DEV Community

Cover image for "PCI-DSS, ISO 27001, ISO 27701 e ISO 27018: o que cada um cobre e como se relacionam"
Luis Cruz
Luis Cruz

Posted on

"PCI-DSS, ISO 27001, ISO 27701 e ISO 27018: o que cada um cobre e como se relacionam"

Uma empresa que processa pagamento com cartão, guarda dado de cliente e roda tudo em nuvem pública recebe, com frequência, quatro pedidos de auditoria diferentes: o adquirente de cartão cobrando conformidade com PCI-DSS, o cliente enterprise pedindo certificado ISO 27001, o jurídico perguntando sobre ISO 27701 por causa da LGPD, e o provedor de nuvem citando ISO 27018 no contrato. É comum o time de segurança tratar isso como quatro projetos separados, quando na prática são camadas que se apoiam umas nas outras, e boa parte do trabalho feito para uma serve de base para as outras três.

Este artigo explica o que cada uma dessas normas cobre, para que serve, quem precisa de cada uma e como elas se encaixam quando aplicadas juntas.


Visão geral rápida

Norma Tipo Foco Órgão responsável
PCI-DSS Padrão de conformidade obrigatório (não é ISO) Proteção de dados de cartão de pagamento PCI Security Standards Council
ISO/IEC 27001 Norma internacional certificável Sistema de Gestão de Segurança da Informação (SGSI/ISMS) ISO/IEC
ISO/IEC 27701 Extensão certificável da 27001 Sistema de Gestão de Privacidade da Informação (PIMS) ISO/IEC
ISO/IEC 27018 Código de prática (não certificável isoladamente) Proteção de dados pessoais em nuvem pública ISO/IEC

Repare que só a PCI-DSS não é uma norma ISO, ela nasceu de um consórcio das bandeiras de cartão, não do comitê de padronização internacional. As outras três pertencem à mesma família (a série ISO/IEC 27000) e foram desenhadas para se complementar.


PCI-DSS: proteção de dados de cartão

Como e por que surgiu

O PCI-DSS (Payment Card Industry Data Security Standard) nasceu em 2004/2006 quando as principais bandeiras de cartão - Visa, Mastercard, American Express, Discover e JCB - perceberam que cada uma tinha seu próprio programa de segurança, e comerciantes que aceitavam múltiplas bandeiras precisavam seguir requisitos diferentes e conflitantes para a mesma transação. As bandeiras se uniram e criaram o PCI Security Standards Council (PCI SSC), unificando essas exigências em um único padrão. A motivação prática por trás disso foi a onda de vazamentos de dados de cartão do início dos anos 2000, como o caso da TJX Companies, que expôs dezenas de milhões de números de cartão.

Para que serve

O PCI-DSS define 12 requisitos técnicos e operacionais obrigatórios para qualquer organização que armazena, processa ou transmite dados de titular de cartão (PAN - Primary Account Number, dados da trilha magnética, CVV, etc.):

Requisito Resumo
1–2 Firewall configurado e sem senhas padrão de fabricante
3–4 Proteção de dados de cartão armazenados e em trânsito (criptografia)
5–6 Antivírus/anti-malware e desenvolvimento seguro de aplicações
7–8 Controle de acesso por necessidade de uso e autenticação forte
9 Restrição de acesso físico aos dados
10 Rastreamento e monitoramento de todo acesso
11 Testes de segurança regulares (scans de vulnerabilidade, pentest)
12 Política de segurança da informação formalizada

Diferente das normas ISO, PCI-DSS não é uma certificação opcional é uma exigência contratual imposta pelas bandeiras e adquirentes. O nível de rigor da validação (SAQ auto-declarado ou auditoria formal por um QSA —Qualified Security Assessor) depende do volume de transações processadas por ano.


ISO/IEC 27001: gestão de segurança da informação

Como e por que surgiu

A ISO/IEC 27001 tem origem no BS 7799, um padrão britânico de segurança da informação publicado pela BSI (British Standards Institution) em 1995. A parte 2 desse padrão, focada em como implementar um sistema de gestão, foi adotada pela ISO em 2005 e se tornou a ISO/IEC 27001. Passou por revisões relevantes em 2013 e na versão mais atual, 2022, que reorganizou os controles do Anexo A.

Para que serve

Diferente da PCI-DSS, que é prescritiva e focada em um tipo específico de dado (cartão), a ISO 27001 é um framework de gestão, agnóstico ao tipo de negócio. Ela não diz exatamente "use criptografia AES-256"; ela exige que a organização estabeleça um SGSI (Sistema de Gestão de Segurança da Informação) um ciclo contínuo de identificar riscos, aplicar controles proporcionais a esses riscos, e melhorar com o tempo (o clássico PDCA: Plan-Do-Check-Act).

