regulatorios clave:
- Responsabilidad Corporativa por los Informes Financieros: La alta dirección debe certificar la exactitud de los estados financieros reportados.
- Evaluación de la Gestión de los Controles Internos: La gestión y el auditor externo deben informar sobre la adecuación de los controles internos de una empresa sobre la presentación de informes financieros.
- Mantenimiento de Registros: SOX incluye requisitos relacionados con la destrucción, alteración o falsificación de registros.
- Sanciones por Certificaciones Erróneas: Se imponen sanciones por certificar informes financieros engañosos o fraudulentos.
La Comisión de Bolsa y Valores (SEC) es el principal organismo regulador de SOX, supervisando las auditorías de las empresas públicas. Las violaciones intencionadas o tergiversaciones pueden incluir sanciones penales y civiles.
Marcos de Cumplimiento de Seguridad de la Información
Los marcos de seguridad de la información son guías estructuradas y mejores prácticas diseñadas para ayudar a las organizaciones a implementar, gestionar y medir la efectividad de su postura de seguridad de la información. Estos marcos proporcionan un enfoque sistemático para proteger los datos sensibles contra el acceso no autorizado, la divulgación, alteración y destrucción.
Aunque el cumplimiento de estos marcos no es legalmente obligatorio, la mayoría de ellos son esenciales para que las empresas sean competitivas en el mercado. La mayoría de los clientes, especialmente las grandes empresas, no se asociarán con proveedores que no tengan informes de cumplimiento o certificaciones con ciertos marcos de seguridad.
Desglosamos lo básico de los marcos más demandados a continuación.
Control del Sistema y de la Organización 2 (SOC 2)
SOC 2 tiene como objetivo proporcionar confianza y visibilidad en la capacidad de una organización de servicios para mantener la seguridad de los datos. Creado por el Instituto Americano de Contadores Públicos Certificados (AICPA), SOC 2 se centra en proteger los datos sensibles a través de los cinco Criterios de Servicios de Confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Existen dos tipos de informes SOC 2. Un informe Tipo I evalúa los controles de una organización en un momento específico. Un informe Tipo II evalúa cómo funcionan los controles de una organización durante un período de tiempo, típicamente de 3 a 12 meses. La duración de la ventana de auditoría depende de la organización, pero generalmente las organizaciones hacen 3 meses la primera vez y luego aumentan a 6 o 12 meses la segunda vez, hasta que llegan a hacer ventanas de auditoría anuales de 12 meses.
Aunque no es legalmente requerido, los informes SOC 2 se han convertido en un de facto estándar de la industria para la seguridad y gestión de datos. Generalmente son requeridos por las empresas cuando consideran asociaciones con proveedores externos.
Los requisitos de cumplimiento varían dependiendo de cuáles Criterios de Servicios de Confianza están en el alcance de una auditoría SOC 2.
Requisitos clave de seguridad:
Seguridad
- Controles de Acceso Lógico y Físico: Asegurar que solo personas autorizadas puedan acceder a los sistemas y datos.
- Detección de Intrusiones: Implementar medidas para detectar y responder a incidentes de seguridad.
- Cifrado de Datos: Cifrar datos sensibles en tránsito y en reposo.
- Cortafuegos y Seguridad de la Red: Implementar cortafuegos para bloquear el acceso no autorizado a las redes.
Disponibilidad
- Monitoreo del Sistema: Monitorear regularmente el rendimiento y la disponibilidad del sistema.
- Recuperación ante Desastres y Continuidad del Negocio: Establecer y mantener un plan de recuperación ante desastres para garantizar la disponibilidad continua de los servicios.
- Manejo de Incidentes: Definir y seguir procedimientos para gestionar incidentes que afecten la disponibilidad.
- Redundancia: Usar sistemas redundantes, centros de datos y otros componentes esenciales para mantener la disponibilidad del servicio.
Integridad del Procesamiento
- Garantía de Calidad y Verificación de Errores: Implementar controles de calidad para garantizar un procesamiento de datos preciso.
- Monitoreo de Procesos: Monitorear los sistemas de procesamiento para detectar transacciones incompletas, inexactas o no autorizadas.
