O que é Certificação ISO? Significado ISO e conquista ISO 27001 da BigCommerce
Na BigCommerce, ficamos empolgados em receber a certificação ISO/IEC 27001:2013. No entanto, ao contrário de ganhar uma medalha de ouro olímpica no esqui alpino ou um Prêmio Nobel de economia, nem todos podem saber imediatamente por que estamos tão empolgados com isso ou qual o valor de ter uma certificação de padrão de segurança da informação para nossos clientes.
Neste mergulho profundo, veremos:
- O que a certificação ISO realmente significa,
- Quem é a ISO e o que ela faz,
- Quem fornece testes de segurança ISO e, em última análise,
- O que isso significa para sua loja de comércio eletrônico.
O que é Certificação ISO?
Em primeiro lugar, ISO significa Organização Internacional para Padronização. Esta é a organização que desenvolve e publica normas para organizações internacionalmente. No entanto, não é a organização que realmente faz a certificação (mais sobre isso abaixo).
A ISO foi fundada em 1947, quando delegados de 25 países se reuniram em Londres no Institute of Civil Engineers com a intenção de facilitar a coordenação internacional sobre padrões industriais. Hoje, o grupo é composto por membros de 164 países que trabalham juntos para desenvolver as normas ISO.
O que exatamente queremos dizer com padrões? De acordo com o site da ISO, eles criam os “documentos que fornecem requisitos, especificações, diretrizes ou características que podem ser usadas para garantir consistentemente que materiais, produtos, processos e serviços sejam adequados ao seu propósito”.
A certificação ISO significa que uma empresa tem:
- Sistemas de gestão de alta qualidade,
- Segurança de dados,
- Estratégias de aversão ao risco e
- Práticas comerciais padronizadas.
As empresas certificadas pela ISO precisam passar por uma rigorosa avaliação de conformidade por meio de testes e inspeções por um grupo terceirizado especializado nesse padrão. As empresas que passam nessas avaliações demonstram que atingiram o padrão associado específico.
Ao obter uma certificação, fornece aos consumidores e outras partes interessadas confiança nos sistemas do negócio e garante que as condições relevantes de segurança, saúde ou meio ambiente estejam sendo atendidas.
Em que se especializa a ISO 27000
A ISO publicou mais de 22.000 normas sobre tudo, desde saúde e segurança até gestão de alimentos e desenvolvimento sustentável. Eles dão às empresas de todos os setores algo a que aderir à medida que alinham suas tecnologias e práticas para garantir um nível de qualidade mensurável e consistente.
A família de padrões ISO/IEC 27000 refere-se às melhores práticas para gerenciar dados seguros, como informações financeiras, propriedade intelectual ou realmente qualquer informação confiada a uma empresa por terceiros.
A ISO/IEC 27001:2013, dentro dessa família de normas, especifica os requisitos para “estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação no contexto da organização”.
A certificação ISO/IEC 27001:2013 é a única norma internacional auditável que define os requisitos de um sistema de gestão de segurança da informação. Empresas como BigCommerce que são certificadas ISO/IEC 27001:2013 demonstram uma adesão a essas práticas recomendadas para segurança de dados e sistemas de gerenciamento de segurança rigorosos. Aqui estão alguns exemplos do que isso inclui.
1. Dados seguros.
Conforme explicado acima, os padrões ISO/IEC 27000 criam regulamentos que ajudam a definir como é um sistema de gerenciamento de segurança da informação seguro. Proteger os dados presentes em todos os seus sistemas é uma das conquistas mais rigorosas do setor de SaaS.
2. Gerenciamento de riscos.
O gerenciamento de risco para grandes empresas é difícil de planejar completamente e muitas vezes requer uma abordagem estruturada. Existem padrões separados que tratam especificamente do gerenciamento de riscos (ISO 31000), mas o ISO 27000 ainda se aplica em termos de como a proteção de dados pode garantir menos riscos para uma empresa de violações de dados. A certificação ISO significa que uma empresa estabeleceu planos para gerenciamento de riscos e está fazendo um trabalho exemplar de manter a segurança e minimizar os riscos.
3. Práticas comerciais seguras.
Como os padrões ISO 27000 tratam das melhores práticas em sistemas de segurança da informação, a conformidade com os padrões relacionados à TI e à segurança deve ser verificada em todos os níveis para obter a certificação ISO 27001:2013. No geral, essa certificação comprova que uma empresa está agindo de forma profissional e ética, planejando o futuro e respeitando a privacidade e a segurança dos dados.
Explicação da certificação ISO 27001 do BigCommerce
Agora que você tem uma ideia geral do que significa a certificação ISO - e particularmente a ISO/IEC 27001:2013 - vamos mergulhar no processo de certificação:quais etapas foram superadas e quais caixas foram marcadas para provar que BigCommerce está mantendo o máximo em padrões de informação.
