Audiencia 01
Fintech y PSP BCRA
Billeteras virtuales, PSP, exchanges, neobanks y entidades financieras no bancarias que deben demostrar madurez de SGSI ante BCRA, partners bancarios y auditores externos.
Seguridad de la información · fintech AR
Certificación ISO/IEC 27001:2022 en Argentina.
Sistema de Gestión de Seguridad de la Información acreditado por IAS MSCB-113 con reconocimiento IAF MLA. Foco en fintech argentina, billeteras virtuales, PSP regulados por BCRA, software factories exportadoras y empresas que procesan datos personales bajo Ley 25.326. Factura en pesos argentinos con CUIT local.
¿Qué es y para quién?
Qué certifica ISO 27001 y a quién aplica.
ISO/IEC 27001:2022 es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Audita cómo la organización identifica, evalúa y trata riesgos sobre información crítica, con 93 controles del Anexo A organizados en 4 dominios (organizacionales, personas, físicos y tecnológicos).
Audiencia 02
Software factories exportadoras
SaaS B2B, dev shops y consultoras IT argentinas que necesitan ISO 27001 como prerrequisito para vender a clientes UE, EE.UU. (puerta a SOC 2) y banca regional.
Audiencia 03
Salud privada y prepagas
Sanatorios, prepagas, laboratorios y telemedicina que procesan datos sensibles de salud bajo Ley 25.326 y requieren controles formales de privacidad.
Audiencia 04
Operadores de servicios críticos
Empresas de energía, telcos y administradores de infraestructura crítica que necesitan formalizar gestión de ciberincidentes y continuidad operativa.
Audiencia 05
Operadores de datos personales
Empresas que tratan datos personales en escala (ecommerce, CRMs, RR.HH.) y deben demostrar cumplimiento Ley 25.326 ante AAIP y clientes.
→ Contexto regulatorio · Argentina
Compatible con Comunicaciones BCRA A 7724 y A 7783
ISO/IEC 27001:2022 aporta la estructura formal de SGSI que el BCRA exige a entidades financieras y proveedores de servicios de pago en sus Comunicaciones A 7724 (Lineamientos de ciberseguridad) y A 7783 (Requisitos para PSP). No reemplaza el cumplimiento normativo específico, pero documenta la gobernanza, gestión de riesgos, controles y respuesta a incidentes que el regulador espera ver auditados. Para fintech sin licencia BCRA, opera como estándar voluntario que destraba acuerdos con bancos comerciales y partners enterprise.
Cuatro datos para tu próxima reunión
Lo que el directorio tiene que saber.
93 controlesAnexo A · 4 dominios actualizados 2022
Cada 12 mesesAuditoría de vigilancia con G-CERTI
3 añosVigencia del certificado · renovación al ciclo
BCRA-alignedCompatible A 7724 + A 7783 · Ley 25.326
Anexo A · 7 controles auditados
Qué mira el auditor en Etapa 2.
El Anexo A de ISO/IEC 27001:2022 organiza 93 controles en 4 dominios. La auditoría busca evidencia objetiva sobre estos 7 ejes críticos para fintech, software y operadores de datos.
A.5 · Organizacional
Política de seguridad y roles
Política firmada por dirección, segregación de funciones, contactos con autoridades (CERT.ar, AAIP), gestión de proveedores y continuidad ICT.
A.6 · Personas
Screening, concientización y disciplina
Verificación previa al empleo, capacitaciones obligatorias, NDA, política disciplinaria por incumplimiento, controles para teletrabajo.
A.7 · Físico
Perímetro y oficinas seguras
Control de acceso físico, monitoreo, escritorio limpio, eliminación segura de medios, cableado protegido, gestión de equipamiento.
A.8 · Tecnológico
Endpoints, autenticación y criptografía
Autenticación fuerte, gestión de vulnerabilidades, backup verificado, logs centralizados, criptografía aplicada, desarrollo seguro.
A.5.7 · Threat intel
Inteligencia de amenazas
Suscripción a feeds de amenazas, mapeo a TTPs, integración con monitoreo SOC, comunicación de IOC a equipos relevantes.
A.5.23 · Cloud
Seguridad en servicios cloud
Modelo de responsabilidad compartida documentado (AWS, Azure, GCP), evaluación de proveedores cloud, controles sobre datos en tránsito y reposo.
A.5.24-30 · Incidentes
Gestión de incidentes y continuidad
Procedimiento de respuesta, clasificación, escalado, comunicación a autoridades (BCRA, AAIP cuando aplica), lecciones aprendidas, plan BCP/DRP probado.
Proceso · 5 etapas formales AR
Cómo certificás con G-CERTI en Argentina.
Proceso bajo ISO/IEC 17021-1 con plazos comprometidos en contrato. La operación argentina factura en ARS y coordina visitas con auditores locales con experiencia en sistemas cloud y fintech.
| Etapa | Qué pasa | Plazo típico |
|---|---|---|
| 01 · Solicitud | Formulario con alcance, sedes, dotación, sistemas críticos en scope y arquitectura cloud. NDA firmado. | 3-5 días |
| 02 · Cotización ARS | Propuesta formal con mandays IAF MD5, plazos y tarifa en pesos argentinos al BNA del día de emisión. | 5 días hábiles |
| 03 · Etapa 1 | Revisión documental del SGSI, análisis de brechas vs 93 controles, plan de auditoría. Puede ser remota. | 2-3 días |
| 04 · Etapa 2 | Auditoría in-situ con auditor local, entrevistas técnicas, revisión de evidencia (logs, configuraciones, registros), hallazgos. | 3-7 días |
| 05 · Decisión técnica | Comité técnico revisa hallazgos y otorga el certificado con código verificable en gcerti.com.ar/verificar. | 14 días |
Tarifas referenciales · ARS al BNA del día
Rangos orientativos para presupuestar.
