Hvordan Paymenttools opnåede succes med ISO 27001-certificering og samlet compliance-styring

"IO-platformen er nu vores strategiske paraplysystem til styring af hele vores sikkerheds- og compliance-landskab."

Jan Oetting CISO, Betalingsværktøjer

Nøgleforsøg

Lær hvordan Paymenttools:

• Opnåede ISO 27001-certificering på ni måneder
• Brugte IO-platformen til at implementere et robust ISMS og sikre ISO 27001-overholdelse
• Brugte SGG's støtte og ekspertise til at levere succes med certificeringen
• Fortsæt med at udnytte IO-platformen til at administrere hele deres sikkerheds- og compliance-landskab.

Om betalingsværktøjer

Paymenttools er teknologer og betalingseksperter med en dybdegående baggrund inden for detailhandel. Virksomhedens mission er at designe betalinger, der gør livet lettere for alle involverede, fra kassepersonale til slutkunder, og at forbedre shoppingoplevelsen på lang sigt.

Med Paymenttools' rødder i handel forstår teamet, at betalingstransaktioner ikke er en eftertanke, men et strategisk værktøj til moderne forretningsmodeller. De har en holistisk tilgang og overvejer alt fra betalingsprocesser og loyalitetsprogrammer til vores vision om et uafhængigt europæisk betalingssystem.

De er drevet af et fælles mål: at fremtidssikre betalinger med løsninger, der fungerer pålideligt i dag og skaber reel uafhængighed i morgen.

Udfordringen

Med begrænsede ressourcer til sikkerhed og risikostyring havde Paymenttools-teamet brug for en effektiv og pragmatisk løsning, der kunne betjenes af et lille, fokuseret team for at opnå ISO 27001-certificering. Som en cloud-native virksomhed med et stort fokus på ingeniørarbejde, var mange traditionelle, bureaukratiske sikkerhedskontroller ikke relevante for virksomheden, så det var en kerneprioritet at kunne identificere og implementere relevante kontroller nemt.

"Vores udfordring var at opretholde en høj sikkerhedspolitik og overholdelse af regler uden at forsinke vores teknikere."

Jan Oetting CISO, Betalingsværktøjer

Jan og teamet brugte værktøjer som Google Workspace til at definere politikker og håndtere risici, men indså, at dette ikke var en effektiv tilgang. De havde brug for en dedikeret platform til at administrere og vedligeholde deres informationssikkerhedssystem (ISMS) i stedet for forskellige værktøjer og dokumentation.

De havde også brug for ekspertstøtte og vejledning til at arbejde sig igennem ISO 27001-overholdelses- og certificeringsprocessen. Teamet havde brug for en person, der kunne tilpasse sig deres kernefilosofi om sikkerhed som 'co-pilot': en person, der kunne fungere som en partner, ikke en blokering, der muliggjorde succes og fandt sikre veje til et 'ja'.

"Dette overordnede arbejde er en del af vores strategiske skift fra reaktiv compliance til proaktiv kommando over vores defensive landskab."

Jan Oetting CISO, Betalingsværktøjer

Løsningen

Paymenttools benyttede sig af SGG's ekspertise til at implementere et ISO 27001-kompatibelt ISMS og udføre præ-certificeringsrevisioner, både før fase 1 og før fase 2. Virksomheden udnyttede også IO-platformen ved hjælp af platformens præbyggede ISO 27001-skabeloner og -workflows for at sikre hurtig implementering og tilpasning.

"SGG gav afgørende vejledning i forståelsen af ​​standarden og i, hvordan man griber certificeringsprocessen an på en pragmatisk og forretningsfokuseret måde."

Jan Oetting CISO, Betalingsværktøjer

Ved at bruge IO-platformen kunne Paymenttools strømline deres ISO 27001-overholdelse og effektivt implementere og administrere tilhørende kontroller og processer. Chris Gill, chef for cybersikkerhed, GRC og revision hos SGG, sagde: "De præbyggede skabeloner og arbejdsgange, der var tilpasset ISO 27001, sparede virksomheden betydelig tid og reducerede kompleksiteten."

Med støtte fra SGG udnyttede Paymenttools den intuitive og brugervenlige IO-platform og IO 11-trins Assured Results Method (ARM) til at arbejde strategisk gennem certificeringskrav.