Depois de entender todo o processo rigoroso e os padrões que devem ser alcançados, ficará mais claro por que BigCommerce é uma das poucas plataformas de comércio eletrônico SaaS a obter essa certificação.
Para obter a certificação, as empresas devem passar por um processo de planejamento de seis partes que inclui todos os itens a seguir.
1. Políticas de segurança.
A empresa deve fornecer especificações que detalhem suas políticas de segurança, incluindo documentação, quem é responsável pelo gerenciamento e como as auditorias internas são conduzidas. BigCommerce atendeu ou excedeu os padrões para políticas de segurança definidas.
2. Escopo do SGSI.
A segunda parte do processo de planejamento define o escopo do sistema de gestão de segurança da informação que busca a certificação. O SGSI precisa mostrar melhoria contínua e ações corretivas e preventivas que foram tomadas para garantir a mais alta segurança. O escopo e o roteiro do BigCommerce ISMS atenderam ou excederam o padrão necessário.
3. Avaliações de risco.
Para melhor gerenciar e prevenir riscos, o negócio em questão deve avaliar todos os riscos potenciais. BigCommerce avaliou o risco em sua organização e atendeu ou superou os padrões.
4. Riscos identificados.
Mais uma vez, a melhor maneira de mitigar o risco é estar ciente dele – limitar as incógnitas desconhecidas e trazer à tona quaisquer responsabilidades potenciais. BigCommerce está atualmente gerenciando riscos identificáveis para garantir a segurança e a satisfação do cliente.
5. Selecione objetivos de controle.
O padrão 27001 não exige controles específicos de segurança da informação, mas sugere objetivos de controle específicos que devem ser atendidos. BigCommerce leva isso a sério e atendeu aos objetivos de segurança necessários.
6. Declaração de aplicabilidade.
Depois de passar pelas primeiras cinco etapas do processo, BigCommerce solicitou a certificação ISO/IEC 27001:2013 e a recebeu!
O que isso significa para nossos clientes
A razão pela qual BigCommerce optou por seguir este rigoroso processo de certificação é pelo valor que pode fornecer aos nossos clientes. Esta certificação demonstra nosso compromisso com as práticas de segurança, conformidade e regulamentação da informação. Isso proporciona aos nossos clientes a tranquilidade em relação a todos os seguintes:
1. Segurança de site de classe mundial.
Os sites de comércio eletrônico não podem se dar ao luxo de ter uma segurança inferior ou inconsistente. Ao criar seu site de comércio eletrônico na plataforma BigCommerce, você pode ter certeza de que seu site permanecerá ativo e seguro.
2. IP protegido.
É claro que, embora os dados de seus clientes sejam incrivelmente importantes para proteger, não são as únicas informações confidenciais em seu sistema. Ao trabalhar com uma plataforma que valoriza a segurança da informação e possui uma credencial comprovada para isso, você pode ter certeza de que qualquer propriedade intelectual em seu site é mantida segura dentro dos sistemas da BigCommerce.
3. Proteção contra ataques DDoS.
Um ataque distribuído de negação de serviço (DDoS) é uma tentativa maliciosa de interromper o fluxo de tráfego normal e o funcionamento de um site sobrecarregando o servidor ou a rede. Como o BigCommerce adicionou medidas de segurança adicionais e práticas recomendadas, você não precisa se preocupar com um ataque DDoS em seu site ou no nosso.
Quem fornece testes de qualidade ISO?
Conforme mencionado acima, a ISO fornece os padrões, mas na verdade não fornece certificações para avaliar se uma empresa atendeu ou não a esses padrões. Em vez disso, eles têm um comitê, CASCO, que trata da avaliação da conformidade.
Para realmente obter a certificação, uma empresa deve passar por um grupo de certificação de terceiros que atenda aos padrões CASCO necessários.
1. Grupos consultivos de segurança cibernética.
Grupos de segurança cibernética executam sites e sistemas de back-end de empresas por meio de testes rigorosos para verificar se há falhas no sistema que possam permitir uma violação. A certificação da BigCommerce foi concluída pelo grupo consultivo de segurança cibernética Coalfire ISO. A Coalfire ISO é um organismo de certificação ISO 27001 qualificado que garante a conformidade da BigCommerce com as leis, regulamentos e padrões de segurança aplicáveis.
2. Organizações de controle de qualidade de terceiros.
Depois que o grupo consultivo de segurança cibernética avalia e aborda os riscos, uma organização de controle de qualidade terceirizada pode garantir que uma empresa atenda a todos os padrões necessários para políticas, procedimentos, processos e sistemas que gerenciam qualquer tipo de informação que flui pela empresa. BigCommerce foi avaliado por uma organização independente de controle de qualidade que garantiu que "estabelecemos um conjunto formal de políticas, procedimentos, processos e sistemas que gerenciam os riscos de informações para sua presença digital e física".
