Payment Card Industry (PCI)

El Payment Card Industry Data Security Standard (PCI DSS) fue desarrollado para proteger y mejorar la seguridad de datos de los titulares de tarjetas y para facilitar la adopción de medidas de seguridad consistentes en la industria. El PCI DSS proporciona una lista de controles de seguridad operativos y técnicos que se basan en 12 principios y en más de 300 requisitos.

La consultoría en PCI DSS puede ayudar a las organizaciones a definir y reducir la magnitud de sus requisitos de PCI, a entender el entorno de datos de los titulares de tarjetas y a aplicar las medidas de seguridad más apropiadas para reducir el riesgo y lograr la certificación.

A_01

Cuestionarios de autoevaluación (SAQ)

A_02

Informes de cumplimiento (RoC)

A_34

Certificados de cumplimiento (AoC)

A_04-1

Asesor de seguridad cualificado (QSA)

Evaluaciones de riesgo de terceros 

Las cadenas de suministro y los terceros son los principales orígenes de las brechas de información y datos en las empresas. Las evaluaciones de riesgo de terceros proporcionan a una organización una visión de su panorama de riesgos de terceros y estrategias de mitigación de riesgos detalladas. Los consultores pueden preparar soluciones y planes de implementación personalizados que resulten rentables y que estén alineados con la estrategia de la organización.

Las evaluaciones de riesgo de terceros ayudan a las organizaciones a planear, construir, gestionar y mantener estrategias de ciberseguridad consistentes que reduzcan la probabilidad y el impacto de brechas de seguridad, pérdida de datos y posibles sanciones.

  • Adecuado para organizaciones de cualquier sector y tamaño
  • Reduce el panorama de riesgos y resuelve vulnerabilidades
  • Evita brechas de seguridad de la información y pérdida de datos
  • Garantiza que terceros estén alienados con controles de seguridad óptimos

A_05-1

Gestiona requisitos de seguridad informática

A_06

Protege tu cadena de suministro
A_07
Reduce amenazas y vulnerabilidades

Controles de organizaciones y servicios (SOC2)

El SOC2 (Service and Organization Controls) es un marco de ciberseguridad construido por el American Institute of Certified Public Accountants (AICPA). Este marco ha sido diseñado para proveedores de servicios que almacenan datos e información de clientes en la nube y para proveedores de SaaS.

SOC2 tiene por objetivo garantizar la seguridad, la confidencialidad, la integridad de procesamiento y la privacidad de los datos del cliente proporcionando directrices para que una organización de servicios sea evaluada de forma independiente en sus controles internos.

  • 'Criterios de servicios de confianza' de AICPA
  • Diseñado para organizaciones en la nube y SaaS
  • Evalúa procedimientos, políticas, procesos y controles técnicos
  • Compatible con otros estándares de ciberseguridad

A_08

Modelo de madurez de la organización

A_36

Estándar con reconocimiento internacional

A_10

Evaluado de forma independiente

Integración de modelos de madurez de capacidades (CMMI)

El CMMI es un marco desarrollado por el CMMI Institute como referencia para el funcionamiento de las capacidades de negocio críticas de las organizaciones a través de evaluaciones de madurez cualitativas que combinan los conceptos de madurez de proceso, evaluación de riesgos y gestión de proyectos.

El marco CMMI proporciona controles de riesgos operativos efectivos en relación a seguridad, continuidad de negocios de privacidad y cumplimiento. El marco está diseñado para integrarlo y ponerlo en práctica con otros estándares de buenas prácticas existentes y con certificaciones como ISO27001 y NIST.

  • Mayor visibilidad del valor resultante por la gestión de riesgos
  • Integración con la estrategia de negocio de la organización diseñada para organizaciones en la nube y SaaS
  • Evalúa procedimientos, políticas, procesos y controles técnicos
  • Compatible con otros estándares de seguridad

A_11

En línea con las mejores prácticas internacionales

A_12

Mejora el rendimiento de la organización

A_13

Rentable y con eficacia mejorada

A_14

Mayor compromiso empresarial

Marco NIST

El marco NIST ha sido desarrollado para resolver amenazas de ciberseguridad en infraestructuras críticas, proporcionando directrices detalladas de buenas prácticas en ciberseguridad e información..

