¿Qué es la Certificación ISO? Significado de ISO y logro de ISO 27001 de BigCommerce
En BigCommerce, estábamos encantados de recibir la certificación ISO/IEC 27001:2013. Sin embargo, a diferencia de ganar una medalla de oro olímpica en esquí alpino o un Premio Nobel de economía, es posible que no todos sepan de inmediato por qué estamos tan entusiasmados con esto o qué valor tiene para nuestros clientes tener una certificación estándar de seguridad de la información.
En esta inmersión profunda, veremos:
- Qué significa realmente la certificación ISO,
- Quién es la ISO y qué hace,
- Quién proporciona las pruebas de seguridad ISO y, en última instancia,
- Qué significa para su tienda de comercio electrónico.
¿Qué es la certificación ISO?
En primer lugar, ISO significa Organización Internacional de Normalización. Esta es la organización que desarrolla y publica estándares para organizaciones a nivel internacional. Sin embargo, no es la organización la que realmente realiza la certificación (más información a continuación).
La ISO se fundó en 1947 cuando delegados de 25 países se reunieron en Londres en el Instituto de Ingenieros Civiles con la intención de facilitar la coordinación internacional sobre estándares industriales. Hoy, el grupo está compuesto por miembros de 164 países que trabajan juntos para desarrollar las normas ISO.
¿Qué entendemos exactamente por estándares? Según el sitio web de ISO, crean los "documentos que proporcionan requisitos, especificaciones, pautas o características que se pueden usar para garantizar de manera consistente que los materiales, productos, procesos y servicios se ajusten a su propósito".
La certificación ISO significa que una empresa tiene:
- Sistemas de gestión de alta calidad,
- Seguridad de datos,
- Estrategias de aversión al riesgo, y
- Prácticas comerciales estandarizadas.
Las empresas con certificación ISO deben someterse a una estricta evaluación de la conformidad a través de pruebas e inspecciones por parte de un grupo externo especializado en esa norma. Las empresas que aprueban estas evaluaciones demuestran que han alcanzado el estándar asociado particular.
Al obtener una certificación, brinda a los consumidores y otras partes interesadas confianza en los sistemas de la empresa y garantiza que se cumplan las condiciones ambientales, de salud o de seguridad pertinentes.
En qué se especializa ISO 27000
La ISO ha publicado más de 22.000 estándares sobre todo, desde salud y seguridad hasta gestión de alimentos y desarrollo sostenible. Brindan a las empresas de todos los sectores algo a lo que adherirse, ya que alinean su tecnología y prácticas para garantizar un nivel de calidad medible y constante.
La familia de estándares ISO/IEC 27000 se refiere a las mejores prácticas para administrar datos seguros, como información financiera, propiedad intelectual o, en realidad, cualquier información confiada a una empresa por terceros.
ISO/IEC 27001:2013, dentro de esa familia de estándares, especifica los requisitos para “establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización”.
La certificación ISO/IEC 27001:2013 es el único estándar internacional auditable que define los requisitos de un sistema de gestión de seguridad de la información. Las empresas como BigCommerce que cuentan con la certificación ISO/IEC 27001:2013 demuestran una adherencia a estas mejores prácticas para sistemas de gestión de seguridad y seguridad de datos estrictos. Estos son algunos ejemplos de lo que incluye.
1. Datos seguros.
Como se explicó anteriormente, los estándares ISO/IEC 27000 crean regulaciones que ayudan a definir cómo es un sistema de gestión de seguridad de la información seguro. Proteger los datos que están presentes en todos sus sistemas es uno de los logros más rigurosos en la industria de SaaS.
2. Gestión de riesgos.
La gestión de riesgos para las grandes empresas es difícil de planificar por completo y, a menudo, requiere un enfoque estructurado. Existen normas separadas que se ocupan específicamente de la gestión de riesgos (ISO 31000), pero la ISO 27000 aún se aplica en términos de cómo la seguridad de los datos puede garantizar un menor riesgo para una empresa debido a las filtraciones de datos. La certificación ISO significa que una empresa ha establecido planes para la gestión de riesgos y está realizando un trabajo ejemplar para mantener la seguridad y minimizar los riesgos.
3. Prácticas comerciales seguras.
Dado que los estándares ISO 27000 se ocupan de las mejores prácticas en los sistemas de seguridad de la información, el cumplimiento de los estándares relacionados con la seguridad y la TI debe verificarse en todos los ámbitos para lograr la certificación ISO 27001:2013. En general, esta certificación demuestra que una empresa está actuando de manera profesional y ética, planificando para el futuro y respetando la privacidad y la seguridad de los datos.
Explicación de la certificación ISO 27001 de BigCommerce
Ahora que tiene una idea general de lo que significa la certificación ISO, y en particular ISO/IEC 27001:2013, profundicemos en el proceso de certificación:qué obstáculos se superaron y qué casillas se marcaron para demostrar que BigCommerce se mantiene al máximo en estándares de información.
