Relação entre a ISO/IEC 27001 e PCI DSS

Abstract

Atualmente, um especialista em segurança da informação tem como principal função garantir ao máximo os pilares de segurança da informação, principalmente a confidencialidade, disponibilidade e integridade. O intuito desse trabalho de conclusão de curso é demonstrar a importância da segurança da informação nas empresas que tem como ramo de atividade o comércio eletrônico e que trabalham com a manipulação dos dados dos titulares de cartão, demonstrando os requerimentos de segurança criados pelo PCI Security Standards Council, fundado pelas principais bandeiras de cartão American Express, Discover Financial Services, JCB International, MasterCard, e Visa, Inc., denominado PCI DSS e atualmente divido em 12 requisitos principais. Além dos requisitos estabelecidos pelo PCI DSS, podemos contar com a ajuda da ISO/IEC 27001, norma internacional de gestão de segurança da informação, que possui em grande parte relação direta com o PCI DSS. São confrontadas as principais características dos dois padrões e seus enfoques. Apesar da similaridade dos objetivos, a ISO/IEC 27001 possui uma flexibilidade maior que o PCI DSS devido aos seus controles em alto nível, tornando a sua conformidade mais fácil de ser alcançada. Em relação aos processos, o PCI DSS possui relação direta com 7 cláusulas da ISO/IEC 27001, com notável semelhança nos itens A12 - Segurança nas operações e A13 - Segurança nas comunicações. Analisadas as similaridade entre eles, foi possível relacionar os requisitos e as normas e aplicar o comprovado ciclo de melhoria contínua PDCA (Plan-Do-Check-Act) da ISO/IEC 27001 para auxiliar na conformidade com o PCI DSS, possibilitar a integração de ambas ou utilizar a ISO/IEC 27001 como base para alcançar melhores resultados, tendo em vista que as duas se complementam muito bem.