„Crowdpear“ gavo ISO/IEC 27001:2022 sertifikatą ir tapo pirmąja sutelktinio finansavimo platforma Lietuvoje, atitinkančia pasaulyje pirmaujantį informacijos saugos valdymo sistemos (angl. ISMS – Information Security Management Systems) standartą.
Platformos auditą atliko akredituota sertifikavimo įmonė „Baltum Bureau“, išsamiai įvertinusi „Crowdpear“ saugumo procesus, kontrolės priemones ir dokumentaciją.
„Finansinės paslaugos ir IT sauga yra neatsiejamos, todėl atsakingas informacijos saugos valdymas visada buvo vienas iš „Crowdpear“ prioritetų. ISO/IEC 27001:2022 sertifikato gavimas nėra galutinis rezultatas, tai – nuolatinis procesas. Šis sertifikatas patvirtina mūsų esamų kontrolės priemonių brandą, o mes ir toliau tobulinsime, stiprinsime ir palaikysime IT sistemų ir informacijos saugumą, siekdami ilgalaikio atsparumo vidinėms ir išorinėms grėsmėms“, – sako Arūnas Lekavičius, vienas iš „Crowdpear“ akcininkų, atsakingų už platformos verslo plėtrą.
Ką verslui reiškia ISO/IEC 27001:2022?
ISO/IEC 27001:2022 suteikia „Crowdpear“ formalizuotą, struktūruotą informacijos saugos valdymo sistemą. Rizikos yra identifikuojamos ir valdomos pagal aiškią metodologiją, grįstą tarpusavyje susietomis politikomis, procesais, atsakomybėmis ir kontrolės priemonėmis. Tai apima ir naujausias standarto sritis, tokias kaip tiekėjų valdymas, saugi programų kūrimo ir diegimo praktika bei incidentų valdymas.
Platformai tai reiškia mažiau incidentų ir sutrikimų, geresnį suderinamumą su ES ir Lietuvos reguliaciniais reikalavimais, labiau prognozuojamą komandų veiklą bei patikimus įrodymus patikrinimams ir auditams.
Sertifikavimas stiprina klientų pasitikėjimą, kad jų lėšos ir asmens duomenys yra apsaugoti, ir suteikia nepriklausomą patvirtinimą, jog platforma valdo su informacijos sauga susijusias rizikas pagal tarptautiniu mastu pripažintą saugumo standartą. Tai palengvina išsamų partnerių vertinimą (angl. due diligence), mažina nuostolių riziką dėl saugumo pažeidimų ar veiklos sutrikimų ir didina „Crowdpear“ patikimumą bei konkurencingumą sutelktinio finansavimo ir „FinTech“ rinkoje.
Be to, „Crowdpear“ reguliariai atlieka metinius nepriklausomų ekspertų vykdomus IT sistemų testavimus (angl. penetration testing), kurie papildomai patvirtina saugumo kontrolės priemonių veiksmingumą ir platformos atsparumą kibernetinėms grėsmėms.
Atitiktis DORA reglamentui
ISO/IEC 27001:2022 sustiprina „Crowdpear“ atitiktį pagrindiniams ES teisės aktams ir palaiko nuolatinę įmonės investiciją į saugumą bei operacinį atsparumą.
„Crowdpear“ turi paskirtą IRT (informacijos ir ryšių technologijų) saugos specialistą ir aiškiai paskirstytas atsakomybes pagal trijų apsaugos linijų modelį. Šį modelį papildo sukurti procesai, užtikrinantys struktūruotą IRT rizikų valdymą, incidentų klasifikavimą ir ataskaitų teikimą, įmonės turto ir jo svarbos (kritiškumo) įmonės procesams identifikavimą, veiklos tęstinumo užtikrinimą, centralizuotą žurnalų valdymą ir nuolatinę stebėseną, taip pat atsakingą tiekėjų ir trečiųjų šalių IRT rizikų priežiūrą.
Gavusi ISO/IEC 27001:2022 sertifikatą, „Crowdpear“ ir toliau stiprina operacinį atsparumą bei didina vidinius gebėjimus pagal Skaitmeninės veiklos atsparumo finansų sektoriuje reglamento (DORA, angl. Digital Operational Resilience Act) reikalavimus.
BDAR laikymosi užtikrinimas
„Crowdpear“ atitiktį BDAR palaiko formalizuota privatumo valdymo sistema ir duomenų apsaugą prižiūrintis pareigūnas. ISO/IEC 27001:2022 sustiprina pagrindines BDAR sritis, tokias kaip duomenų apsaugos politika ir dokumentuotos procedūros, rizikos vertinimai ir privatumą užtikrinantys principai, prieigos kontrolė ir saugus asmens duomenų tvarkymas, žurnalų fiksavimas, stebėsena ir auditas, tiekėjų ir duomenų tvarkytojų rizikos valdymas, incidentų valdymas, įskaitant asmens duomenų pažeidimų nagrinėjimą.
„Crowdpear“ ir toliau investuoja į duomenų apsaugos pajėgumus ir siekia dar labiau stiprinti saugumo bei privatumo kontrolės priemones, atsižvelgdama į kintančius BDAR reikalavimus.