- Verificación de Datos: Implementar medidas para verificar las entradas y salidas de datos.
- Herramientas de Monitoreo de Integridad: Usar herramientas para asegurar la integridad de los datos durante el procesamiento y el almacenamiento.
Confidencialidad
- Clasificación de Datos: Clasificar los datos según su nivel de sensibilidad.
- Restricciones de Acceso: Restringir el acceso a datos confidenciales según la necesidad de conocimiento.
- Políticas de Confidencialidad: Desarrollar y comunicar políticas sobre el manejo de datos confidenciales.
- Enmascaramiento y Reducción de Datos: Utilizar enmascaramiento y reducción para ocultar partes de datos sensibles donde sea necesario.
Privacidad
- Identificación de Información Personal: Identificar información personal (PII) y asegurarse de que se trate con consideración especial.
- Políticas de Privacidad: Desarrollar políticas de privacidad y comunicarlas a las partes interesadas pertinentes.
- Consentimiento del Usuario: Cuando sea aplicable, obtener consentimiento para la recopilación, procesamiento y compartición de datos personales.
- Formación en Privacidad: Capacitar al personal sobre los requisitos y responsabilidades de privacidad.
Organización Internacional de Normalización/Comisión Electrotécnica Internacional 27001 (ISO/IEC 27001)
Similar a SOC 2, ISO 27001 ayuda a las organizaciones a proteger sus activos de información. Respetado internacionalmente, el estándar proporciona pautas para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
Las empresas pueden elegir certificarse en ISO 27001 al someterse a una auditoría realizada por un organismo de certificación acreditado. La certificación generalmente involucra dos etapas: una auditoría de Etapa 1 para revisar la documentación y una auditoría de Etapa 2 para evaluar la efectividad del SGSI. La certificación es válida por tres años, con auditorías de vigilancia anuales.
Requisitos clave de seguridad:
- ISO 27002:2022 Anexo A: Este documento incluye una lista de 93 posibles controles de seguridad que una organización puede implementar. Estos controles se agrupan en 4 categorías, incluyendo controles Organizacionales, de Personas, Físicos y Tecnológicos.
- Compromiso del liderazgo: La dirección ejecutiva debe demostrar su compromiso con la creación, el mantenimiento y la mejora continua del SGSI.
- Evaluación de riesgos: Identificar activos de información, amenazas internas y externas, vulnerabilidades, impactos, probabilidades y niveles de riesgo.
- Tratamiento de riesgos: Defina cómo se mitigarán, evitarán, transferirán o aceptarán los riesgos identificados. Implemente controles y procedimientos elegidos para gestionar los riesgos de ciberseguridad.
- Evaluación y mejora: Se deben realizar auditorías internas y revisiones de gestión regularmente para monitorear la efectividad del SGSI. Cualquier no conformidad debe ser abordada para mejorar continuamente el SGSI.
Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF)
El Marco de Ciberseguridad del NIST proporciona un enfoque organizado y rentable para gestionar el riesgo de ciberseguridad. Uno de los aspectos más notables del NIST CSF es su flexibilidad. Las organizaciones pueden personalizar el marco para alinearlo con sus perfiles de riesgo y necesidades empresariales específicas.
El marco actual se basa en cinco funciones principales:
- Identificar: Entender los riesgos de ciberseguridad para sistemas, personas, activos y datos.
- Proteger: Implementar salvaguardas para asegurar la entrega de servicios críticos.
- Detectar: Desarrollar una manera de identificar eventos y anomalías de seguridad.
- Responder: Desarrollar una manera de responder a un incidente de seguridad detectado, incluidas comunicaciones y análisis.
- Recuperar: Desarrollar una manera de restaurar capacidades o servicios después de un incidente de ciberseguridad.
El NIST CSF 2.0 se lanzará a principios de 2024 e incluirá Gobernanza como su sexta función principal.
Requisitos clave de seguridad:
- Realizar una evaluación de riesgos para entender la postura de riesgo de la organización.
- Seleccionar controles de seguridad apropiados basados en la evaluación de riesgos.
- Implementar políticas, procedimientos y tecnología necesarios para lograr los resultados del marco.
- Monitorear la efectividad de los controles de seguridad y hacer ajustes según sea necesario.
