Compliance con seguridad real

Te pidieron la ISO 27001.
Nosotros nos encargamos.

Preparación completa para certificar, con pentesting manual incluido. Sin plataformas, sin suscripciones. Profesionales que te acompañan de principio a fin hasta la certificación internacional. Tú ocúpate de tu negocio.

Agendar Demo

Te preparamos para cumplir con

ISO 27001 ISO 9001 SOC 2 Type I SOC 2 Type II PCI DSS HIPAA Regulación BCRA

Comunicación "A" 8398 — BCRA

Si eres PSP, tienes hasta el 4 de agosto de 2026 para cumplir.

El 5 de febrero de 2026, el BCRA incorporó a todos los Proveedores de Servicios de Pago registrados como sujetos obligados del texto ordenado de "Requisitos Mínimos para la Gestión y Control de los Riesgos de Tecnología y Seguridad de la Información".

Las obligaciones que antes aplicaban exclusivamente a entidades financieras ahora rigen para todos los PSP incluidos en el Registro del BCRA:

< 5 meses

Plazo para cumplir (4 de agosto de 2026)

60 min

Para reportar ciberincidentes críticos al BCRA (Com. "A" 8280)

Art. 41

Sanciones: multas, inhabilitación y revocación (Ley 21.526)

Gestión de vulnerabilidades

Evaluaciones de seguridad periódicas con pentesting manual y remediación documentada. Operaciones de seguridad formalizadas.

Gestión de ciberincidentes

Plan de respuesta probado con ejercicios y simulacros. Reporte al BCRA en menos de 60 minutos ante incidentes críticos, con actualizaciones frecuentes e informe final en 5 días corridos.

Continuidad de negocio

Marco formal con análisis de impacto, estrategias de recuperación, mecanismos de ciberresiliencia y pruebas periódicas documentadas.

Gobierno de seguridad de la información

Roles y responsabilidades definidos desde el directorio, comité de tecnología y seguridad de la información, y segregación formal de funciones.

Gestión de riesgo con terceros

Marco formal de notificación previa, evaluación, formalización, monitoreo y control de proveedores y terceras partes.

Sanciones por incumplimiento

Apercibimientos, multas, inhabilitación de directivos y revocación de la autorización para operar (Art. 41, Ley 21.526, aplicable a PSP por punto 1.5 del T.O. de PSP).

Lo que nadie te dice del compliance.

Las plataformas de compliance automatizado te venden eficiencia pero te entregan una ilusión. El panel te muestra todo en verde mientras tu infra tiene roles IAM mal configurados, logs desactivados y encriptación sin implementar.

Además, pagas una suscripción anual por la plataforma — y sigues necesitando contratar un pentest aparte que el auditor realmente acepte. Eso no es eficiencia. Es un gasto innecesario.

Armamos Merlano Compliance porque la seguridad tiene que venir primero, el compliance viene solo después.

82%

de clientes enterprise exigen ISO 27001 antes de firmar contrato

USD 2.7M

costo promedio de una brecha de datos en Latinoamérica

0 ataques reales

simula una plataforma de compliance

La Realidad

Deja de pagar por compliance que no te protege.

Lo que las plataformas no te dicen — y por qué empezar por la seguridad es lo único que realmente funciona.

Característica	Merlano Compliance	Plataformas de compliance
Pentesting real Testeo manual que encuentra lo que los scanners no ven	✓ Incluido Lo hace Merlano Defense	✗ No incluido Tienes que contratarlo aparte
Precio claro Lo que pagas hoy vs. lo que pagas mañana	✓ Precio fijo por proyecto Sin suscripción anual	✗ Aumentos del 20-60% Contratos anuales que te atan
Confianza del auditor ¿El auditor acepta la evidencia o pide explicaciones?	✓ Evidencia armada por expertos Nosotros hablamos con el auditor	⚠ Los auditores desconfían La evidencia automatizada genera roces
Ayuda para remediar ¿Te ayudan a arreglar lo que encuentran?	✓ Remediación activa y directa Te ayudamos a resolverlo, no solo a señalarlo	✗ Solo el panel "Resuélvelo tú"
¿Seguridad real? El panel muestra verde, pero ¿estás realmente seguro?	✓ Seguridad primero Testeo real, problemas reales	✗ "Verde" no es seguro El monitoreo automático se pierde lo grave
¿Qué obtienes? Lo que realmente recibes	✓ Listo para auditar y realmente seguro El compliance sale de hacer bien la seguridad	⚠ Compliance de papel Seguridad de mentira

Todo lo que necesitas.
Nada de más.