Rangos referenciales no vinculantes. La cotización formal depende de alcance, dotación, sistemas críticos en scope, complejidad cloud y multinube. Precio en ARS al tipo de cambio Banco Nación del día de emisión, sin cláusulas dólar-link.
| Perfil organizacional | Dotación | Sistemas en scope | Rango referencial ARS |
|---|---|---|---|
| Fintech temprana / SaaS B2B chico | Hasta 30 personas | 1-2 productos | ARS 4.500.000 – 7.000.000 |
| Fintech con tracción / PSP / software factory | 30 a 100 personas | 3-5 productos | ARS 7.000.000 – 12.000.000 |
| Neobank / exchange / SaaS enterprise | 100 a 300 personas | Múltiples productos · multi-cloud | ARS 12.000.000 – 18.000.000 |
| Banca, salud privada, telcos | 300+ personas | Infraestructura crítica | Cotización a medida |
Lo que incluye: Etapa 1 + Etapa 2 + decisión técnica + emisión de certificado vigente 3 años + 2 vigilancias anuales. No incluye consultoría previa, pentesting, viáticos fuera de AMBA ni recertificación. Factura argentina con CUIT IAC LATAM S.A.
Beneficios documentables
Qué cambia después de certificar.
Beneficios reportados por clientes argentinos de G-CERTI tras 12-24 meses de operación con SGSI certificado.
→ Beneficio comercial
Destraba ventas B2B enterprise
Clientes Fortune 500, banca regional y administración pública nacional exigen ISO 27001 vigente como prerrequisito. Sin certificación, el pipeline se traba en la mesa de seguridad del cliente.
→ Beneficio regulatorio
Diálogo con BCRA y AAIP
La documentación del SGSI alinea con las expectativas de inspectores BCRA y la AAIP en materia de protección de datos personales (Ley 25.326). Reduce hallazgos en supervisiones.
→ Beneficio técnico
Reduce incidentes detectados
Un SGSI maduro disminuye incidentes reales (no por ocultamiento, sino por mejor higiene técnica). Mejora MTTD y MTTR. Sirve para argumentar primas de ciberseguros.
→ Beneficio internacional
Puerta a SOC 2 Tipo II
Mapping cruzado entre ISO 27001 y SOC 2 ahorra ~40% del esfuerzo si certificás ambos. Para SaaS exportadores a EE.UU., es el camino estándar.
→ Beneficio reputacional
Señal pública verificable
El certificado lleva código único verificable sin registro previo en gcerti.com.ar/verificar. Clientes, prensa y reguladores corroboran vigencia en segundos.
→ Beneficio sistémico
Base para ISO 27701 (privacidad)
Una vez certificado 27001, agregar 27701 (Gestión de Información de Privacidad) es esfuerzo incremental ~25%. Demuestra cumplimiento Ley 25.326 + GDPR + LGPD bajo único marco.
Preguntas frecuentes · contexto argentino
Sobre ISO 27001 en Argentina.
¿ISO 27001 cumple con la Comunicación BCRA A 7724 de ciberseguridad?
ISO 27001 es marco internacional compatible con las Comunicaciones BCRA A 7724 (Lineamientos de Ciberseguridad) y A 7783 (Requisitos PSP). No reemplaza el cumplimiento normativo específico, pero aporta la estructura formal de SGSI que el regulador espera ver auditada. Para entidades financieras y PSP, certificar 27001 facilita el diálogo con inspectores y reduce hallazgos en supervisiones.
¿Sirve para fintech sin licencia BCRA?
Sí. Para fintech, exchanges, neobanks y empresas SaaS sin licencia BCRA, ISO 27001 es estándar voluntario que destraba acuerdos con bancos comerciales (que requieren SGSI maduro a sus partners), partners enterprise y exportación de servicios. También documenta cumplimiento Ley 25.326 ante AAIP.
¿Cuánto cuesta certificar ISO 27001 en Argentina?
Rango referencial entre ARS 4.500.000 y ARS 18.000.000 al tipo de cambio Banco Nación del día, según alcance, dotación, complejidad de sistemas críticos y arquitectura multi-cloud. Cotización formal en 5 días hábiles tras formulario en cotizar.html. Factura en pesos argentinos con CUIT local IAC LATAM S.A.
¿Pueden auditar infraestructura cloud (AWS, GCP, Azure)?
Sí. Auditamos sistemas multi-cloud, on-premise e híbridos. Usamos el modelo de responsabilidad compartida del proveedor cloud para distinguir qué controles aplican a tu organización y cuáles al proveedor de infraestructura. Nuestros auditores tienen experiencia operativa en AWS, Azure, GCP y proveedores regionales.
¿Conviene certificar 27001 + 27701 juntos?
Si tu organización trata datos personales en volumen (fintech, salud, ecommerce, RR.HH., ad-tech), sí. Certificar ISO 27001 + 27701 en una auditoría integrada reduce ~25% el esfuerzo total vs auditarlas por separado. ISO 27701 demuestra cumplimiento Ley 25.326 (AAIP), GDPR (UE) y LGPD (Brasil) bajo un único marco formal.
¿Tu fintech está lista para certificar ISO 27001?
Cotización formal en pesos argentinos en 5 días hábiles · auditores locales con experiencia en fintech BCRA, cloud y software · factura con CUIT argentino · plazos comprometidos en contrato. Sin compromisos hasta firma.
Al enviar el formulario consentís el tratamiento de tus datos personales conforme a la Ley 25.326 de Protección de Datos Personales. Más información en privacy.html.