Certificaciones clave para servidores locales: PCI, HIPAA, ISO 27001

Clase 33 de 42 • Curso de Tecnología para Gerentes y Directores

Contenido del curso

Software at the core

El ciclo del desarrollo de tecnología empresarial

Seguridad informática

Infraestructura avanzada de software en empresas

Recursos Humanos y Gestión de Talento

Tomar examen

Resumen

Cuando una empresa decide correr sus propios servidores en lugar de migrar a la nube, la seguridad deja de ser un servicio contratado y se convierte en una responsabilidad directa. Casos como el de Nissan, que opera servidores locales con datos financieros y de ingeniería automotriz, o el de bancos y hospitales que no pueden tercerizar el manejo de información sensible, demuestran que existen escenarios donde la nube simplemente no es una opción [0:15]. Conocer las certificaciones que regulan estos entornos es fundamental para cualquier profesional que trabaje con infraestructura tecnológica.

¿Qué es PCI compliance y por qué la necesitas para manejar pagos?

PCI significa Payment Card Industry Security Standards, es decir, los estándares de seguridad de la industria de tarjetas de pago [2:27]. Si tu organización cobra con tarjeta de crédito o débito y almacena esos datos, necesita ser PCI compliant.

Este estándar contempla tres tipos de stakeholders dentro del ecosistema de pagos [2:50]:

PCI PTS: los fabricantes de terminales físicas donde se aceptan tarjetas.
PCI PA-DSS: los desarrolladores de software que crean aplicaciones y pasarelas de pago.
PCI DSS: los comerciantes y proveedores de servicios financieros.

¿Cuáles son los requisitos concretos de PCI?

Los requisitos cubren desde la infraestructura hasta las personas que acceden a los datos [3:18]:

Instalar y mantener un firewall que proteja la información de los titulares de tarjetas.
Evitar configuraciones por defecto en sistemas como Apache o servidores de correo.
Guardar los datos de tarjetas de forma cifrada y encriptar la transmisión, especialmente en redes públicas, tal como funciona HTTPS.
Actualizar regularmente software de antivirus y sistemas de seguridad.
Restringir el acceso a datos de tarjetas solo a personas autorizadas dentro de la organización.
Asignar un identificador único a cada usuario con acceso a los computadores del data center.
Restringir el acceso físico a los discos duros, lo que incluye contratar guardias de seguridad [4:40].
Realizar tracking y monitoreo de todo el acceso a la red.
Probar la seguridad de los sistemas de forma regular.

¿Qué protege HIPAA y qué datos cubre?

HIPAA es el estándar de manejo de datos privados de salud y de información en sistemas médicos [5:15]. A diferencia de PCI, aquí la regulación tiene fuerza de ley, no es una sugerencia.

Sus seis elementos clave incluyen [5:25]:

Mapear todos los datos e identificar cuáles están protegidos por HIPAA, incluyendo datos en la nube.
Determinar quién tiene acceso y crear un modelo de privilegios diferenciados: un médico accede solo a sus pacientes, una enfermera a datos limitados, y una aseguradora a otro subconjunto.
Monitorear el acceso a archivos y preparar alertas.
Proteger los datos con medidas de software y hardware, como las YubiKeys [6:20].

¿Qué tipo de información personal protege HIPAA?

Los datos protegidos van mucho más allá de diagnósticos médicos [6:35]:

Nombres, fechas de nacimiento, muerte y tratamientos.
Información de contacto y números de seguridad social o identificaciones nacionales.
Números de registros médicos y fotografías.
Datos biométricos como voz y huellas digitales.
Cualquier identificador único que vincule datos de salud con la identidad de una persona.

Estas leyes existen porque los datos de salud son utilizados por gobiernos autoritarios y por hackers para cometer robo de identidad o discriminación [7:10].

¿Cómo funciona el proceso de certificación ISO 27001?

ISO 27001 es la certificación internacional estándar de seguridad informática [7:20]. Tanto PCI como HIPAA suelen exigirla como requisito base, y si trabajas con bancos o gobiernos, casi siempre te la van a solicitar.