Una vez que comprenda todo el proceso riguroso y los estándares que se deben lograr, quedará más claro por qué BigCommerce es una de las pocas plataformas de comercio electrónico SaaS que logra esta certificación.
Para obtener la certificación, las empresas deben pasar por un proceso de planificación de seis partes que incluye todo lo siguiente.
1. Políticas de seguridad.
La empresa debe proporcionar especificaciones que detallen sus políticas de seguridad, incluida la documentación, quién es responsable de la gestión y cómo se realizan las auditorías internas. BigCommerce ha cumplido o excedido los estándares para las políticas de seguridad definidas.
2. Alcance del SGSI.
La segunda parte del proceso de planificación define el alcance del sistema de gestión de seguridad de la información que busca la certificación. El SGSI debe mostrar la mejora continua y las acciones correctivas y preventivas que se han tomado para garantizar la máxima seguridad. El alcance y la hoja de ruta de BigCommerce ISMS ha cumplido o excedido el estándar necesario.
3. Evaluaciones de riesgo.
Para gestionar y prevenir mejor los riesgos, la empresa en cuestión debe evaluar todos los riesgos potenciales. BigCommerce ha evaluado el riesgo en su organización y ha cumplido o excedido los estándares.
4. Riesgos identificados.
Nuevamente, la mejor manera de mitigar el riesgo es ser consciente de él:limitar las incógnitas desconocidas y sacar a la luz cualquier responsabilidad potencial. BigCommerce actualmente está gestionando riesgos identificables para garantizar la seguridad y satisfacción del cliente.
5. Seleccionar objetivos de control.
El estándar 27001 no exige controles de seguridad de la información específicos, sin embargo, sugiere objetivos de control específicos que deben cumplirse. BigCommerce se toma esto en serio y ha cumplido los objetivos de seguridad requeridos.
6. Declaración de aplicabilidad.
Una vez que pasó por los primeros cinco pasos del proceso, BigCommerce solicitó la certificación ISO/IEC 27001:2013 y la recibió.
Qué significa esto para nuestros clientes
La razón por la que BigCommerce eligió seguir este riguroso proceso de certificación es por el valor que puede brindar a nuestros clientes. Esta certificación demuestra nuestro compromiso con la seguridad de la información, el cumplimiento y las prácticas de regulación. Esto brinda a nuestros clientes tranquilidad con respecto a todo lo siguiente:
1. Seguridad del sitio de clase mundial.
Los sitios de comercio electrónico no pueden darse el lujo de tener una seguridad insatisfactoria o inconsistente. Al crear su sitio de comercio electrónico en la plataforma BigCommerce, puede estar seguro de que su sitio permanecerá activo y seguro.
2. IP protegida.
Por supuesto, si bien es increíblemente importante proteger los datos de sus clientes, no es la única información confidencial en su sistema. Al trabajar con una plataforma que valora la seguridad de la información y tiene una credencial comprobada, puede estar seguro de que cualquier propiedad intelectual en su sitio se mantendrá segura dentro de los sistemas de BigCommerce.
3. Protección contra ataques DDoS.
Un ataque de denegación de servicio distribuido (DDoS) es un intento malicioso de interrumpir el flujo de tráfico normal y el funcionamiento de un sitio web saturando el servidor o la red. Debido a que BigCommerce ha agregado medidas de seguridad adicionales y mejores prácticas, no tiene que preocuparse por un ataque DDoS en su sitio o en el nuestro.
¿Quién proporciona las pruebas de calidad ISO?
Como se mencionó anteriormente, la ISO proporciona los estándares, pero en realidad no brinda certificaciones para evaluar si una empresa ha cumplido o no con esos estándares. En su lugar, tienen un comité, CASCO, que se ocupa de la evaluación de la conformidad.
Para obtener la certificación, una empresa debe pasar por un grupo de certificación de terceros que cumpla con los estándares CASCO necesarios.
1. Grupos asesores de ciberseguridad.
Los grupos de seguridad cibernética ejecutan los sitios web y los sistemas back-end de las empresas a través de pruebas rigurosas para ver si hay agujeros en el sistema que puedan permitir una violación. La certificación de BigCommerce fue completada por el grupo asesor de ciberseguridad Coalfire ISO. Coalfire ISO es un organismo de certificación ISO 27001 calificado que garantiza el cumplimiento de BigCommerce con las leyes, regulaciones y estándares de seguridad aplicables.
2. Organizaciones de control de calidad de terceros.
Después de que el grupo asesor de seguridad cibernética evalúe y aborde los riesgos, una organización de control de calidad de terceros puede garantizar que una empresa haya cumplido con todos los estándares requeridos para políticas, procedimientos, procesos y sistemas que administran cualquier tipo de información que fluye a través del negocio. BigCommerce fue evaluado por una organización de control de calidad independiente que aseguró que "establecimos un conjunto formal de políticas, procedimientos, procesos y sistemas que administran los riesgos de la información para su presencia digital y física".
