Certificados de seguridad y cumplimiento

Por qué es necesario

Las certificaciones y certificaciones confirman prácticas de seguridad maduras y reducen el ciclo de ventas (due diligence) al abrir el acceso a mercados regulados y socios. La clave no es «pasar la auditoría una sola vez», sino construir un sistema de control continuo con puntos de control medibles.

Mapa del paisaje (qué y cuándo elegir)

ISO/IEC 27001 es un sistema de gestión de seguridad de la información (ISMS). Un «esqueleto» universal de procesos.

Suplementos: ISO 27017 (nube), 27018 (privacidad en la nube), 27701 (PIMS, privacidad), 22301 (BCMS, sostenibilidad).
SOC 2 (AICPA): Tipo I (diseño en la fecha) y Tipo II (diseño + eficiencia operativa en el período, generalmente 3-12 meses). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (para procesamiento de tarjetas): niveles por volumen de operaciones, ROC/AOC con QSA, escáneres ASV trimestrales, pentestas y segmentación de zona CHD.
CSA STAR (nivel 1-3): declaración/auditoría para proveedores y servicios en la nube.
Adicionalmente por dominios: ISO 20000 (ITSM), ISO 31000 (gestión de riesgos), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (industria/finanzas).
GDPR/privacidad: no hay «certificado GDPR» como tal; aplican la norma ISO 27701 y los códigos de evaluación/conducta independientes.

💡 Regla de selección: B2B SaaS/fintech → ISO 27001 + SOC 2 Tipo II; flujos de pago/tarjetas → PCI DSS; trabajo denso con PII → 27701; enfoque en la nube → 27017/27018/CSA STAR.

Certificación vs certificación

Certificación (ISO): un organismo acreditado emite un certificado por 3 años con auditorías anuales de supervisión.
Certificación (SOC 2): un auditor independiente emite un informe (opinion) para el período; el documento que usted proporciona a los clientes bajo NDA.
PCI DSS: confirmado por ROC (Informe sobre cumplimiento) y AOC (Attestation of Compliance), o SAQ para volúmenes más pequeños.

Scope: cómo esbozar los límites

1. Activos y procesos: productos, entornos (prod/stage), regiones, clases de datos (PII/finanzas/mapas).
2. Arquitectura técnica: nube, VPC/VNet, Kubernetes, CI/CD, gestión secreta, DWH/analítica.
3. Áreas organizativas: oficinas/distancia, contratistas, soporte externo.
4. Proveedores (third parties): PSP, proveedores de contenido, KYC/AML, cloud - modelo de responsabilidad compartida.
5. Excepciones: fijar por qué fuera del scope, y medidas compensatorias.

Hoja de ruta a la «primera insignia»

1. Análisis gap contra objetivos (27001/SOC 2/PCI).
2. Gestión de riesgos: metodología, registro de riesgos, plan de procesamiento, Statement of Applicability (ISO).
3. Políticas y roles: políticas de IB/privacidad, clasificación de datos, accesos (IAM), lógica, respuesta, BCM/DR.
4. Controles técnicos: cifrado, redes (WAF/WAAP, DDoS), vulnerabilidades/parches, SDLC seguro, backups, monitoreo.
5. Base de pruebas: regulaciones, revistas, capturas de pantalla, descargas, tickets - almacenado versionadamente.
6. Auditoría interna/Evaluación de lectura.
7. Auditoría externa: stage 1 (dock-ruge) → stage 2 (eficiencia/samples). Para SOC 2, Tipo II es un «período de observación».
8. Supervisión/mantenimiento: auditorías trimestrales de control, auditorías anuales de supervisión (ISO), actualización anual del SOC 2.

Matriz de asignación de control (fragmento de ejemplo)

Dominios	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	Tipo de control/artefacto
Control de acceso	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, registros SCIM, revue derechos
Cifrado	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, políticas clave
Vulnerabilidades/parches	A.12, A.14	CC7. x	6, 11. 3	Escáneres, MTTP, informes pentestes, ASV
Registros/monitoreo	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, retén, alertas y RCA
BCM/DR	A.5, A.17	A1. x	12	22301-planes, resultados de pruebas de DR

Qué mostrará el auditor (consultas de tipo)

Accesos: informes de IdP/IAM, registros JML, rugidos de privilegios.
Secretos: los políticos de KMS/Vault, la historia de las rotaciones.
Análisis de vulnerabilidades: informes recientes, tickets de remediación, plazos MTTP.
Revistas/alertas: casos de incidentes, MTTD/MTTR, post-morts.
Proveedores: registro, DPIA/DTIA (si PII), medidas contractuales, evaluaciones de riesgos.
Entrenamiento y pruebas: simulaciones de phishing, entrenamientos de IB, confirmaciones.
BC/DR: resultados de los últimos ejercicios, RTO/RPO-hechos.

Control continuo

Policy-as-Code: OPA/Gatekeeper/Kyverno para deployas; «Enforce» sobre reglas críticas.
Monitoreo de control continuo (CCM): verificaciones cada N minutos/horas (cifrado de baquetas, puertos abiertos, cobertura MFA).
Sistema GRC: registro de controles, propietarios, tareas y plazos, enlace de métricas.
Un único hub de artefactos: las «evidencias» (evidence) se versionan y marcan con un punto de control.
Autogeneración de informes: SoA, Risk Register, Control Effectiveness, KPI/SLO por controles.