El proceso de certificación sigue seis pasos [7:45]:

Prepararte y documentar todo lo necesario.
Elegir una empresa externa que realice la auditoría, similar a una auditoría contable pero enfocada en sistemas de información.
Implementar los controles de seguridad informática.
Realizar una segunda iteración de auditoría revisando los indicadores clave de rendimiento definidos inicialmente.
Mantener y mejorar de forma constante el sistema de seguridad.
Repetir las auditorías cada seis a doce meses.

Al completar este ciclo, obtienes un sello internacional que valida tu manejo de seguridad de la información. Es importante recordar que los estándares varían según la industria y la región: Europa, Estados Unidos, Latinoamérica y Asia tienen regulaciones diferentes. China, por ejemplo, restringe ciertos niveles de cifrado para que el gobierno pueda acceder a la información [8:50].

Cuando usas servicios en la nube, estos proveedores ya cumplen con estos estándares por ti. Pero si corres tus propios servidores, la recomendación es asesorarte con un abogado especializado en tecnología y con expertos en seguridad informática que te guíen en la preparación de tus datos [9:30]. Muchas empresas han desaparecido por no tratar sus data centers con la seriedad que requieren. ¿Tu organización ya cumple con alguna de estas certificaciones?

Comentarios

Marco Tulio Linares

student•

PCI Compliance - Datos de tarjetas de crédito HIPAA Compliance - Datos médicos ISO 27001 - Certificación de seguridad

Juan Fernando López Hernández

student•

Totalmente importante, tenerlo en mente.

María Sierra

student•

¿Cuándo elegir la nube vs. tener tu propio DataCenter?

Hay caso en los que no es posible poner tus datos y servidores en la nube no es posible. Como:

Hospitales
Bancos
Compañías con datos muy privados
Entre otros

En caso de que tengas que correr tu propio servidor hay 3 certificaciones que tienes que tener en cuenta, no vas ser el encargado de esto se lleve a cabo pero necesitas saber que esto existe.

PCI Compliance → Principalmente para guardar datos de tarjetas de crédito y pagos bancarios. (si tienes una app o un ecommerce con una pasarela de pago tiens que cumplir con esto)
HIPAA Compliance → Para guardar datos de salud, medicina.
ISO 27001 → Es la certificación internacional estándar de seguridad informática.

Roberto Anibal Hernández Castillo

student•

Adoro tus notas, gracias

Luis Eduardo Acuña Acuña

student•

Muchas Gracias por tan buen resumen!

Mario Sanchez Jaramillo

student•

Qué increíble. Como dice Freddy, ni si quisiera sabía que no sabía esto.

Felipe Bernardo González Barranco

student•

Somos dos!

Alberth Froy Villavicencio Rivera

student•

ya somos tres :d

Usuario anónimo

user•

📌 Es importante profundizar los requerimientos que se necesita para gestionar los datos, según el rubro de la organización.

Minerva del Pilar Muñoz Arévalo

student•

Y en qué sector se desempeñara (público o privado)

Usuario anónimo

user•

🤔 Todo depende de la organización, si es abierta a cambios.

Vicente López Robles

student•

Si es una página que hace cobros en línea pero usa una pasarela de pago como Konecta, Open Pay, Stripe, etc, ¿no están obligados a estas certificaciones?, ya que no almacenan los datos de las tarjetas, ¿es correcto?

Jaime Moncada

student•

Tu proveedor es quien debería contar con esas certificaciones, podrías consultarlo directamente en sus sitios y/o bien, leer bien el contrato antes de firmarlo.

Diego Ignacio Ortiz

student•

Por lo general, para implementar dichos módulos en tu sitio necesitarás el protocolo HTTPS descrito en el curso, que se encarga de proteger los datos que ingresan los clientes al realizar el pago en dichas pasarelas.

Harrison Gomez Amado

student•

Muy interesante! De ley me quedo con la nube mientras soy una pyme jaja

Emmanuel Molano Turriago

student•

¿Cómo se manejará el tema de privacidad de los datos para las empresas que usan los servicios en la nube?

Carlos Morales

student•

las empresas que ofrecen servicios en la nube ya cuentan con las medidas necesarias de seguridad, aún así está en nuestras manos el tema de qué personas tienen acceso a qué segmentos de información, según el cargo de cada trabajador.

Ranse Rivas

student•

jejeje... tremendo servicio Hackers Abogados. Serían muy completos y darían una visión amplia.

Luis Eduardo Navarro

student•

Como te lo imaginas?