Os controles de referência ficam no Anexo A (hoje alinhado à ISO/IEC 27002), organizados em quatro temas:

Tema do Anexo A Exemplos de controle
Organizacional Política de segurança, gestão de fornecedores, resposta a incidentes
Pessoas Contratação, treinamento, encerramento de acesso
Físico Controle de acesso a datacenters e escritórios
Tecnológico Criptografia, backup, segmentação de rede, logging

A certificação ISO 27001 é feita por um organismo certificador acreditado, com auditoria de recertificação a cada três anos e auditorias de manutenção anuais.


ISO/IEC 27701: gestão de privacidade

Como e por que surgiu

Publicada em 2019, a ISO/IEC 27701 surgiu da pressão crescente por conformidade com leis de proteção de dados como o GDPR europeu e, no Brasil, a LGPD. Antes dela, empresas certificadas em ISO 27001 tinham uma base sólida de segurança, mas nada que endereçasse formalmente obrigações específicas de privacidade, como direitos do titular dos dados, base legal para tratamento, ou o papel de controlador versus operador.

Para que serve

A ISO 27701 não é uma norma independente ela é uma extensão da ISO 27001 (e da 27002), adicionando um conjunto de controles específicos de privacidade sobre a base de segurança já existente. Isso significa que, na prática, só se certifica em 27701 quem já tem ou está implementando a 27001 junto.

Ela adiciona controles como:

  • Identificação da base legal para cada tratamento de dado pessoal
  • Processos para atender direitos do titular (acesso, correção, exclusão, portabilidade)
  • Distinção clara de responsabilidades entre PII Controller (quem decide a finalidade do tratamento) e PII Processor (quem trata em nome de outro)
  • Avaliação de impacto à privacidade (equivalente ao DPIA do GDPR ou RIPD da LGPD)
  • Gestão de consentimento e de transferência internacional de dados

Para uma empresa brasileira, a ISO 27701 funciona como evidência estruturada de conformidade com a LGPD, mesmo a norma não citando a lei diretamente, os controles mapeiam de forma bem próxima.


ISO/IEC 27018: privacidade em nuvem pública

Como e por que surgiu

Publicada em 2014 (revisada em 2019), a ISO/IEC 27018 respondeu a uma lacuna específica: a ISO 27002 tinha controles genéricos de segurança, mas nenhum tratava da situação particular de um provedor de nuvem pública que processa dados pessoais em nome de seus clientes ou seja, quando o provedor é o processor e o cliente é o controller. A adoção em massa de AWS, Azure e Google Cloud ao longo dos anos 2010 tornou essa lacuna crítica: sem um padrão específico, cada contrato de nuvem tratava a proteção de PII de um jeito diferente.

Para que serve

A ISO 27018 é um código de prática, não uma norma certificável por si só ela estende os controles da ISO 27002 com diretrizes adicionais voltadas especificamente a provedores de nuvem que atuam como processadores de PII. Entre os pontos que ela cobre:

  • O provedor de nuvem só pode usar os dados pessoais do cliente para os fins contratados, nunca para publicidade própria sem consentimento explícito
  • Transparência sobre em quais países/subcontratados os dados são processados
  • Notificação ao cliente em caso de acesso não autorizado ou solicitação legal de terceiros
  • Direito do cliente de recuperar ou apagar seus dados ao encerrar o contrato

Na prática, quem busca essa certificação (normalmente combinada com a 27001, como um adendo de escopo) são os provedores de nuvem, SaaS e serviços de hospedagem não a empresa cliente final. Se sua empresa contrata AWS ou Azure, o que você quer ver é o certificado ISO 27018 deles, como evidência de que tratam os dados dos seus usuários com o cuidado esperado.


Como as quatro normas se relacionam

PCI-DSS ISO 27001 ISO 27701 ISO 27018
O que protege Dados de cartão de pagamento Ativos de informação em geral Dados pessoais (PII) em geral Dados pessoais (PII) especificamente em nuvem pública
Depende de outra norma? Independente Independente (é a base) Sim, estende a 27001/27002 Sim, estende a 27002
Quem certifica/valida QSA ou autoavaliação (SAQ) Organismo certificador acreditado Organismo certificador acreditado Geralmente incluída no escopo de auditoria da 27001 do provedor
Obrigatória ou voluntária Obrigatória por contrato com bandeiras/adquirente Voluntária (mas cada vez mais exigida por clientes B2B) Voluntária Voluntária, relevante sobretudo para provedores de nuvem
Papel típico de quem certifica Comerciante ou processador de pagamento Qualquer organização Controller e/ou Processor de dados pessoais Processor de PII atuando como provedor de nuvem

Uma forma simples de visualizar a pilha: a ISO 27001 é a fundação (gestão de segurança da informação como um todo). A ISO 27701 se apoia nela para adicionar controles de privacidade. A ISO 27018 se apoia na 27002 para o caso específico de provedores de nuvem. E a PCI-DSS roda em paralelo, como uma trilha independente e obrigatória sempre que há dado de cartão envolvido, mesmo que a empresa já tenha as três certificações ISO.


