La fintech Tarjetas Peruanas, matriz de la marca Ligo, obtuvo una certificación de seguridad de la información (ISO 27001) para fortalecer su estrategia de expansión en LatAm, un requisito que le llevó a enfrentar doce meses de auditorías y a hacer ajustes internos.
“Es un esfuerzo que lo impulsamos para nuestra expansión que estamos haciendo a nivel LatAm. Queremos abrir mercados en otros países”, dice a iupana Ángel Moreno, CISO en Tarjetas Peruanas, una fintech que tiene marcas como Ligo y La Mágica.
ISO 27001 es el estándar global para gestionar la seguridad de la información. Garantiza que la empresa aplica controles para prevenir ciberataques y cumplir con normativas, factores críticos para fintechs que buscan crecer en América Latina en un contexto de ciberamenazas crecientes.
“Queremos tener muchos sellos, no solamente ISO 27000, sino en un futuro cercano otras certificaciones internacionales de ciberseguridad, para certificar también en otros nichos de mercado que son importantes a nivel de transacción y de seguridad de información como tal”, complementa Moreno. Fintechs de la región, como Pomelo, Tapi y Syncfy también han optado por certificarse en este estándar, con el fin de demostrar procesos seguros.
Aunque por regla general las certificaciones no son obligatorias ante reguladores, en aproximaciones comerciales y de negocio la pregunta sobre si cuentan con ellas siempre surge.
Así que la seguridad ya no es un plus que ofrecen las fintechs, sino un requisito para competir. Las que no inviertan en certificaciones quedarán fuera de mercados regulados y dejarán de ser atractivas para clientes corporativos e inversionistas.
“Clientes estratégicos muy importantes de la región no es que lo exigen, pero lo primero que preguntan antes de empezar una negociación para consumir nuestros servicios es: ‘¿tienen una certificación ISO 27001?’”, revela Gustavo Aldegani, especialista que asesoró a la empresa durante el proceso.
Un proceso ni rápido ni fácil
En entrevista con iupana, el equipo de seguridad de Tarjetas Peruanas asegura que la certificación es un diferencial frente a sus competidores, pues protege su reputación, optimiza los procesos y mitiga los riesgos.
“No es un proceso rápido ni fácil porque finalmente viene un ente externo e imparcial que hace una auditoría aleatoria. Verifican tus controles, tus procesos, tus procedimientos, tu documentación”, cuenta Moreno.
Explica que optaron por iniciar con ISO 27001 porque ofrece una visión integral de la seguridad de la información, frente a PCI, que se centra en pagos con tarjeta, un objetivo que la empresa proyecta para etapas posteriores.
“Los procesos que teníamos más maduros en ese momento se acercaban más a ISO 27000. Es un proceso de maduración y pensábamos que, por velocidad, era más cercano”, sentencia el ejecutivo.
* Se cambió en el titular «Tarjetas Peruanas» por el nombre comercial «Ligo» a solicitud de la empresa. Se añadió la misma referencia en el primer párrafo. Cambio hecho el 4/09/2025.