Comparativo ISO 27001:2022 y PCI DSS 4.0.1
- ferrerrodrigo
- 12 oct 2025
- 4 Min. de lectura
Comparativo de las normas ISO 27001:2022 y PCI DSS 4.0.1
El PCI DSS es un conjunto de requisitos técnicos y operativos diseñados específicamente para proteger los datos de cuenta de pago. Por otro lado, la ISO/IEC 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), y la ISO/IEC 27002 proporciona un conjunto de controles genéricos organizados en cuatro temas: Organizacionales, Personas, Físicos y Tecnológicos.
Comparación entre PCI DSS (12 Requisitos) e ISO/IEC 27002 (Controles)
La siguiente tabla compara los 12 requisitos principales del PCI DSS con los temas y controles relevantes de la ISO/IEC 27002:2022, que cumplen objetivos de seguridad similares:
PCI DSS (Requisito Principal) | Área Clave de PCI DSS | Controles o Conceptos Similares en ISO/IEC 27002:2022 |
R1: Instalar y Mantener Controles de Seguridad de Red. | Red y Sistemas Seguros | Este requisito se alinea con la gestión de límites de red y segmentación. Controles relevantes incluyen: Controles de seguridad de red (8.20) y Segregación en redes (8.22). La seguridad de perímetros físicos también es tratada en Perímetros de seguridad física (7.1). |
R2: Aplicar Configuraciones Seguras a Todos los Componentes del Sistema. | Red y Sistemas Seguros | Esto se relaciona directamente con el endurecimiento de sistemas. Controles tecnológicos como la Gestión de la configuración (8.9) buscan minimizar el número de identidades privilegiadas, deshabilitar identidades no usadas y restringir funciones innecesarias. |
R3: Proteger los Datos de Cuenta Almacenados. | Proteger Datos de Cuenta | Se relaciona con la Protección de la información y la Criptografía (8.24). También cubre la retención y eliminación de datos, alineándose con la gestión de medios de almacenamiento (7.10) y los requisitos de disposición o reutilización segura de equipos (7.14). |
R4: Proteger los Datos del Titular de la Tarjeta con Criptografía Robusta Durante la Transmisión a Través de Redes Públicas y Abiertas. | Proteger Datos de Cuenta | Esto se centra en la confidencialidad de la información en tránsito. El control Uso de criptografía (8.24) y otros requisitos sobre el uso de protocolos seguros para el acceso administrativo no de consola (2.2.7) tienen objetivos similares. |
R5: Proteger Todos los Sistemas y Redes contra Software Malicioso. | Gestión de Vulnerabilidades | Se alinea con el control tecnológico Protección contra malware (8.7), que busca prevenir, detectar y abordar el software malicioso. |
R6: Desarrollar y Mantener Sistemas y Software Seguros. | Gestión de Vulnerabilidades | Este es un requisito amplio que se relaciona con varios controles tecnológicos, incluyendo la Gestión de vulnerabilidades técnicas (8.8) y el Desarrollo seguro de software (8.25), asegurando que las vulnerabilidades sean identificadas y abordadas. |
R7: Restringir el Acceso a Componentes del Sistema y a Datos del Titular de la Tarjeta según la Necesidad Comercial de Saber. | Control de Acceso | Este es el principio de necesidad de conocer (need-to-know). Controles organizacionales como la Política de control de acceso (5.15) buscan restringir el acceso a activos basándose en la necesidad comercial. |
R8: Identificar a los Usuarios y Autenticar el Acceso a Componentes del Sistema. | Control de Acceso | Se relaciona con el Control de acceso (5.15) y la Gestión de la información secreta de autenticación de los usuarios (5.17). En tecnología, busca implementar la Autenticación segura (8.5) y gestionar los Derechos de acceso privilegiado (8.2). PCI DSS también exige el uso de autenticación multifactor (MFA) para el acceso al CDE. |
R9: Restringir el Acceso Físico a Datos del Titular de la Tarjeta. | Control de Acceso | Se relaciona directamente con los Controles Físicos de ISO 27002 (Cláusula 7). Específicamente, Perímetros de seguridad física (7.1) y los controles de Entrada física (7.2). También incluye la protección de medios y equipos (7.10, 7.14). |
R10: Registrar y Monitorear Todo Acceso a Componentes del Sistema y a Datos del Titular de la Tarjeta. | Monitorear y Probar | Corresponde al control tecnológico de Registro de eventos (8.15) y la Sincronización de relojes (8.17), crucial para la correlación de eventos y el análisis forense. |
R11: Probar la Seguridad de Sistemas y Redes Regularmente. | Monitorear y Probar | Este requisito incluye la Gestión de vulnerabilidades técnicas (8.8), el escaneo de vulnerabilidades (11.3) y las pruebas de penetración (penetration testing) (11.4). |
R12: Apoyar la Seguridad de la Información con Políticas y Programas Organizacionales. | Política de Seguridad | Abarca todos los aspectos de gestión de seguridad, incluyendo el Gobierno y Ecosistema. Controles clave son: Políticas de seguridad de la información (5.1), Seguridad de la información en las relaciones con proveedores (5.19), Planificación y preparación para la gestión de incidentes de seguridad de la información (5.24), Concientización, educación y capacitación en seguridad de la información (6.3) y Requisitos legales, estatutarios, regulatorios y contractuales (5.31). |
Conclusión sobre la Similitud
Ambas normas, PCI DSS e ISO 27001/27002, comparten objetivos de seguridad de alto nivel (confidencialidad, integridad y disponibilidad), pero difieren en su enfoque:
• PCI DSS es una norma prescriptiva, enfocada específicamente en la protección del entorno de datos de los titulares de tarjetas (CDE).
• ISO 27001/27002 es un marco de gestión de riesgos más amplio y genérico. Aunque el SGSI de ISO 27001 requiere que la organización identifique y cumpla con los requisitos legales, estatutarios, regulatorios y contractuales (5.31), PCI DSS es, en sí mismo, uno de esos requisitos regulatorios que las entidades deben cumplir si almacenan, procesan o transmiten datos de pago.
Comentarios