El proceso de certificación y el control de calidad de seguimiento no es un trato de una sola vez. Es un compromiso de tres años de auditorías continuas de procesos realizadas cada seis meses para garantizar que BigCommerce cumpla y complete nuestros planes de mejora de riesgos.
Por qué la norma ISO 27001 es importante para las tiendas de comercio electrónico
No se puede subestimar la importancia de la seguridad de los datos en el comercio electrónico. Los clientes de las tiendas en línea confían en esas tiendas para mantener seguros sus pagos confidenciales y sus datos personales. Cuando su confianza en una empresa se ve dañada por una brecha de seguridad, puede ser difícil recuperarla.
Según una investigación realizada por IBM Security y Ponemon Institute, el costo promedio de una filtración de datos para una empresa es de $3,86 millones a nivel mundial. En EE. UU., el precio medio por infracción es aún mayor:7,91 millones de dólares.
Estas son algunas de las cosas que se pueden perder si una empresa no se toma en serio la seguridad y no mantiene (o trabaja con una plataforma que mantiene) un enfoque sistemático para administrar información confidencial.
1. Seguridad de pago.
Al procesar cientos o incluso miles de pagos de clientes, necesitará un sistema que esté fuertemente protegido para que no se escape información importante. Hay una razón por la cual las empresas de comercio electrónico son la industria atacada con más frecuencia. Son un objetivo popular para los piratas informáticos porque contienen mucha información, como los datos de las tarjetas de crédito y débito de sus clientes. Su sitio es el guardián de esa información confidencial y es de vital importancia que mantenga los más altos estándares de seguridad para protegerla.
2. Información del cliente.
La información de pago no es la única información confidencial que tiene sobre sus clientes en la que los piratas informáticos pueden estar interesados. La información de los clientes, como nombres, direcciones, números de teléfono y direcciones de correo electrónico, puede estar en riesgo cuando se aloja en un sitio no seguro.
3. Confianza del cliente.
La confianza del cliente a lo largo del viaje del comprador es una parte importante de la experiencia general del cliente. Desea que sus clientes tengan un fuerte sentimiento de confianza en su marca. Perder esa confianza puede enviarlos a sus competidores. Dejar que los clientes sepan que tiene su mejor interés en el corazón es la mejor manera de mantener relaciones a largo plazo con los clientes. Al elegir una plataforma con certificación ISO/IEC 27001:2013, puede asegurar a sus clientes que estarán seguros en cada parte de su sitio.
Conclusión
BigCommerce se entusiasmó al anunciar nuestra certificación ISO/IEC 27001:2013 esta primavera porque representa una gran cantidad de trabajo para garantizar que nuestros procesos y tecnología estén alineados para mitigar el riesgo y proteger los datos de nuestros clientes.
Más importante aún, demuestra nuestro compromiso de hacer de la seguridad de la información una de nuestras máximas prioridades. Esto es algo que todo comerciante debe tener en cuenta al elegir o adoptar una plataforma de comercio electrónico. No se debe dejar nada al azar ni al riesgo, y la evaluación de una plataforma por su postura de seguridad, compromiso y certificación debe ser un requisito.
El comercio electrónico es una industria enorme, y aún en crecimiento, que se espera que alcance los $604 mil millones en ventas para 2020. A medida que más y más personas confían en las tiendas en línea para proteger sus datos, no puede permitirse el lujo de tener un sitio inseguro.
Mantenga seguros los datos de sus clientes y la propiedad intelectual construyendo sobre una plataforma que cumple con la norma ISO/IEC 27001:2013 y mantiene los niveles más altos de cumplimiento de PCI.
Negocio
- ¿Cuál es el significado de venta de activos?
- ¿Cuál es el significado del dinero convertible?
- ¿Qué es el uso de información privilegiada y es ilegal?
- Cartonización:¿Qué es y cómo puede ayudar?
- ¿Qué es omnicanal? Beneficios y estrategias
- ¿Qué es "riesgo y rentabilidad"?
- ¿Qué es una formación de copa y mango?
- ¿Qué es el seguro contra errores y omisiones?
- Presupuesto:qué es y cómo hacerlo
-
¿Qué es Comprar y Construir?
La estrategia de compra y construcción es cuando una empresa expande sus operaciones adquiriendo una empresa de plataforma con experiencia desarrollada que luego puede construir. Cuando una empresa re...
-
Regla del 72:que es y como se usa
¿Qué es la regla del 72? La Regla del 72 es un cálculo que estima la cantidad de años que se necesitan para duplicar su dinero a una tasa de rendimiento específica. Si, por ejemplo, su cuenta gana u...