Te acompañamos de principio a fin hacia la ISO 27001: desde evaluar tu punto de partida hasta la sesión con el auditor. Sin suscripciones de software — servicio experto que te lleva a la certificación y te deja realmente seguro.

Análisis de brechas

Revisamos tu situación actual respecto a lo que exige ISO 27001 (y SOC 2 / ISO 9001 si corresponde). Te indicamos exactamente qué falta — sin ambigüedades, sin checklists genéricos.

Políticas y procedimientos

Políticas del SGSI hechas a medida de cómo funciona tu empresa. No templates genéricos que nadie lee — documentación que refleja la operación real.

Implementación de controles

Trabajamos junto a tu equipo para implementar los controles técnicos y administrativos. No entregamos un PDF con lo pendiente — te ayudamos a resolverlo.

Recolección de evidencia

Armamos la carpeta de evidencia que los auditores van a pedir: configuraciones, logs, documentación ordenada exactamente como ellos la quieren ver.

Penetration test

Test de intrusión manual completo, ejecutado por Merlano Defense. No es un scan automático — es una simulación real de ataque con resultados vinculados a los requisitos de tu certificación.

Coordinación con el auditor

Nos encargamos de hablar con el auditor, responder lo que solicite y gestionar todo el intercambio de evidencia. Tú ocúpate de tu negocio.

Con la fuerza de Merlano Defense.

Cada proyecto de Merlano Compliance viene con un pentest completo hecho por nuestro equipo de seguridad ofensiva. No es un extra ni un upsell — es parte central de cómo trabajamos.

Mientras las plataformas ejecutan escaneos automáticos que tildan casillas, nosotros testeamos tus sistemas manualmente, como lo haría un atacante real. El resultado: evidencia que el auditor acepta sin objeciones, y seguridad en la que puedes confiar.

Merlano Defense

Seguridad Ofensiva

Testeo manual

Profesionales de seguridad, no scanners. Encontramos lo que las herramientas automáticas no detectan.

Vinculado a tu framework

Cada hallazgo queda vinculado a ISO 27001, SOC 2, NIST, OWASP y más de 15 estándares.

Retest incluido

Cuando corriges, volvemos a testear. El auditor ve la prueba de que las vulnerabilidades se resolvieron.

Reportes listos para auditoría

Resumen ejecutivo para la dirección, detalle técnico para tu equipo, evidencia lista para el auditor.

Durante el pentesting no solo se enfocaron en "encontrar vulnerabilidades", sino que realmente nos acompañaron en el proceso completo: informes intermedios, reuniones periódicas para revisar hallazgos en detalle, y algo que valoro mucho es que no se quedaron en el diagnóstico — nos ayudaron activamente con recomendaciones concretas y accionables para corregir cada punto, priorizando por impacto y riesgo.

El proceso fue muy ordenado y transparente, lo cual para nosotros fue clave, especialmente porque queríamos avanzar rápido con las remediaciones sin perder calidad ni contexto técnico.

Hoy estamos en la etapa de retest y el acompañamiento sigue siendo impecable. Sin dudas, es un equipo al que volveríamos a elegir y que recomendamos totalmente para cualquier empresa que quiera mejorar su postura de seguridad de manera seria y profesional.

Marcelo Sanchez

CTO & Founder @

Preguntas frecuentes.

¿En qué se diferencia de una plataforma de compliance?