Ricardo Gaite

student•

La organización donde trabajo está empezando a montar un ERP, y nosotros trabajamos con algunos datos médicos. Voy a preguntarle a mi jefe si está teniendo en cuenta las leyes HIPAA.

Oscar Jaramillo

student•

COBIT

El estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

Andrés Soret Chacin

student•

Muy buena explicación, muchas gracias 😁👍

Charles Castillo Rosas

student•

PCI Compliance

Guardar datos de tarjetas de créditos y pagos bancarios.

payment Card Industry.
PCI PTS: Terminales de tarjetas de créditos.
PCI PA-DSS: Apps de pagos.
PCI DDS: Proveer servicios financieros.

HIPAA Compliance

Guardar datos de salud y pacientes.

######ISO 27001

Certificación de seguridad estandar de informática.

Mauricio Andres Restrepo A.

student•

haber si entiendo! Si mi empresa crea una App o E-commerce con un modelo de negocio propio. y vamos a manejar datos financieros de clientes como tarjetas de crédito, debo tener una infraestructura con un standard para esto y además gestionar la certificación?

Luis Mojica

teacher•

La pregunta clave es ¿almacenas esos datos? . Bien puedes vender en linea sin tener que guardar ningun dado, haciendo uso de plataformas de pago.

Freddy Vega

Team Platzi•

Tal como dice Luis. Si almacenada los datos debes ser PCI Compliant. Al usar cosas como Paypal, Stripe o PayU tu NO almacenas datos financieros.

Mauricio Andres Restrepo A.

student•

¿si una startup crea un producto y este cobra mediante tarjetas de credito o gestiona datos médicos y guarda esta informacion en sus servidores puede ser penalizada o sancionada por esta práctica?

Francisco Ponce

student•

Hola Mauricio,

En cuanto a las tarjetas me parece que muy pocas empresas hoy en día se atreverían almacenar ese tipo de información tan delicada. Es un riesgo, lo que hacen es usar aplicaciones de terceros para gestionar esos pagos y para el caso de datos médicos, tendría que haber una razón para hacerlo, y cumplir con los estándares de GDPR, a mi parecer es muy raro que una startup se exponga a tanto peligro.

Mauricio Andres Restrepo A.

student•

Gracias por la respuesta compañero, lo que pasa es que en algunas reuniones de ideas de negocios que parecen ser muy innovadoras y emocionantes se escuchan conceptos que me hacen pensar "realmente este man está loco" con tecnología se pueden crear muchas soluciones pero hay otras cosas quedebenser aterrizadas y consultar con expertos. gracias Francisco.

Carlos Morales

student•

HIPAA: estándar de manejo de datos privados de salud y de información al rededor de sistemas médicos.

Ivan Chavez

student•

Para una Pyme (pequeña y mediana empresa) que presta servicios financieros tal ves como SAPI (Sociedad Anonima Promotora de Inversión), estas supongo que tambien tienen que cumplir con las regulaciones PCI... Usualmente como inician si son Start Ups del area Financiera?, me refiero a si necesitan tener los servidores con esas regulaciones o bien pueden tercerizar la info con algunos proveedores?

David Andrade Gil

student•

Tercerizas la operación, no la responsabilidad. .

Jeferson De Freitas

student•

Creo que seria bueno mejorar el funcionamiento del fixture de chrome, que te permite sacar el video a una ventana independiente que puedes usarla, mientras hace cualquier otra cosa, estoy seguro que Youtube logra que dicha ventana no se cierre al cambiar del video porque seguramente este reciclando el nodo donde esta el video y solo le cambiaria sus atributos, aparte de eso si dicho video se terminara y en vez de usar dicha funcionalidad, ves el video en pantalla completa, esto haria que no te saque en un curso de 42 videos, 42 veces del modo de pantalla completa

Francisco Contreras

student•

Si creo una startup en el ámbito de la salud, donde eventualmente guardaré datos de pacientes, asumo entonces que debo certificarme HIPAA en algún momento. ¿Es así? ¿En qué momento se debe sacar? ¿a los 500k pacientes? ¿Si no cumplo con la certificación, estoy violando leyes gubernamentales? (Depende del país asumo)

Luis Mojica

teacher•

Si depende del país, pero ten presente que las regulaciones existen para proteger los derechos de los usuarios, asi que aunque no se llame HIPPA habrá alguna ley equivalente en tu país.