Métricas y SLO para cumplimiento

Coverage:% de controles con verificación automática;% de activos en scope.
Tiempo de reacción: p95 cierre solicitudes de auditoría ≤ 5 días hábiles.
Fiabilidad: «control no en la zona verde» ≤ 1% de tiempo al mes.
Vulnerabilidades: MTTP P1 ≤ 48 h, P2 ≤ 7 días; remediación penteste ≤ 30 días.
Formación de IB: cobertura de personal ≥ 98%, periodicidad 12 meses.

Características específicas para la nube y Kubernetes

Nube: inventario de recursos (IaC), cifrado «en disco »/» en canal», registro (CloudTrail/Activity Logs), roles mínimos. Utilice los informes de certificación de proveedores (SOC 2, ISO, PCI) como parte de la protección «heredada».
Kubernetes: RBAC por namespace, políticas de administración (firmas de imágenes/SBOM, prohibición ': latest'), políticas de red, secretos fuera de etcd (KMS), auditoría de servidores API, perfiles de exploración para imágenes/clústeres.
Redes y perímetro: WAF/WAAP, DDoS, segmentación, ZTNA en lugar de una VPN «amplia».

🚨 Check Alignment of PCI DSS (actualizaciones para entornos de pago)

Segmentación de la zona CHD: mínimo de sistemas en scope; mTLS a PSP; webhuki - con HMAC.
Escáneres ASV trimestrales y pentestes anuales (incluida la segmentación).
Registros e integridad: FIM, revistas inmutables, «tiempo bajo impresión» (NTP).
Documentos: Políticas, diagramas de flujo de datos de mapas, AOC/ROC, procedimientos de incidentes.

Privacy (enfoque ISO 27701 + GDPR)

Funciones: controlador/procesador, registro de tratamientos, bases legales.
DPIA/DTIA: evaluación de los riesgos de privacidad y transmisiones transfronterizas.
Derechos de los sujetos: SLA para respuestas, herramientas técnicas de búsqueda/eliminación.
Minimización/pseudonimización: patrones arquitectónicos y DLP.

Artefactos (plantillas terminadas - qué mantener «a mano»)

Statement of Applicability (SoA) con la motivación de incluir/excluir Annex A.
Control Matrix (ISO↔SOC2↔PCI) con propietarios y pruebas.
Risk Register con la técnica (impact/likelihood) y el plan de procesamiento.
Planes BC/DR + protocolos de los últimos ejercicios.
Paquete SDLC seguro: hojas de cheques de rugido, informes SAST/DAST, póliza deploy.
Apoyo Due Diligence: cuestionarios (SIG Lite/CAIQ), evaluaciones de riesgos, medidas contractuales.

Errores

«Auditoría en aras de la auditoría»: no hay procesos en vivo, sólo carpetas con directivas.
Un escopio demasiado amplio: atesora y complica el mantenimiento; comience con el «núcleo de valor».
Recolección manual de evidencia: alta deuda operativa; automatizar CCM y descargas.
Controles sin métricas: imposible de administrar (sin SLO/propietarios).
Modo post-certificación olvidado: no hay inspecciones trimestrales → sorpresa en la supervisión.
Contratistas fuera de circuito: terceros se convierten en la fuente de incidentes y en una «tarjeta roja» en la auditoría.

Lista de verificación de preparación (abreviada)

Identificado el escopio, los activos, los propietarios; mapa de datos y flujos.
El registro de riesgos, SoA (para ISO), Trust Services Criteria (para SOC 2) se descomponen por controles.
Las políticas, los procedimientos, la capacitación del personal se cumplen y son pertinentes.
Los controles están automatizados (CCM), los dashboards y las alertas están conectados.
Las pruebas de cada control se recogen/versionan.
Auditoría interna/Lectura; se han eliminado las brechas críticas.
Se designa un auditor/autoridad, se acuerda un período de seguimiento (SOC 2) o un plan de etapa 1/2 (ISO).
In situ pentest/ASV (PCI), plan de remediación y confirmación de fix.

Mini plantillas

Política de métricas para controles (ejemplo)

Control: «Todos los baquetas con PII están encriptados por KMS».
SLI:% de baquetas con cifrado habilitado.
Objetivo: ≥ 99. 9%.
Alerta: en una caída <99. 9% más de 15 minutos → P2, el propietario es Head of Platform.

Registro de pruebas (fragmento)

Control	Prueba	Frecuencia	Almacenamiento	Responsable
Lógica de acceso a PII	Exportación de SIEM en 90 días	Mensualmente	GRC/Evidence Hub	SOC Lead
Rotación de secretos	Vault audit log + change ticket	Semanalmente	GRC	DevOps Lead

Características específicas para iGaming/Fintech

Dominios de alto riesgo: pagos/pagos, antifraude, backofis, integraciones de socios - prioridad en scope y controles.
Métricas de negocio: Time-to-Wallet, conversión de reg→depozit: tenga en cuenta el impacto de las medidas de protección y las auditorías.
Regionalidad: requisitos UE/LATAM/Asia - contabilidad de transferencias transfronterizas, reguladores locales.
Proveedores de contenido/PSP: due diligence obligatorio, mTLS/HMAC, acuerdo legal sobre los datos.

Los certificados son consecuencia de la disciplina y la automatización: gestión de riesgos, políticas vivas, controles medibles y preparación constante. Seleccione el conjunto correcto (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), delinee el scop, automatice las comprobaciones (CCM/Policy-as-Code), mantenga los artefactos en orden y mida SLO - Así que el cumplimiento será predecible y apoyará el crecimiento del producto, no un freno para él.