El Marco NIST se adapta a diversas tecnologías, sectores y modelos de negocio, basándose en buenas prácticas y estándares internacionales. El NIST también ofrece un enfoque basado en riesgos que proporciona directrices y controles técnicos detallados.

  • Cinco funciones esenciales: identificar, proteger, detectar, responder y recuperar
  • Buenas prácticas y directrices en constante mejora internacionalmente reconocidas
  • Un documento dinámico que responde a vulnerabilidades y amenazas emergentes

A_15

Directrices de ciberseguridad detalladas

A_16

En línea con la visión estratégica empresarial

A_17

Enfoque basado en riesgos

Objetivos de control para la información y tecnologías relacionadas (COBIT)

COBIT es el marco de gestión IT de ISACA para resolver problemas técnicos, requisitos de control y riesgos de negocio. COBIT es un marco centrado en el negocio y la gestión de procesos que alinea la estrategia empresarial con la madurez IT, la gestión de riesgos y los objetivos de control.

COBIT es un marco adecuado para diferentes negocios de sectores diversos, tiene reconocimiento internacional y es compatible con otros estándares, marcos de gestión y directrices de buenas prácticas.

  • Marco para la dirección de los procesos del negocio.
  • Lista completa de objetivos de control para gestión de IT
  • Directrices de gestión empresarial y gestión del desempeño

A_18

Estándar centrado en la gestión

A_19

Enfoque integrado

A_20

Modelo de gestión impulsado por procesos

Análisis de riesgos y gestión de riesgos

El análisis de riesgos y la gestión de riesgos son los procesos de identificación, evaluación y mitigación de las vulnerabilidades y amenazas de ciberseguridad e información de una organización.

La gestión de riesgos y el análisis de riesgos ayudan a que una organización desarrolle su apetito al riesgo y priorice su presupuesto, tiempo y recursos para reducir riesgos que suponen una gran amenaza para la organización.

  • Adecuado para organizaciones de todos los sectores y tamaños
  • Personalizado a cada organización, en línea con las prácticas empresariales y  apetitos al riesgo
  • Enfoque integrado centrado en el negocio para la gestión de ciberriesgos e información
  • Un requisito integral de todos los estándares y directrices de ciberseguridad y seguridad de la información

A_21

Enfoque eficiente

A_22

Enfoque integrado del negocio

A_23

Identifica amenazas futuras

Directiva de Servicios de Pago 2 (PSD2)

La PSD2 es una ley promovida por el Parlamento Europeo a través de la Autoridad Bancaria Europea (ABE). La PSD2 proporciona requisitos para los usuarios de servicios de pago así como requisitos para acceder al mercado.

La regulación contiene 117 artículos y el marco regulatorio consta de seis estándares regulatorios técnicos (RTS) y cinco directrices, y cubre una variedad de servicios de pago.

  • Una directiva para 34 países europeos (SEPA: Single Euro Payments Area) para pagos electrónicos
  • Favorece la competencia, el acceso abierto a datos de cuentas y promueve la seguridad
  • Consultoría específica en RTS para revisiones de código API, pruebas de penetración y evaluaciones de vulnerabilidades
  • Evaluación de Autenticación Robusta de Cliente (SCA)

A_24

Consultoría de todo el ciclo de vida

A_25

Soporte de auditoría interna

A_26

Gestión de riesgos

Consultoría en el Reglamento General de Protección de Datos (RGPD)

El RGPD es la innovadora legislación de la UE en privacidad y datos. Este reglamento unifica las leyes de privacidad de todos los estados miembros de la UE y es aplicable a cualquier organización que almacene, posea o utilice datos de ciudadanos europeos.

