A ISO/IEC 27001 é uma norma internacional que especifica os requisitos para um sistema de gestão de segurança da informação (SGSI). Ela foi publicada pela International Organization for Standardization (ISO) em conjunto com a International Electrotechnical Commission (IEC). A principal finalidade da ISO 27001 é ajudar as organizações a proteger suas informações de forma sistemática e eficiente, garantindo a confidencialidade, integridade e disponibilidade dos dados.
Seus principais objetivos são estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI):
1. Confidencialidade das Informações
Garantir que as informações sejam acessíveis apenas por pessoas autorizadas. Isso significa proteger dados sensíveis contra acessos não autorizados, tanto internos quanto externos.
2. Integridade das Informações
Assegurar que as informações sejam precisas e completas e que não sejam alteradas indevidamente, seja durante o armazenamento ou o processo de transmissão.
3. Disponibilidade das Informações
Garantir que as informações e os sistemas que as suportam estejam disponíveis quando necessários. Isso envolve proteger contra interrupções no acesso às informações devido a falhas técnicas, desastres ou ataques cibernéticos.
4. Gerenciamento de Riscos
Identificar, avaliar e tratar riscos relacionados à segurança da informação. A norma estabelece um processo contínuo de avaliação e mitigação de riscos, com foco em minimizar o impacto de potenciais ameaças.
A segurança nas transações financeiras é um pilar fundamental da economia digital. Para garantir que os dados sensíveis dos titulares de cartão de crédito e débito estejam protegidos contra fraudes e violações, as principais bandeiras de cartão, como Visa, MasterCard e American Express, criaram um padrão global de segurança. Este padrão é oPCI DSS (Payment Card Industry Data Security Standard).
O PCI DSS é um conjunto de requisitos técnicos e operacionais que se aplica a qualquer organização que armazene, processe ou transmita dados de cartão. O objetivo principal é criar um ambiente seguro, minimizando o risco de roubo de informações financeiras.
O PCI DSS exige que as empresas mantenham um programa ativo de gerenciamento de estrutura, desenvolvendo sistemas e aplicativos com a segurança em mente. As organizações certificadas PCI DSS devem monitorar e testar regularmente suas redes e processos de segurança, além de manter uma política formal que oriente todos os seus processos.
A certificação PCI DSS, portanto, é a garantia fundamental de que uma empresa está comprometida em proteger os dados de seus clientes.
