top of page
Buscar

Comparativo ISO 27001:2022 y PCI DSS 4.0.1

  • ferrerrodrigo
  • 12 oct
  • 4 Min. de lectura

Comparativo de las normas ISO 27001:2022 y PCI DSS 4.0.1

 

El PCI DSS es un conjunto de requisitos técnicos y operativos diseñados específicamente para proteger los datos de cuenta de pago. Por otro lado, la ISO/IEC 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), y la ISO/IEC 27002 proporciona un conjunto de controles genéricos organizados en cuatro temas: Organizacionales, Personas, Físicos y Tecnológicos.

Comparación entre PCI DSS (12 Requisitos) e ISO/IEC 27002 (Controles)

La siguiente tabla compara los 12 requisitos principales del PCI DSS con los temas y controles relevantes de la ISO/IEC 27002:2022, que cumplen objetivos de seguridad similares:

PCI DSS (Requisito Principal)

Área Clave de PCI DSS

Controles o Conceptos Similares en ISO/IEC 27002:2022

R1: Instalar y Mantener Controles de Seguridad de Red.

Red y Sistemas Seguros

Este requisito se alinea con la gestión de límites de red y segmentación. Controles relevantes incluyen: Controles de seguridad de red (8.20) y Segregación en redes (8.22). La seguridad de perímetros físicos también es tratada en Perímetros de seguridad física (7.1).

R2: Aplicar Configuraciones Seguras a Todos los Componentes del Sistema.

Red y Sistemas Seguros

Esto se relaciona directamente con el endurecimiento de sistemas. Controles tecnológicos como la Gestión de la configuración (8.9) buscan minimizar el número de identidades privilegiadas, deshabilitar identidades no usadas y restringir funciones innecesarias.

R3: Proteger los Datos de Cuenta Almacenados.

Proteger Datos de Cuenta

Se relaciona con la Protección de la información y la Criptografía (8.24). También cubre la retención y eliminación de datos, alineándose con la gestión de medios de almacenamiento (7.10) y los requisitos de disposición o reutilización segura de equipos (7.14).

R4: Proteger los Datos del Titular de la Tarjeta con Criptografía Robusta Durante la Transmisión a Través de Redes Públicas y Abiertas.

Proteger Datos de Cuenta

Esto se centra en la confidencialidad de la información en tránsito. El control Uso de criptografía (8.24) y otros requisitos sobre el uso de protocolos seguros para el acceso administrativo no de consola (2.2.7) tienen objetivos similares.

R5: Proteger Todos los Sistemas y Redes contra Software Malicioso.

Gestión de Vulnerabilidades

Se alinea con el control tecnológico Protección contra malware (8.7), que busca prevenir, detectar y abordar el software malicioso.

R6: Desarrollar y Mantener Sistemas y Software Seguros.

Gestión de Vulnerabilidades

Este es un requisito amplio que se relaciona con varios controles tecnológicos, incluyendo la Gestión de vulnerabilidades técnicas (8.8) y el Desarrollo seguro de software (8.25), asegurando que las vulnerabilidades sean identificadas y abordadas.

R7: Restringir el Acceso a Componentes del Sistema y a Datos del Titular de la Tarjeta según la Necesidad Comercial de Saber.

Control de Acceso

Este es el principio de necesidad de conocer (need-to-know). Controles organizacionales como la Política de control de acceso (5.15) buscan restringir el acceso a activos basándose en la necesidad comercial.

R8: Identificar a los Usuarios y Autenticar el Acceso a Componentes del Sistema.

Control de Acceso

Se relaciona con el Control de acceso (5.15) y la Gestión de la información secreta de autenticación de los usuarios (5.17). En tecnología, busca implementar la Autenticación segura (8.5) y gestionar los Derechos de acceso privilegiado (8.2). PCI DSS también exige el uso de autenticación multifactor (MFA) para el acceso al CDE.

R9: Restringir el Acceso Físico a Datos del Titular de la Tarjeta.

Control de Acceso

Se relaciona directamente con los Controles Físicos de ISO 27002 (Cláusula 7). Específicamente, Perímetros de seguridad física (7.1) y los controles de Entrada física (7.2). También incluye la protección de medios y equipos (7.10, 7.14).

R10: Registrar y Monitorear Todo Acceso a Componentes del Sistema y a Datos del Titular de la Tarjeta.

Monitorear y Probar

Corresponde al control tecnológico de Registro de eventos (8.15) y la Sincronización de relojes (8.17), crucial para la correlación de eventos y el análisis forense.

R11: Probar la Seguridad de Sistemas y Redes Regularmente.

Monitorear y Probar

Este requisito incluye la Gestión de vulnerabilidades técnicas (8.8), el escaneo de vulnerabilidades (11.3) y las pruebas de penetración (penetration testing) (11.4).

R12: Apoyar la Seguridad de la Información con Políticas y Programas Organizacionales.

Política de Seguridad

Abarca todos los aspectos de gestión de seguridad, incluyendo el Gobierno y Ecosistema. Controles clave son: Políticas de seguridad de la información (5.1), Seguridad de la información en las relaciones con proveedores (5.19), Planificación y preparación para la gestión de incidentes de seguridad de la información (5.24), Concientización, educación y capacitación en seguridad de la información (6.3) y Requisitos legales, estatutarios, regulatorios y contractuales (5.31).

 

Conclusión sobre la Similitud


Ambas normas, PCI DSS e ISO 27001/27002, comparten objetivos de seguridad de alto nivel (confidencialidad, integridad y disponibilidad), pero difieren en su enfoque:

PCI DSS es una norma prescriptiva, enfocada específicamente en la protección del entorno de datos de los titulares de tarjetas (CDE).

ISO 27001/27002 es un marco de gestión de riesgos más amplio y genérico. Aunque el SGSI de ISO 27001 requiere que la organización identifique y cumpla con los requisitos legales, estatutarios, regulatorios y contractuales (5.31), PCI DSS es, en sí mismo, uno de esos requisitos regulatorios que las entidades deben cumplir si almacenan, procesan o transmiten datos de pago.

 

 
 
 

Entradas recientes

Ver todo
AI RMF 1.0

NIST AI Risk Management Framework: Integrando Ciberseguridad con Inteligencia Artificial Responsable Introducción La proliferación acelerada de sistemas de inteligencia artificial en todos los sectore

 
 
 
NIST SP 800-53 REV 5

NIST SP 800-53 Revisión 5: Catálogo Integral de Controles de Seguridad y Privacidad Introducción El National Institute of Standards and Technology Special Publication 800-53 Revision 5 "Security and P

 
 
 

Comentarios

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram

CONTACT

US

VISIT

US

Monday - Friday 11:00 - 18:30

Saturday 11:00 - 17:00

Sunday 12:30 - 16:30 

 

TELL

US

Thanks for submitting!

Welcome to

ISO27001:2022

bottom of page