Certificaciones clave para servidores locales: PCI, HIPAA, ISO 27001

Clase 33 de 42 • Curso de Tecnología para Gerentes y Directores

Resumen

¿Qué implicaciones tienen los servidores en la nube para las empresas?

El alojamiento de servidores en la nube parece ser una solución ideal para muchas empresas, especialmente aquellas que no están directamente vinculadas a la tecnología. Sin embargo, no todas las organizaciones pueden optar por esta alternativa. Compañías como Nissan prefieren mantener sus servidores de manera local debido a la naturaleza sensible de sus datos privados, a menudo por razones de privacidad y seguridad. Imagina también a un banco que no puede tercerizar la distribución de sus datos o una institución de salud que debe cuidar con extremo cuidado los datos médicos confidenciales. En estos escenarios, es vital conocer ciertas certificaciones clave.

¿Cuáles son las certificaciones esenciales para la gestión de servidores propios?

Si te encuentras en la necesidad de administrar tus propios servidores, es crucial estar al tanto de tres certificaciones fundamentales que te ayudarán a cumplir con los estándares de seguridad exigidos en la mayoría de los casos:

PCI Compliance: Relacionada con la seguridad de los datos de tarjetas de crédito y pagos bancarios.
HIPAA Compliance: Para la protección de datos de salud y medicina de pacientes.
ISO 27001: La norma internacional estándar de seguridad informática.

¿Qué es PCI Compliance?

PCI Compliance es esencial para cualquier organización que procese, almacene o transmita datos de tarjetas de crédito y débito. Se enfoca en tres grupos principales:

PCI PTS: Para los fabricantes de terminales de tarjetas de crédito.
PCI PADSS: Desarrollo de software de pago, como pasarelas de pago.
PCI DSS: Para comerciantes y proveedores de servicios financieros.

Las medidas incluyen:

Mantener un firewall para proteger la información del tarjetahabiente.
Evitar configuraciones predeterminadas y asegurar los sistemas.
Cifrar los datos de las tarjetas y su transmisión.
Controlar el acceso a los datos mediante identificadores únicos para los usuarios.
Realizar seguimientos y monitoreo de la red.

¿Qué implica la certificación HIPAA?

La certificación HIPAA regula el manejo de datos de salud y sistemas médicos, cubriendo aspectos como:

Mapeo y protección de datos sensibles.
Control de acceso basado en privilegios.
Monitoreo y protección tanto con software como hardware.
Incluye datos como nombres, números de seguridad social, registros médicos y cualquier otro identificador personal.

Estas regulaciones protegen contra el uso indebido de datos de salud, a menudo objeto de robo de identidad o discriminación.

¿Cómo influye la norma ISO 27001 en la seguridad informática?

La norma ISO 27001 es un estándar internacional que garantiza la seguridad de la información. El proceso incluye:

Documentar y prepararse para la auditoría.
Implementar controles de seguridad informática.
Realizar auditorías internas periódicas.
Asegurar el mantenimiento y la mejora continua del sistema de seguridad.

Esta certificación es comúnmente requerida por bancos y gobiernos. Además, acceder a un estándar internacional como ISO 27001 proporciona un sello de confianza y cumplimiento con las mejores prácticas globales.

¿Qué normas específicas deben considerarse según la industria o región?

Las normas de seguridad pueden variar significativamente dependiendo de la industria o región. Por ejemplo, el marco regulatorio en Europa puede ser distinto al de Latinoamérica o Asia. Un caso específico es China, donde el cifrado está restringido por el gobierno. Es fundamental leer y entender las normativas aplicables en la región de operación de tu empresa.

Cuando optas por servicios en la nube, es posible que ya cumplan con muchos de estos estándares. No obstante, es recomendable asesorarse con abogados especializados en tecnología y expertos en seguridad informática para garantizar una protección óptima de los datos. La falta de seriedad en el tratamiento de los data centers puede llevar a filtraciones de datos con graves consecuencias para las empresas.

Marco Tulio Linares

student•

PCI Compliance - Datos de tarjetas de crédito HIPAA Compliance - Datos médicos ISO 27001 - Certificación de seguridad

Juan Fernando López Hernández

student•

Totalmente importante, tenerlo en mente.