Marco de Gestión de Riesgos del Instituto Nacional de Estándares y Tecnología (NIST RMF)
Descrito en la Publicación Especial 800-37 del NIST, el Marco de Gestión de Riesgos fue diseñado para ayudar a las agencias federales y otras organizaciones a gestionar eficazmente los riesgos de seguridad de la información. Proporciona un proceso estructurado que integra actividades de seguridad y gestión de riesgos en el ciclo de vida del desarrollo del sistema:
- Preparar: Establecer el contexto, prioridades y recursos para el proceso RMF dentro de la organización.
- Categorizar: Identificar qué tipo de información procesa el sistema y cuán importante es para la organización.
- Seleccionar: Elegir controles de seguridad para el sistema que estén adaptados a la categorización de la información.
- Implementar: Implementar los controles de seguridad elegidos y documentar su implementación.
- Evaluar: Probar y evaluar los controles de seguridad para asegurar que sean efectivos.
- Autorizar: Basado en la evaluación de los controles de seguridad, autorizar el sistema para operar o denegar su operación.
- Monitorear: Monitorear continuamente los controles de seguridad y la postura de riesgo del sistema de información, informando sobre los cambios.
Requisitos clave de seguridad:
- Realizar una evaluación de riesgos integral para entender y documentar los riesgos.
- Elegir controles apropiados del catálogo de controles de seguridad del NIST (NIST 800-53).
- Completar la documentación en cada paso, incluidos los Planes de Seguridad del Sistema (SSP), Informes de Evaluación de Riesgos y Paquetes de Autorización.
- Mantener una conciencia continua de la seguridad de la información, vulnerabilidades y amenazas para apoyar las decisiones de gestión de riesgos de la organización.
Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. Creado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), este estándar tiene como objetivo proteger los datos del titular de la tarjeta contra el robo y garantizar sistemas de pago seguros.
El cumplimiento de PCI DSS es exigido por los bancos adquirentes y las marcas de tarjetas. Las multas pueden variar desde $5,000 a $100,000 por mes, y otras sanciones pueden incluir el aumento de las tarifas de transacción o la terminación de la capacidad de aceptar pagos con tarjeta.
Dependiendo del volumen anual de transacciones, las empresas pueden necesitar completar auditorías de seguridad regulares por un Asesor de Seguridad Calificado (QSA) o completar un Cuestionario de Autoevaluación (SAQ).
Requisitos clave de seguridad:
PCI DSS está estructurado en torno a seis objetivos principales, que se dividen en doce requisitos clave.
1. Construir y mantener una red y sistemas seguros
- Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
- Requisito 2: No utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
2. Proteger los datos del titular de la tarjeta
- Requisito 3: Proteger los datos almacenados del titular de la tarjeta.
- Requisito 4: Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
3. Mantener un programa de gestión de vulnerabilidades
- Requisito 5: Utilizar y actualizar regularmente el software antivirus.
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
4. Implementar medidas de control de acceso fuerte
- Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio.
- Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
- Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
5. Monitorear y probar regularmente las redes
- Requisito 10: Rastrear y monitorear todo acceso a los recursos de la red y a los datos del titular de la tarjeta.
- Requisito 11: Probar regularmente los sistemas y procesos de seguridad. Esto incluye ejecutar escaneos que provienen de "Proveedores de Escaneo Aprobados, comúnmente conocidos como escaneos ASV, que es un requisito estricto de PCI.
6. Mantener una política de seguridad de la información
- Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
Centro para el Control de la Seguridad en Internet (CIS)
Los Controles del Centro para la Seguridad en Internet (CIS Controls) son un conjunto de mejores prácticas diseñadas para ayudar a las organizaciones a prevenir, detectar y mitigar incidentes de seguridad. El marco de los controles CIS consiste en un conjunto de controles divididos en tres categorías:
- Controles Básicos: Acciones esenciales para la defensa cibernética que brindan claros beneficios de seguridad y se consideran fundamentales para las organizaciones.
- Controles Fundamentales: Medidas de seguridad más especializadas y detalladas que una organización con capacidades de ciberseguridad más maduras debería implementar.
- Controles Organizacionales: Estos controles se centran en los aspectos de gobernanza y evaluación de la ciberseguridad.
