中堅のスタートアップは情報セキュリティとコンプライアンスにどのように取り組むべきですか？

まず、PCI-DSSに準拠しておらず、支払い情報を処理している場合は、すべてを削除して、最初にこれに対処してください。これに堅牢な方法で対処すると、コンプライアンス活動を活用して、組織向けのより大きな情報セキュリティインフラストラクチャを構築できます。これはあなたの最初のギャップです！

私はあなたがいるところに行ってきました。

リスクアセスメントは通常、組織が開始するべき場所です（そして、あなたはそれを実行するべきです！）が、それはあなたの開発の段階であなたの気を散らすだけであろうと私は推測しています。あなたには、より緊急の課題があります。

PCI-DSSを脅威と見なすべきではなく、受け入れる機会と見なすべきです。 PCI-DSSおよび（SOC 2）をツールとして採用し、何をすべきか、準拠する必要があるインフラストラクチャを定義する必要があります。このステップを「スキップ」せずに、正面からの要求を完全に満たすための規制要件として採用してください。

このアクティビティは、リスクとは別に「実行する必要があるだけのもの」として存在します。初めにこれに焦点を合わせると、議論と政治的緊張が取り除かれます。 PCI-DSSとSOC 2はどちらも外部監査人と専門家のガイダンスを必要とします。まず、これらのことに時間とお金を費やしてください。

ISO 27001またはNISTフレームワーク、あるいはその両方を使用して、PCIの最初のアプローチを設計すると、さらに良い（安全なプロセスとリスクの場合） -DSSとSOC 2は場所を持つことができますが、これは単に中小企業にとって効率的ではなく、直接的な価値が見つかる場所ではありません。最初のステップをうまく実行して成功と価値を得ることができれば、より大きなことをより簡単に行うことができます。

私は「アジャイル」セキュリティのファンです。今すぐ理解して、全体のニーズを明確にしますが、重要な領域に最初に取り組みます（今後のニーズに照らして）。あなたにとって、最初に取り組むべき技術的なセキュリティ問題があります（PCI-DSS）。より大きなフレームワークに照らしてそれらのニーズに対処するアプローチを設計しますが、最初にそれらのニーズに対処します！その後、そこから繰り返しビルドします。

リスク評価は必須です。プロセスに費やす金額の決定は、リスク分析の結果に部分的に基づいているため、これは、実行する必要があるベースラインです。

外部コンサルタントと協力する必要があるかどうかは、顧客や規制当局が資格のある査定者からのコンプライアンス証明書を使用して正式な監査を行うことを要求するか、またはそれらの監査基準に大まかに基づいた非公式の監査を受け入れることができるかどうかに大きく依存します。顧客/規制当局が正式な証明書を要求する場合、外部コンサルタントと協力する以外に選択肢はあまりありません。

それ以外は、関連する監査ドキュメントを検討してくれる従業員がいるかどうか、監査を急いでいるかどうかの問題です。資格のある査定者が監査基準に精通している間は、従業員が監査基準を検討するために追加の時間を割り当てる必要があることを覚えておいてください。このトレーニング時間は、コンサルタントと一緒に行くかどうかを決定する際のコスト計算に含める必要があります。

監査は、資格のあるコンサルタントがいる場合でも、完了するまでに数か月かかることがあります。あなたは、あなたが割り当てた誰が監査を実際にその期間にわたって彼らの主要な役割から外れることができるかを確認する必要があります。