Quem precisa de cada uma

Perfil da empresa Normas relevantes
E-commerce que processa pagamento com cartão PCI-DSS obrigatório; ISO 27001 recomendada para maturidade geral
SaaS B2B que lida com dados de clientes corporativos ISO 27001 quase sempre exigida em processo de venda enterprise
Empresa que trata dados pessoais de usuários finais (qualquer app com cadastro) ISO 27701 relevante para evidenciar conformidade com LGPD/GDPR
Provedor de nuvem, hosting ou infraestrutura como serviço ISO 27018 relevante como diferencial de confiança para clientes
Fintech ou gateway de pagamento Todas as quatro, dependendo do escopo de dados e de nuvem usada

Exemplo prático: um SaaS de e-commerce

Imagine uma plataforma de e-commerce SaaS, hospedada em nuvem pública, que processa pagamento via cartão e armazena dados de clientes dos seus lojistas.

  1. PCI-DSS: obrigatório porque a plataforma processa transações de cartão. Mesmo se o processamento do cartão em si for terceirizado a um gateway (reduzindo o escopo via tokenização), a plataforma ainda precisa validar conformidade com os requisitos que sobram no seu ambiente.
  2. ISO 27001: a plataforma implementa um SGSI cobrindo toda a operação — desenvolvimento, infraestrutura, RH, fornecedores. Vira pré-requisito comum em propostas comerciais de clientes maiores.
  3. ISO 27701: como a plataforma trata dados pessoais de consumidores finais (nome, endereço, e-mail) em nome dos lojistas, ela atua como Processor. A extensão de privacidade formaliza como esses dados são protegidos e como direitos do titular são atendidos.
  4. ISO 27018: se essa plataforma, além de SaaS, também oferece infraestrutura para terceiros hospedarem aplicações (um cenário IaaS/PaaS), essa certificação vira relevante para o próprio provedor de nuvem que ela usa (AWS/Azure/GCP) e é isso que ela deve exigir contratualmente do fornecedor.

O ponto central: as quatro normas não competem entre si — cada uma cobre uma fatia diferente do mesmo problema (proteger dado sensível), e a sobreposição de controles entre elas (gestão de acesso, criptografia, resposta a incidente) significa que implementar a ISO 27001 primeiro reduz bastante o esforço para as demais.


Boas práticas

  • Comece pela ISO 27001 se ainda não tem nenhuma base de governança de segurança — as outras três se apoiam nela, direta ou indiretamente
  • Não trate PCI-DSS como algo à parte — mapeie os controles que já existem no SGSI (controle de acesso, logging, resposta a incidente) contra os 12 requisitos, a sobreposição costuma passar de 60%
  • Reduza o escopo de PCI-DSS com tokenização — delegar a captura e armazenamento do cartão a um gateway (Stripe, Adyen, etc.) reduz drasticamente o que precisa ser auditado
  • Peça o certificado ISO 27018 do seu provedor de nuvem, não tente certificar sua própria empresa nessa norma a menos que você também seja um provedor de infraestrutura
  • Mantenha uma matriz de controles cruzada — uma planilha simples relacionando cada controle das quatro normas evita retrabalho em auditorias e evidências duplicadas

Perguntas frequentes

Pergunta Resposta
Preciso ser ISO 27001 antes de fazer ISO 27701? Sim, na prática — a certificação 27701 é emitida como extensão de escopo de uma 27001 já certificada ou em processo de certificação conjunta
PCI-DSS substitui a ISO 27001? Não — PCI-DSS cobre só dado de cartão; ISO 27001 cobre segurança da informação como um todo
Minha empresa pequena precisa de tudo isso? Depende do que ela processa. Uma loja pequena que usa um gateway de pagamento pronto pode ter escopo de PCI-DSS mínimo (SAQ A); ISO 27701/27018 só fazem sentido se há tratamento relevante de PII ou oferta de infraestrutura
ISO 27018 é uma certificação própria? Não isoladamente — é um código de prática auditado como extensão de escopo dentro de uma certificação ISO 27001/27002
LGPD exige ISO 27701? Não exige formalmente, mas a norma é hoje a forma mais reconhecida de evidenciar conformidade estruturada com a lei

Conclusão

PCI-DSS, ISO 27001, ISO 27701 e ISO 27018 não são quatro auditorias concorrentes disputando o tempo do time de segurança — são camadas complementares que protegem tipos diferentes de dado sensível, com graus diferentes de obrigatoriedade. A ISO 27001 estabelece a fundação de gestão de segurança; a ISO 27701 estende essa fundação para privacidade; a ISO 27018 endereça o caso específico de provedores de nuvem tratando PII de terceiros; e a PCI-DSS roda à parte, como exigência contratual sempre que há dado de cartão envolvido.

Antes de sair atrás de todas ao mesmo tempo, mapeie qual dado sensível sua empresa realmente processa e em que papel (controller, processor, comerciante, provedor de infraestrutura) — isso já reduz bastante a lista do que de fato se aplica.


Referências

Top comments (0)