Hvordan Paymenttools opnåede succes med ISO 27001-certificering og samlet compliance-styring

Paymenttools er teknologer og betalingseksperter med en dybdegående baggrund inden for detailhandel. Virksomhedens mission er at designe betalinger, der gør livet lettere for alle involverede, fra kassepersonale til slutkunder, og at forbedre shoppingoplevelsen på lang sigt.

Med Paymenttools' rødder i handel forstår teamet, at betalingstransaktioner ikke er en eftertanke, men et strategisk værktøj til moderne forretningsmodeller. De har en holistisk tilgang og overvejer alt fra betalingsprocesser og loyalitetsprogrammer til vores vision om et uafhængigt europæisk betalingssystem.

De er drevet af et fælles mål: at fremtidssikre betalinger med løsninger, der fungerer pålideligt i dag og skaber reel uafhængighed i morgen.

Med begrænsede ressourcer til sikkerhed og risikostyring havde Paymenttools-teamet brug for en effektiv og pragmatisk løsning, der kunne betjenes af et lille, fokuseret team for at opnå ISO 27001-certificering.

Som en cloud-native virksomhed med et stort fokus på ingeniørarbejde, var mange traditionelle, bureaukratiske sikkerhedskontroller ikke gældende for virksomheden, så det var en kerneprioritet nemt at kunne identificere og implementere relevante kontroller.

Jan og teamet brugte værktøjer som Google Workspace til at definere politikker og håndtere risici, men indså, at dette ikke var en effektiv tilgang. De havde brug for en dedikeret platform til at administrere og vedligeholde deres informationssikkerhedssystem (ISMS) i stedet for forskellige værktøjer og dokumentation.

De havde også brug for ekspertstøtte og vejledning til at arbejde sig igennem ISO 27001-overholdelses- og certificeringsprocessen. Teamet havde brug for en person, der kunne tilpasse sig deres kernefilosofi om sikkerhed som 'co-pilot': en person, der kunne fungere som en partner, ikke en blokering, der muliggjorde succes og fandt sikre veje til et 'ja'.

Paymenttools inddrog SGG's ekspertise til at implementere et ISO 27001-kompatibelt ISMS og udføre præ-certificeringsrevisioner, både før fase 1 og før fase 2.

Virksomheden udnyttede også IO-platformen ved hjælp af platformens præbyggede ISO 27001-skabeloner og -arbejdsgange for at sikre hurtig implementering og tilpasning.

Ved at bruge IO-platformen kunne Paymenttools strømline deres ISO 27001-overholdelse og effektivt implementere og administrere tilhørende kontroller og processer. Chris Gill, chef for cybersikkerhed, GRC og revision hos SGG, sagde: "De præbyggede skabeloner og arbejdsgange, der var tilpasset ISO 27001, sparede virksomheden betydelig tid og reducerede kompleksiteten."

Med støtte fra SGG udnyttede Paymenttools den intuitive og brugervenlige IO-platform og IO 11-trins Assured Results Method (ARM) til at arbejde strategisk gennem certificeringskrav.

Platformens præbyggede elementer gav et grundlag, som Paymenttools kunne bygge og udvikle et skræddersyet, yderst skræddersyet ISMS på. Kerneområderne, som virksomheden brugte, omfattede risikoregister, aktivopgørelse, kort over interesserede parter, sikkerhedsstyring og korrigerende handlinger og forbedringer.

Samarbejde var også et vigtigt element i partnerskabet. For at sikre fortsat succes arbejdede SGG og Paymenttools konsekvent på at sikre virksomhedens compliance-indsats og sikrede, at ISO 27001-overholdelsen skred frem som forventet.

Paymenttools opnåede ISO 27001-certificering på ni måneder.

Jan anslår, at virksomheden ved at arbejde med IO og SGG sparede omkring 100 persondage i den indledende opsætning sammenlignet med en manuel tilgang, plus den tid, der spares på løbende vedligeholdelsesarbejde.

For Paymenttools var de mest værdifulde elementer i IO-platformen den moderne politikdokumentation og aktivopgørelse, der blev leveret i ISO 27001-projektstrukturen: "Det vigtigste element i IO-platformen var de foruddefinerede politikker, især fordi de er optimeret til en moderne virksomhed som vores."

Paymenttools-teamet nød også godt af platformens centraliserede tilgang til informationssikkerhed på tværs af risikostyring, aktivstyring, korrigerende handlinger og hændelsesrespons. Dette gjorde det muligt for virksomheden at konsolidere compliance-arbejdsbyrden og udskyde brugen af ​​specialiserede værktøjer, indtil de var absolut nødvendige.

SGG's strategiske rådgivning og ekspertvejledning var afgørende for Paymenttools' opnåelse af ISO 27001 og styrede virksomhedens sikkerhedsstyring i den rigtige retning for at sikre succes med certificeringen.

Selvom virksomheden med succes opnåede ISO 27001-certificering, er løbende forbedringer et krav for løbende overholdelse af reglerne.

Derfor fokuserer Paymenttools og SGG fortsat på at modne virksomhedens ISMS og afhjælpe eventuelle mangler.

Siden de opnåede ISO 27001-certificering, har Jan og teamet udvidet omfanget af deres compliance til at omfatte PCI DSS og den tyske KRITIS-regulering, alt sammen inden for IO-platformen. Paymenttools begynder nu at udnytte IO-platformen som et generelt politik- og risikostyringsværktøj for organisationen og udvider dets anvendelse ud over blot sikkerhed.

Teamet er i øjeblikket i gang med at integrere NIS 2 for at sikre overensstemmelse med forordningen, NIST Cybersecurity Framework (CSF) til at måle modenhed og CoBit som en generel kontrolramme.