O processo de certificação e controle de qualidade de acompanhamento não é um negócio único. É um compromisso de três anos de auditorias de processo contínuas realizadas a cada seis meses para garantir que BigCommerce esteja em conformidade e concluindo nossos planos de melhoria de risco.
Por que a ISO 27001 é importante para lojas de comércio eletrônico
A importância da segurança de dados no comércio eletrônico não pode ser exagerada. Os clientes de lojas online confiam nessas lojas para manter seus pagamentos confidenciais e dados pessoais seguros. Quando sua confiança em uma empresa é prejudicada por uma violação de segurança, pode ser difícil recuperá-la.
De acordo com uma pesquisa da IBM Security e do Ponemon Institute, o custo médio de uma violação de dados para uma empresa é de US$ 3,86 milhões globalmente. Nos EUA, o preço médio por violação é ainda maior:US$ 7,91 milhões.
Aqui estão algumas das coisas que podem ser perdidas se uma empresa não levar a segurança a sério e manter (ou trabalhar com uma plataforma que mantenha) uma abordagem sistemática para gerenciar informações confidenciais.
1. Segurança de pagamento.
Ao processar centenas ou até milhares de pagamentos de clientes, você precisará de um sistema fortemente protegido para que nenhuma informação importante escape. Há uma razão pela qual as empresas de comércio eletrônico são o setor mais atacado. Eles são um alvo popular para hackers porque possuem muitas informações, como dados de cartão de crédito e débito de seus clientes. Seu site é o guardião dessas informações confidenciais e é de vital importância que você mantenha os mais altos padrões de segurança para protegê-las.
2. Informações do cliente.
As informações de pagamento não são os únicos dados confidenciais que você tem sobre seus clientes nos quais os hackers podem se interessar. Informações de clientes, como nomes, endereços, números de telefone e endereços de e-mail, podem estar em risco ao hospedar em um site não seguro.
3. Confiança do cliente.
A confiança do cliente em toda a jornada do comprador é uma parte importante da experiência geral do cliente. Você quer que seus clientes tenham um forte sentimento de confiança em sua marca. Perder essa confiança pode enviá-los para seus concorrentes. Deixar os clientes saberem que você tem o melhor interesse deles no coração é a melhor maneira de manter relacionamentos de longo prazo com os clientes. Ao escolher uma plataforma com certificação ISO/IEC 27001:2013, você pode garantir aos seus clientes que eles estarão seguros em todas as partes do seu site.
Conclusão
BigCommerce teve o prazer de anunciar nossa certificação ISO/IEC 27001:2013 nesta primavera porque representa muito trabalho para garantir que nossos processos e tecnologia estejam alinhados para mitigar riscos e proteger dados para nossos clientes.
Mais importante, ele demonstra nosso compromisso em tornar a segurança da informação uma de nossas maiores prioridades. Isso é algo que todo comerciante deve considerar ao escolher ou adotar uma plataforma de comércio eletrônico. Nada deve ser deixado ao acaso ou risco, e avaliar uma plataforma quanto à sua postura de segurança, compromisso e certificação deve ser um requisito.
O comércio eletrônico é um setor enorme — e ainda em crescimento — que deve atingir US$ 604 bilhões em vendas até 2020. À medida que mais e mais pessoas confiam nas lojas on-line para proteger seus dados, você não pode se dar ao luxo de ter um site inseguro.
Mantenha os dados e a propriedade intelectual de seus clientes seguros construindo em uma plataforma que seja ISO/IEC 27001:2013 e mantenha os mais altos níveis de conformidade com PCI.
-
O que é atenção plena? E devo meditar?
Você se sente regularmente oprimido e inquieto? Esses sentimentos surgem sem um motivo claro? Isso acontece com todos nós. Durante esses momentos, nos sentimos mal. Tomamos as decisões erradas. E ce
-
Significado de SKU - O que é um SKU?
SKU (Unidade de manutenção de estoque) é um código de produto que você pode usar para pesquisar e identificar estoque disponível em listas, faturas ou formulários de pedido. É um termo que normalmente
O negócio
-
O que é comprar e construir? A estratégia de compra e construção ocorre quando uma empresa expande suas operações adquirindo uma empresa de plataforma com experiência desenvolvida que pode então desenvolver. Quando um negócio req...
-
Regra de 72:o que é e como usá-lo
Qual é a regra de 72? A Regra dos 72 é um cálculo que estima o número de anos que leva para dobrar seu dinheiro a uma taxa de retorno especificada. Se, por exemplo, sua conta ganha 4 por cento, divi...