María Sierra

student•

¿Cuándo elegir la nube vs. tener tu propio DataCenter?

Hay caso en los que no es posible poner tus datos y servidores en la nube no es posible. Como:

Hospitales
Bancos
Compañías con datos muy privados
Entre otros

En caso de que tengas que correr tu propio servidor hay 3 certificaciones que tienes que tener en cuenta, no vas ser el encargado de esto se lleve a cabo pero necesitas saber que esto existe.

PCI Compliance → Principalmente para guardar datos de tarjetas de crédito y pagos bancarios. (si tienes una app o un ecommerce con una pasarela de pago tiens que cumplir con esto)
HIPAA Compliance → Para guardar datos de salud, medicina.
ISO 27001 → Es la certificación internacional estándar de seguridad informática.

Roberto Anibal Hernández Castillo

student•

Adoro tus notas, gracias

Luis Eduardo Acuña Acuña

student•

Muchas Gracias por tan buen resumen!

Mario Sanchez Jaramillo

student•

Qué increíble. Como dice Freddy, ni si quisiera sabía que no sabía esto.

Felipe Bernardo González Barranco

student•

Somos dos!

Alberth Froy Villavicencio Rivera

student•

ya somos tres :d

Usuario anónimo

user•

📌 Es importante profundizar los requerimientos que se necesita para gestionar los datos, según el rubro de la organización.

Minerva del Pilar Muñoz Arévalo

student•

Y en qué sector se desempeñara (público o privado)

Usuario anónimo

user•

🤔 Todo depende de la organización, si es abierta a cambios.

Vicente López Robles

student•

Si es una página que hace cobros en línea pero usa una pasarela de pago como Konecta, Open Pay, Stripe, etc, ¿no están obligados a estas certificaciones?, ya que no almacenan los datos de las tarjetas, ¿es correcto?

Jaime Moncada

student•

Tu proveedor es quien debería contar con esas certificaciones, podrías consultarlo directamente en sus sitios y/o bien, leer bien el contrato antes de firmarlo.

Diego Ignacio Ortiz

student•

Por lo general, para implementar dichos módulos en tu sitio necesitarás el protocolo HTTPS descrito en el curso, que se encarga de proteger los datos que ingresan los clientes al realizar el pago en dichas pasarelas.

Harrison Gomez Amado

student•

Muy interesante! De ley me quedo con la nube mientras soy una pyme jaja

Emmanuel Molano Turriago

student•

¿Cómo se manejará el tema de privacidad de los datos para las empresas que usan los servicios en la nube?

Carlos Morales

student•

las empresas que ofrecen servicios en la nube ya cuentan con las medidas necesarias de seguridad, aún así está en nuestras manos el tema de qué personas tienen acceso a qué segmentos de información, según el cargo de cada trabajador.

Ranse Rivas

student•

jejeje... tremendo servicio Hackers Abogados. Serían muy completos y darían una visión amplia.

Luis Eduardo Navarro

student•

Como te lo imaginas?

Ricardo Gaite

student•

La organización donde trabajo está empezando a montar un ERP, y nosotros trabajamos con algunos datos médicos. Voy a preguntarle a mi jefe si está teniendo en cuenta las leyes HIPAA.

Oscar Jaramillo

student•

COBIT

El estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

Andrés Soret Chacin

student•

Muy buena explicación, muchas gracias 😁👍

Charles Duck Castillo Rosas

student•

PCI Compliance

Guardar datos de tarjetas de créditos y pagos bancarios.

payment Card Industry.
PCI PTS: Terminales de tarjetas de créditos.
PCI PA-DSS: Apps de pagos.
PCI DDS: Proveer servicios financieros.

HIPAA Compliance

Guardar datos de salud y pacientes.

######ISO 27001

Certificación de seguridad estandar de informática.

Mauricio Andres Restrepo A.

student•

haber si entiendo! Si mi empresa crea una App o E-commerce con un modelo de negocio propio. y vamos a manejar datos financieros de clientes como tarjetas de crédito, debo tener una infraestructura con un standard para esto y además gestionar la certificación?

Luis Mojica

teacher•

La pregunta clave es ¿almacenas esos datos? . Bien puedes vender en linea sin tener que guardar ningun dado, haciendo uso de plataformas de pago.

