PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças

Se você está perguntando o que são ISO 27001, PCI-DSS e segurança da informação, agora é a hora de aprender. Primeiramente, recomendo que você leia este artigo: O que é a ISO 27001? Basicamente, existem muitas normas em segurança da informação, mas duas que têm uma relevância especial por seu escopo e por seu impacto internacional são a ISO 27001 e PCI-DSS. Neste artigo veremos uma descrição geral e a estrutura de cada uma.

PCI-DSS ou ISO 27001?

É possível que muitas organizações tenham esta questão em mente, e a resposta obviamente dependerá das necessidades de cada negócio. De qualquer forma, vamos a elas:

• ISO 27001 é uma norma internacional, com reconhecimento mundial, que estabelece os requisitos para o estabelecimento de um Sistema de Gestão de Segurança da Informação. Ela se aplica a qualquer tipo de organização, e sua implementação e certificação é opcional, então não é obrigatória para uma organização.
• PCI-DSS é uma norma de segurança de dados para o setor de cartões de crédito. Para estas organizações, a conformidade com a norma é obrigatória, embora dependendo do volume de cartões processados, diferentes requisitos ou obrigações podem ser aplicáveis.

Uma das coisas mais importantes que a ISO 27001 possui, e a PCI-DSS não, é o PDCA (Plan, Do, Check, Act), que é estabelecido em qualquer sistema de gestão baseado na ISO. Assim, tenha em mente que a ISO 27001 é melhor para aquelas organizações onde já existe um Sistema de gestão, e que querem complementá-lo com a segurança da informação (ou não possuem um sistema de gestão e o querem para proteger a informação), enquanto a PCI-DSS é mais adequada, e obrigatória, para aquelas organizações que trabalham com cartões de crédito.

Estrutura da PCI-DSS

A PCI-DSS consiste de 13 grupos de controles (12 requisitos + 1 anexo), e mais de 200 controles que estão focados na segurança dos dados de cartões de crédito:

• Requisito 1: Instalar e manter configuração de firewall para proteger os dados do titular do cartão
• Requisito 2: Não fazer uso de padrões fornecidos por vendedores em senhas de sistemas e outros parâmetros de segurança
• Requisito 3: Proteger dados do titular armazenados
• Requisito 4: Encriptar a transmissão de dados do titular do cartão através de redes abertas / públicas
• Requisito 5: Proteger todos os sistemas contra malware e regularmente atualizar software ou programas anti-virus
• Requisito 6: Desenvolver e manter sistemas e aplicações seguros
• Requisito 7: Restringir o acesso a dados do titular do cartão de acordo com a necessidade de saber do negócio
• Requisito 8: Identificar e autenticar o acesso a componentes do sistema
• Requisito 9: Restringir o acesso físico a dados do titular do cartão
• Requisito 10: Rastrear e monitorar todos os acessos a recursos de rede e dados de titulares de cartão
• Requisito 11: Regularmente testar a segurança de sistemas e processos
• Requisito 12: Manter uma política que trate de segurança da informação para todo o pessoal
• Requisito A.1: Provedores de hosts compartilhados devem proteger o ambiente dos dados dos titulares de cartão

O conteúdo desta norma consiste de 112 páginas, está disponível gratuitamente, e pode ser consultado / baixado do website oficial do PCI Security Standard Council. O documento indica os requisitos e provê um guia para estar em conformidade com eles.

Similaridades e diferenças

Por outro lado, a ISO 27001 consiste de 11 cláusulas (iniciando na 0 e terminando na 10) que estão relacionadas com o Sistema de gestão, e também possui 13 grupos de controles e 114 controles de segurança genéricos que podem ser aplicados em qualquer tipo de organização. Leia este artigo para ter uma visão geral dos controles de segurança: Visão geral do Anexo A da ISO 27001:2013. Muitos destes controles têm similaridades coma PCI-DSS:

• A.5 Políticas de Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
• A.6 Organização da Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
• A.7 Segurança em Recursos Humanos (está relacionada ao requisito 12 da PCI-DSS)
• A.8 Gestão de ativos (está relacionada ao requisito 12 da PCI-DSS)
• A.9 Controle de acesso (está relacionada ao requisito 7 da PCI-DSS)
• A.10 Criptografia (está relacionada ao requisito 4 da PCI-DSS)
• A.11 Segurança física e do ambiente (está relacionada ao requisito 9 da PCI-DSS)
• A.12 Segurança nas operações (está relacionada aos requisitos 1, 5, 10 e 11 da PCI-DSS)
• A.13 Segurança nas comunicações (está relacionada ao requisito 4 da PCI-DSS)
• A.14 Aquisição, desenvolvimento e manutenção de sistemas (está relacionada ao requisito 6 da PCI-DSS)
• A.15 Relacionamento na cadeia de suprimento
• A.16 Gestão de incidentes de segurança da informação
• A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
• A.18 Conformidade

O conteúdo desta norma consiste de 30 páginas, e está disponível a partir da página principal da ISO, mas você precisa pagar por ela. O documento apenas indica os requisitos, mas se você quer saber como você pode estar em conformidade com eles, outra norma é necessária: ISO 27002, a qual é um código de boas práticas.

Como usá-las?

Assim, como você pode ver, existem muitas similaridades entre ambas as normas, por exemplo a melhoria continua da ISO 27001, i.e., os melhores controles gerais de segurança da ISO 27002 e os melhores controles controles com relação a cartões de crédito da PCI-DSS. Existem muitas organizações que trabalham com ambas as normas usando as vantagens das duas, e oferecendo serviços a seus clientes com a melhor segurança. Assim, tendo em mente que elas se complementam muito bem, e que para um esforço aceitável você ganha muito, talvez seja uma boa ideia considerar a implementação das duas.

Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.