Resumen Ejecutivo
ISO 27001:2022 es el estándar para Sistemas de Gestión de Seguridad de la Información (SGSI). Define 93 controles organizados en 4 dominios. Para empresas Fintech en México reguladas por la CNBV, y para software houses que buscan clientes enterprise, es la certificación más demandada. Quality College la implementa en 8-12 semanas.
¿Qué es ISO 27001:2022?
ISO 27001 es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). La versión 2022 reestructuró completamente el Anexo A de controles: pasó de 114 controles en 14 dominios (versión 2013) a 93 controles en 4 dominios temáticos.
Para empresas de TI y Fintech en México, ISO 27001 no es un "nice to have" — es un habilitador de negocio. Sin ella, los fondos de inversión no invierten, la CNBV no aprueba licencias fintech, y los clientes enterprise te rechazan en la fase de vendor assessment.
Lo que pocos saben (Insider ISO/IEC JTC 1/SC 27)
La versión 2022 agregó 11 controles nuevos que no existían en 2013. Los más críticos para Fintech: A.5.7 (Threat Intelligence), A.8.11 (Data Masking), A.8.12 (DLP - Data Leakage Prevention), y A.8.23 (Web Filtering). Las empresas que aún operan con controles de la versión 2013 tienen hasta octubre 2025 para hacer la transición o perder la certificación.
Los 4 Dominios de Controles (Anexo A 2022)
| Dominio | # Controles | Ejemplos Clave | Relevancia para Fintech |
|---|---|---|---|
| A.5 Organizacionales | 37 | Políticas, roles, threat intelligence, gestión de activos | Gobernanza de datos, compliance CNBV |
| A.6 Personas | 8 | Screening, concientización, trabajo remoto, terminación | Equipos remotos, onboarding seguro |
| A.7 Físicos | 14 | Perímetros, CCTV, mantenimiento, BYOD | Data centers, oficinas coworking |
| A.8 Tecnológicos | 34 | Desarrollo seguro, logs, DLP, backup, criptografía | SDLC, APIs, cifrado, PCI DSS |
ISO 27001 vs SOC 2: ¿Cuál necesitas?
| Criterio | ISO 27001 | SOC 2 Type II |
|---|---|---|
| Emisor | ISO (Ginebra) | AICPA (EE.UU.) |
| Alcance geográfico | Internacional (189 países) | Principalmente EE.UU./Canadá |
| Certificación | Sí, por OC acreditado | No. Es un reporte de auditor CPA |
| Vigencia | 3 años + vigilancias anuales | 12 meses (requiere renovación anual) |
| Para Fintech MX | ✅ Prioritario (CNBV lo reconoce) | Complementario si tienes clientes USA |
| Costo MX | $200K-$500K MXN | $350K-$800K MXN |
Requisitos Regulatorios Fintech México
Ley Fintech (LRITF)
El Artículo 39 exige "medidas de seguridad de la información" robustas. ISO 27001 es la forma más reconocida de cumplir.
CNBV — Disposiciones Generales
Las ITF (Instituciones de Tecnología Financiera) deben demostrar controles de ciberseguridad. ISO 27001 cubre el 95% de las disposiciones.
LFPDPPP (Datos Personales)
La Ley Federal de Protección de Datos exige "medidas de seguridad administrativas, técnicas y físicas" — los controles de ISO 27001 las cubren directamente.
¿Necesitas ayuda con ISO 27001?
Agenda un diagnóstico gratuito con nuestros consultores senior.