El GRC Lead es responsable de construir y operar el marco de governance, riesgo y cumplimiento de Monato, asegurando que los controles técnicos de seguridad estén documentados, mapeados a los requisitos regulatorios y acompañados de la evidencia que exige el regulador financiero, ISO 27001, SOC 2 y PCI-DSS.
Este rol conecta los programas técnicos de seguridad (IAM, Cloud Security, SecOps) con las obligaciones regulatorias y los estándares de cumplimiento. Su objetivo principal es:
- Gestionar el proceso de autorización o licenciamiento como entidad financiera regulada ante los supervisores correspondientes
- Construir y mantener el marco de políticas de seguridad de la información (mínimo 10 políticas en el primer año)
- Asegurar el cumplimiento de políticas de seguridad: gestión de excepciones, seguimiento de desviaciones y reporte al CISO
- Operar el registro de riesgos con seguimiento continuo y reporte a dirección
- Garantizar que la organización esté en posición de superar una auditoría ISO 27001 o SOC 2 en 18 meses
- Gestionar el programa PCI-DSS v4.0: definir el alcance del CDE (Cardholder Data Environment), coordinar con el QSA, dar seguimiento a los 12 requerimientos y mantener la certificación vigente
- Traducir requerimientos regulatorios en acciones concretas para los equipos de producto, ingeniería y operaciones