Requisitos clave de seguridad:
- Mantener un inventario activo de todos los dispositivos de hardware.
- Mantener un inventario de software autorizado y prevenir la ejecución de software no autorizado.
- Asegurar que los datos sensibles estén cifrados y adecuadamente protegidos tanto en reposo como en tránsito.
- Desarrollar e implementar un plan de respuesta a incidentes y una capacidad de respuesta rápida.
- Capacitar al personal y monitorearlo para asegurar que sigan las mejores prácticas.
- Respaldar regularmente los sistemas y datos, y asegurarse de que los procesos de recuperación sean funcionales.
- Mantener y hacer cumplir configuraciones de seguridad para dispositivos y sistemas de red.
- Monitorear y controlar las comunicaciones que cruzan los perímetros de la red.
- Asegurarse de que los datos sensibles estén cifrados y bien protegidos, tanto en reposo como en tránsito.
- Realizar pruebas de penetración regulares para garantizar que los controles sean efectivos contra amenazas activas.
Programa de Garantía de Seguridad y Privacidad de Proveedores de Microsoft (SSPA)
Microsoft SSPA fue diseñado para garantizar que los proveedores de Microsoft sigan requisitos estandarizados de seguridad y privacidad. Su objetivo es mitigar los riesgos asociados con el manejo de datos, el almacenamiento de datos y otros aspectos de la seguridad y privacidad de la información.
Requisitos clave de seguridad:
- Los proveedores deben cumplir con las políticas de Microsoft sobre protección de datos y adherirse a las leyes y regulaciones aplicables.
- A menudo se requiere que los proveedores tengan un SGSI que cumpla con los estándares de Microsoft.
- Los proveedores deben tener un plan definido de respuesta a incidentes que incluya notificar a Microsoft en caso de cualquier incidente de seguridad o violación de datos.
- Controles de acceso estrictos sobre los datos relacionados con Microsoft, incluyendo autenticación multifactorial y revisiones periódicas de acceso.
- Los datos, tanto en reposo como en tránsito, deben estar cifrados según los requisitos de Microsoft.
- Los proveedores están sujetos a auditorías para verificar el cumplimiento de los requisitos de SSPA, y pueden necesitar presentar evidencia de auditorías internas, certificaciones de seguridad u otros indicadores de medidas de seguridad y privacidad.
- Algunos proveedores pueden ser requeridos a someterse a evaluaciones de seguridad de terceros como parte del programa SSPA.
Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT)
Desarrollado originalmente por ISACA (Information Systems Audit and Control Association), COBIT se ha convertido en un marco líder de gobernanza, riesgo y cumplimiento. Busca alinear los procesos de TI y el programa de cumplimiento de una organización con los objetivos comerciales.
Requisitos clave de seguridad:
- Identificación, evaluación y gestión de riesgos de TI.
- Garantizar la utilización óptima de los recursos de TI, incluidas personas, información, infraestructura y aplicaciones.
- Cumplimiento de las leyes, regulaciones y acuerdos contractuales.
- Alineación de los objetivos y procesos de TI con los objetivos estratégicos y las funciones comerciales de la organización.
- Establecimiento de KPIs y otras métricas para rastrear el desempeño de los servicios y procesos de TI.
- Garantizar la confidencialidad, integridad y disponibilidad de los activos de información.
- Establecer procesos para la mejora continua y aseguramiento de la calidad en las operaciones de TI.
Cómo simplificar y fortalecer su postura de cumplimiento con la automatización
La automatización está cambiando fundamentalmente la forma en que las empresas logran y mantienen el cumplimiento regulatorio y de seguridad.
Las plataformas de automatización GRC pueden agilizar la recopilación de evidencia, simplificar la gestión de proveedores, facilitar la capacitación de los empleados, eliminar esfuerzos duplicados para múltiples auditorías de cumplimiento y acelerar los informes finales de auditoría, todo lo cual se traduce en ahorro significativo de tiempo y costos.
Con más de 20 marcos desarrollados internamente, además de capacidades de marcos personalizados, aprenda más sobre cómo Securefame puede ayudar a automatizar estos marcos de cumplimiento programando una demostración.