Me interesa tu pregunta pues tambien estoy emprendiendo en el área de la salud, esto es lo que he encontrado hasta el momento:

Who must follow HIPAA?
Contenido en español en la pagina oficial hhs.gov
Ley 1581 de 2012 en Colombia

La he buscado para Panamá pero no he encontrado nada, lo cual me hace suponer que sera la misma HIPPA la que aplique allí (pero esto es solo una suposición).

Pablo Julian Rosa

student•

HIPPAA Compliance aplica a datos de salud de animales?

Orlando Sánchez

student•

La HIPPA solo aplicas para seres humanos, hay otras leyes estadales que pueden aplicarse a animales.

Israel Yance

student•

En el tema de animales hay mínima o nula legislación. Y varía en cada país.

Jonh Jairo Naranjo Ortiz

student•

en conclusión asesórate de un buen abogado en tecnología y un buen hacker!!! muy bueno tener los conceptos para no ser un ignorante en tecnología al mando de una compañía

Víctor Macías Pincay

student•

Muy interesante acerca de las certificaciones, me acabo de enterar que mi empresa cuenta con las certificaciones PCI SS. Continúo con el aprendizaje.

Certificaciones clave para servidores locales: PCI, HIPAA, ISO 27001

Software at the core

Tecnología Empresarial: Fundamentos para Directores y Gerentes

Gestión de Equipos Técnicos y Valor del Software en Tecnología

Desarrollo de Software: Estrategias y Decisiones Clave

Contratación Efectiva de Talento Tecnológico en Empresas

Gestión de Equipos Creativos en Empresas de Software

Decisiones estratégicas: software propio vs. software de terceros

Decisiones Estratégicas: Construir, Delegar o Comprar Tecnología

Análisis del Éxito de Tesla en el Mercado Automotriz

Estrategia de Innovación y Tecnología en Tesla

El ciclo del desarrollo de tecnología empresarial

Errores y Lecciones del Caso Accenture-Hertz en Transformación Digital

Proceso de Desarrollo de Productos Tecnológicos Efectivo

Roles Clave en el Desarrollo de Software Moderno

Roles Clave en Liderazgo de Proyectos Tecnológicos

Gestión Efectiva de Fechas de Entrega en Proyectos Tecnológicos

Evaluación de Liderazgo y Equipos de Alto Rendimiento en Tecnología

Estrategias de fijación de precios en proyectos tecnológicos

Análisis del Caso Legal Accenture vs Hertz: Lecciones y Estrategias

Seguridad informática

Casos de Filtración de Datos: Lecciones de Uber y Marriott

Contraseñas Seguras y Autenticación de Doble Factor

Prácticas Esenciales de Seguridad Personal en Tecnología

Consejos Esenciales de Seguridad Informática Empresarial

Gestión de Datos y Seguridad al Despedir Empleados

Gestión de Crisis por Filtraciones de Datos en Empresas

Infraestructura avanzada de software en empresas

Arquitectura de Aplicación Logística en Excel: Tablas y Estructura de Datos

Estructura de Datos y Tablas en Aplicaciones Logísticas

Desarrollo de Backend Seguro y Gestión de Accesos

Arquitectura de Software para Aplicación de Control de Naviera

Gestión de la Deuda Técnica en Desarrollo de Software

Conceptos básicos de servidores y servicios en red

Configuración y Mantenimiento de Servidores de Oficina

Estructura y Seguridad de Data Centers Profesionales

Fundamentos de Servicios en la Nube y Conectividad Global

Certificaciones clave para servidores locales: PCI, HIPAA, ISO 27001

Fundamentos de la Inteligencia Artificial en Negocios

Aplicaciones actuales y éticas de la inteligencia artificial

Recursos Humanos y Gestión de Talento

Salarios de Programadores en Latinoamérica y España: Análisis Comparativo

Crecimiento Salarial en Tecnología en Moneda Local y Dólares

Impacto del Inglés y Género en Salarios Tecnológicos en Latinoamérica

Análisis de Variabilidad Salarial en Tecnología en Latinoamérica y España

Motivación y Retención de Talento en Tecnología

Estructura Organizativa de Equipos de Ingeniería en Empresas Tech

Adaptación Rápida a la Transformación Digital