El RGPD protege los derechos y libertades individuales de los ciudadanos europeos y en especial su derecho a la protección de datos personales. Esta ley también otorga más responsabilidad y controles a los responsables de tratamiento y a los encargados de tratamiento que se encuentran bajo que se encuentran bajo su jurisdicción. La consultoría en RGPD proporciona a las organizaciones las capacidades necesarias para integrar los requisitos del RGPD y reducir riesgos de privacidad de datos.

  • Data Protection Officer como servicio: proporciona consultoría, soporte y asesoramiento experto en protección de datos
  • Evaluaciones de impacto y privacidad de datos: identifica y minimiza riesgos de privacidad de datos
  • Evaluaciones de riesgo de terceros: comprende y controla los riesgos de privacidad de datos en tu cadena de suministro

A_07

Reduce riesgos de privacidad de datos

A_32-2

Seguridad desde el diseño

A_33

Reduce el riesgo de sanciones RGPD
A_04-1
Consultoría y asesoramiento experto

Data Protection Officer como servicio (DPOaaS)

El Data Protection Officer como servicio es una solución rentable y práctica que externaliza el conocimiento experto en protección y privacidad de datos para organizaciones que no cuentan con ese conocimiento o capacidad interna.

El DPOaaS ofrece un servicio gestionado a medida, rápido y flexible para tu organización, tanto de forma presencial como virtual. El DPOaaS puede gestionar implementaciones de RGPD, evaluaciones de impacto de privacidad de datos, integraciones de nuevos sistemas, brechas de datos, solicitudes de acceso y mucho más.

  • Asesoramiento experto adaptado a las necesidades de tu negocio
  • Solución rentable y personalizada
  • Servicio gestionado flexible para crecer con los requisitos del negocio
  • Cumple con los requisitos del RGPD y de la ley de protección de datos

A_27

Reduce riesgos de privacidad de datos

A_32-2

Seguridad desde el diseño

A_29

Reduce el riesgo de sanciones RGPD

Gestión de la Seguridad de la Información ISO27001

ISO 27001 es un estándar de seguridad de la información que forma parte de la familia de estándares ISO27000. ISO27001 proporciona directrices de buenas prácticas para el desarrollo, la gestión y el mantenimiento de los sistemas de gestión de seguridad de la información (SGSI).

Este estándar promueve diversas prácticas clave, incluyendo gestión de riesgos, mejora continua, gestión de incidencias, gestión de cambios e implementación de un conjunto de políticas y controles técnicos. Un SGSI es aplicable a cualquier tipo de organización. Esta serie ISO está diseñada para abarcar un ámbito amplio y adaptarse a las necesidades y requisitos de la organización.

  • Enfoque sistemático utilizando un proceso de gestión de riesgos
  • Aplicable a negocios de cualquier ámbito
  • Certificado de forma independiente para garantizar que la organización cumple con las directrices de buenas prácticas
  • Un conjunto completo de controles técnicos y de procedimiento

A_03

Certificado por terceras partes

A_35

Compatible con otros estándares

A_09

Con reconocimiento internacional

A_04-1

Soporte continuo al cumplimiento

Gestión de la Continuidad del Negocio

ISO 22301 proporciona un marco estándar para que una organización planee, establezca, implemente, opere, controle, revise, mantenga y mejore continuamente un sistema de gestión de continuidad del negocio (SGCN).

Una organización implementa un SGCN para ayudar a protegerse, preparar y responder a cualquier incidencia que afecte al funcionamiento normal del negocio.

  • Identificación de actividades y recursos críticos del negocio con un análisis de impacto del negocio
  • Certificado de forma independiente por un cuerpo de certificación externo
  • Compatible con otros estándares ISO, incluyendo ISO27001
  • Ayuda a que las organizaciones se preparen para incidencias imprevistas

A_07

Reduce costes de incidencias disruptivas

A_05-1

Asegura los procesos de negocio

A_11

Reconocimiento internacional

expert

HABLA CON UN EXPERTO

Cuéntanos más sobre ti y uno de nuestros expertos se pondrá en contacto contigo