Freddy Vega

Team Platzi•

Tal como dice Luis. Si almacenada los datos debes ser PCI Compliant. Al usar cosas como Paypal, Stripe o PayU tu NO almacenas datos financieros.

Mauricio Andres Restrepo A.

student•

¿si una startup crea un producto y este cobra mediante tarjetas de credito o gestiona datos médicos y guarda esta informacion en sus servidores puede ser penalizada o sancionada por esta práctica?

Francisco Ponce

student•

Hola Mauricio,

En cuanto a las tarjetas me parece que muy pocas empresas hoy en día se atreverían almacenar ese tipo de información tan delicada. Es un riesgo, lo que hacen es usar aplicaciones de terceros para gestionar esos pagos y para el caso de datos médicos, tendría que haber una razón para hacerlo, y cumplir con los estándares de GDPR, a mi parecer es muy raro que una startup se exponga a tanto peligro.

Mauricio Andres Restrepo A.

student•

Gracias por la respuesta compañero, lo que pasa es que en algunas reuniones de ideas de negocios que parecen ser muy innovadoras y emocionantes se escuchan conceptos que me hacen pensar "realmente este man está loco" con tecnología se pueden crear muchas soluciones pero hay otras cosas quedebenser aterrizadas y consultar con expertos. gracias Francisco.

Carlos Morales

student•

HIPAA: estándar de manejo de datos privados de salud y de información al rededor de sistemas médicos.

Ivan Chavez

student•

Para una Pyme (pequeña y mediana empresa) que presta servicios financieros tal ves como SAPI (Sociedad Anonima Promotora de Inversión), estas supongo que tambien tienen que cumplir con las regulaciones PCI... Usualmente como inician si son Start Ups del area Financiera?, me refiero a si necesitan tener los servidores con esas regulaciones o bien pueden tercerizar la info con algunos proveedores?

David Andrade Gil

student•

Tercerizas la operación, no la responsabilidad. .

Jeferson De Freitas

student•

Creo que seria bueno mejorar el funcionamiento del fixture de chrome, que te permite sacar el video a una ventana independiente que puedes usarla, mientras hace cualquier otra cosa, estoy seguro que Youtube logra que dicha ventana no se cierre al cambiar del video porque seguramente este reciclando el nodo donde esta el video y solo le cambiaria sus atributos, aparte de eso si dicho video se terminara y en vez de usar dicha funcionalidad, ves el video en pantalla completa, esto haria que no te saque en un curso de 42 videos, 42 veces del modo de pantalla completa

Francisco Contreras

student•

Si creo una startup en el ámbito de la salud, donde eventualmente guardaré datos de pacientes, asumo entonces que debo certificarme HIPAA en algún momento. ¿Es así? ¿En qué momento se debe sacar? ¿a los 500k pacientes? ¿Si no cumplo con la certificación, estoy violando leyes gubernamentales? (Depende del país asumo)

Luis Mojica

teacher•

Si depende del país, pero ten presente que las regulaciones existen para proteger los derechos de los usuarios, asi que aunque no se llame HIPPA habrá alguna ley equivalente en tu país.

Me interesa tu pregunta pues tambien estoy emprendiendo en el área de la salud, esto es lo que he encontrado hasta el momento:

La he buscado para Panamá pero no he encontrado nada, lo cual me hace suponer que sera la misma HIPPA la que aplique allí (pero esto es solo una suposición).

Pablo Julian Rosa

student•

HIPPAA Compliance aplica a datos de salud de animales?

Orlando Sánchez

student•

La HIPPA solo aplicas para seres humanos, hay otras leyes estadales que pueden aplicarse a animales.

Israel Yance

student•

En el tema de animales hay mínima o nula legislación. Y varía en cada país.

Jonh Jairo Naranjo Ortiz

student•

en conclusión asesórate de un buen abogado en tecnología y un buen hacker!!! muy bueno tener los conceptos para no ser un ignorante en tecnología al mando de una compañía

Víctor Macías Pincay

student•

Muy interesante acerca de las certificaciones, me acabo de enterar que mi empresa cuenta con las certificaciones PCI SS. Continúo con el aprendizaje.