"Assured Result Methods (ARM) fungerede perfekt som lovet og gav et kæmpe forspring, hvor omkring 70 % af politikkerne var gode nok til at blive brugt med det samme. Dette gjorde det muligt for os at fokusere på vores sikkerhedsstrategi: at angive, hvad I laver, evaluere risikoen, og derefter forbedre jer."

Jan Oetting CISO, Betalingsværktøjer

Platformens præbyggede elementer gav et grundlag, som Paymenttools kunne bygge og udvikle et skræddersyet, yderst skræddersyet ISMS på. Kerneområderne, som virksomheden brugte, omfattede risikoregister, aktivopgørelse, kort over interesserede parter, sikkerhedsstyring og korrigerende handlinger og forbedringer.

Samarbejde var også et vigtigt element i partnerskabet. For at sikre fortsat succes arbejdede SGG og Paymenttools konsekvent på at sikre virksomhedens compliance-indsats og sikrede, at ISO 27001-overholdelsen skred frem som forventet.

"SGG-teamet afholdt workshops med Paymenttools' personale efter behov for at sikre, at ISO 27001:2022-koncepterne var klare og forståelige."

Chris Gill Leder af cybersikkerhed, GRC og revision, SGG

Resultat

Paymenttools opnåede ISO 27001-certificering på ni måneder. Jan anslår, at virksomheden ved at samarbejde med IO og SGG sparede omkring 100 persondage i den indledende opsætning sammenlignet med en manuel tilgang, plus den tid, der spares på løbende vedligeholdelsesarbejde.

"Den tid, der kræves som overhead til at håndtere forskellige regler og revisioner, reduceres betydeligt."

Jan Oetting CISO, Betalingsværktøjer

For Paymenttools var de mest værdifulde elementer i IO-platformen den moderne politikdokumentation og aktivopgørelse, der blev leveret i ISO 27001-projektstrukturen: "Det vigtigste element i IO-platformen var de foruddefinerede politikker, især fordi de er optimeret til en moderne virksomhed som vores."

Paymenttools-teamet nød også godt af platformens centraliserede tilgang til informationssikkerhed på tværs af risikostyring, aktivstyring, korrigerende handlinger og hændelsesrespons. Dette gjorde det muligt for virksomheden at konsolidere compliance-arbejdsbyrden og udskyde brugen af ​​specialiserede værktøjer, indtil de var absolut nødvendige.

SGG's strategiske rådgivning og ekspertvejledning var afgørende for Paymenttools' opnåelse af ISO 27001 og styrede virksomhedens sikkerhedsstyring i den rigtige retning for at sikre succes med certificeringen.

"Chris fra SGG gav afgørende vejledning i forståelsen af ​​standarden og i, hvordan man griber certificeringsprocessen an på en pragmatisk og forretningsfokuseret måde. Han fungerede som en sand medpilot. Han diskuterede kritiske områder med de eksterne revisorer og begrundede vores beslutninger, og han ydede også betydelig hjælp til risikostyring."

Jan Oetting CISO, Betalingsværktøjer

Hvad er næste?

Selvom virksomheden med succes opnåede ISO 27001-certificering, er løbende forbedringer et krav for løbende overholdelse af reglerne. Derfor fokuserer Paymenttools og SGG fortsat på at modne virksomhedens ISMS og afhjælpe eventuelle mangler.

"Siden Paymenttools opnåede ISO 27001:2022-certificering, har SGG hjulpet med at modne en række Paymenttools-processer, herunder leverandørstyring, returnering af aktiver og informationssikkerhed i projektledelse."

Chris Gill Leder af cybersikkerhed, GRC og revision, SGG

Siden de opnåede ISO 27001-certificering, har Jan og teamet udvidet omfanget af deres compliance til at omfatte PCI DSS og den tyske KRITIS-regulering, alt sammen inden for IO-platformen. Paymenttools begynder nu at udnytte IO-platformen som et generelt politik- og risikostyringsværktøj for organisationen og udvider dets anvendelse ud over blot sikkerhed.

"IO-platformen er nu vores strategiske paraplysystem til styring af hele vores sikkerheds- og compliance-landskab."

Jan Oetting CISO, Betalingsværktøjer

Teamet er i øjeblikket i gang med at integrere NIS 2 for at sikre overensstemmelse med forordningen, NIST Cybersecurity Framework (CSF) til at måle modenhed og CoBit som en generel kontrolramme.

"Vi fortsætter vores rejse mod at modne vores sikkerhedsholdning fra 'Compliance' til 'Command'."

Jan Oetting CISO, Betalingsværktøjer