Las plataformas venden software que automatiza la recolección de evidencia, pero luego tienes que contratar el pentesting por tu cuenta, gestionar la remediación solo, y además muchos auditores desconfían de la evidencia generada automáticamente. Con nosotros tienes servicio experto de principio a fin con pentesting real incluido, a precio fijo y sin suscripciones que aumentan cada año.

¿Ustedes hacen la auditoría oficial?

No. La auditoría de certificación la hace un organismo acreditado. Nosotros hacemos todo lo demás: análisis de brechas, remediación, políticas, implementación del SGSI, armado de evidencia, pentesting y la coordinación con el auditor. Te dejamos listo para aprobar; el auditor pone la firma.

¿Cuánto se tarda en estar listo para ISO 27001?

Depende de tu punto de partida, pero en general entre 3 y 6 meses para tener el SGSI implementado y listo para la auditoría. En la primera llamada te entregamos un cronograma realista basado en tu situación.

¿Qué incluye el penetration test?

Una evaluación manual completa hecha por Merlano Defense: superficie de ataque externa, seguridad de las aplicaciones y controles internos relevantes para tu certificación. No es un scan automático — es testeo de seguridad real con cada resultado vinculado a lo que pide la norma. El retest después de remediar está incluido.

¿Cuál es el costo?

Cotizamos por proyecto según alcance, complejidad y nivel de madurez de seguridad. No cobramos por empleado ni por framework como las plataformas. En general, el costo es comparable a un año de plataforma + pentest tercerizado, pero en lugar de software que tienes que gestionar solo, recibes un equipo experto que lo resuelve contigo. Agenda una llamada y te enviamos una cotización detallada.

¿Hacen SOC 2 e ISO 9001 también?

Sí. Hacemos preparación completa para ISO 27001, SOC 2 (Type I y Type II) e ISO 9001. Muchos clientes comienzan con ISO 27001 y luego suman SOC 2 para clientes internacionales o ISO 9001 para demostrar madurez operativa. Los frameworks comparten gran parte de los controles, por lo que abordarlos en conjunto resulta más rápido y más eficiente.

¿Cubren los requisitos del BCRA para PSP?

Sí. Desde que la Comunicación "A" 8398 incorporó a los PSP como sujetos obligados, ofrecemos un programa específico que cubre las exigencias del texto ordenado de "Requisitos Mínimos para la Gestión y Control de los Riesgos de Tecnología y Seguridad de la Información": gobierno de seguridad, gestión de vulnerabilidades con pentesting incluido, plan de respuesta a ciberincidentes con ejercicios (alineado a la Com. "A" 8280), continuidad de negocio y gestión de riesgo con terceros. Te preparamos para estar en cumplimiento antes del 4 de agosto de 2026.

¿Certificar ISO 27001 me hace cumplir con la regulación del BCRA?

No automáticamente, pero están muy relacionados. Un PSP que implemente ISO 27001 correctamente tiene cubierto aproximadamente un 70-80% de lo que exige la Com. "A" 8398. Sin embargo, el BCRA tiene requisitos específicos del sector financiero que ISO 27001 no cubre: reportar ciberincidentes al BCRA en menos de 60 minutos (Com. "A" 8280), notificar tercerizaciones críticas a la SEFyC con 60 días de anticipación, y realizar pruebas de vulnerabilidades por terceros independientes sobre aplicaciones que manejen datos de clientes, entre otros. De hecho, la propia norma del BCRA (Sección 1.2) indica que las entidades deben promover "la adopción de marcos de referencia y estándares internacionales que permitan complementar los requisitos mínimos" — ISO 27001 es exactamente eso. Lo que ofrecemos es el camino más eficiente: el framework ISO 27001 como base, la adecuación regulatoria BCRA específica, y el pentesting obligatorio incluido. Las tres cosas en un solo proyecto.

Deja de postergarlo

Esa certificación no se va
a conseguir sola.

Agenda una demo. Evaluamos tu punto de partida y te entregamos un cronograma realista para llegar a la certificación.