Hur Paymenttools uppnådde ISO 27001-certifiering och enhetlig efterlevnadshantering

Paymenttools är tekniker och betalningsexperter med djupgående bakgrund inom detaljhandeln. Företagets uppdrag är att designa betalningar som gör livet enklare för alla inblandade, från kassapersonal till slutkunder, och att förbättra shoppingupplevelsen på lång sikt.

Med Paymenttools rötter inom handel förstår teamet att betalningstransaktioner inte är en eftertanke, utan ett strategiskt verktyg för moderna affärsmodeller. De har ett helhetsgrepp och beaktar allt från betalningsprocesser och lojalitetsprogram till vår vision om ett oberoende europeiskt betalningssystem.

De drivs av ett gemensamt mål: att framtidssäkra betalningar med lösningar som fungerar tillförlitligt idag och skapar verklig självständighet imorgon.

Med begränsade resurser för säkerhet och riskhantering behövde Paymenttools-teamet en smidig och pragmatisk lösning som kunde drivas av ett litet, fokuserat team för att framgångsrikt uppnå ISO 27001-certifiering.

Som ett molnbaserat företag med stort fokus på teknik var många traditionella, byråkratiska säkerhetskontroller inte tillämpliga för verksamheten, så att enkelt kunna identifiera och implementera relevanta kontroller var en central prioritet.

Jan och teamet använde verktyg som Google Workspace för att definiera policyer och hantera risker, men insåg att detta inte var en effektiv metod. De behövde en dedikerad plattform för att hantera och underhålla sitt informationssäkerhetssystem (ISMS), snarare än olika verktyg och dokumentation.

De behövde också expertstöd och vägledning för att arbeta sig igenom ISO 27001-efterlevnads- och certifieringsprocessen. Teamet behövde någon som kunde anpassa sig till deras kärnfilosofi om säkerhetsmässig "co-pilot": någon som agerade som en partner, inte en blockerare, som möjliggjorde framgång och hittade säkra vägar till "ja".

Paymenttools anlitade SGG:s expertis för att implementera ett ISO 27001-kompatibelt ISMS och genomföra förcertifieringsrevisioner, både före steg 1 och före steg 2.

Verksamheten utnyttjade även IO-plattformen med hjälp av plattformens färdiga ISO 27001-mallar och arbetsflöden för att säkerställa snabb implementering och anpassning.

Genom att använda IO-plattformen kunde Paymenttools effektivisera sin efterlevnad av ISO 27001 och effektivt implementera och hantera tillhörande kontroller och processer. Chris Gill, chef för cybersäkerhet, GRC och revision på SGG, sa: ”De färdiga mallarna och arbetsflödena som är anpassade till ISO 27001 sparade verksamheten avsevärd tid och minskade komplexiteten.”

Med stöd från SGG utnyttjade Paymenttools den intuitiva och användarvänliga IO-plattformen och IO:s 11-stegs Assured Results Method (ARM) för att arbeta strategiskt genom certifieringskrav.

Plattformens färdiga element utgjorde en baslinje utifrån vilken Paymenttools kunde bygga och utveckla ett skräddarsytt, mycket anpassat ISMS. Kärnområden som verksamheten använde inkluderade riskregister, tillgångsinventering, intressentkarta, säkerhetshantering samt korrigerande åtgärder och förbättringar.

Samarbete var också en viktig del av partnerskapet. För att säkerställa fortsatt framgång samarbetade SGG och Paymenttools konsekvent i verksamhetens efterlevnadsarbete och säkerställde att efterlevnaden av ISO 27001 fortskred som förväntat.

Paymenttools uppnådde ISO 27001-certifiering på nio månader.

Jan uppskattar att verksamheten genom att arbeta med IO och SGG sparade cirka 100 persondagar i den initiala installationen jämfört med en manuell metod, plus den tid som sparades i löpande underhållsarbete.

För Paymenttools var de mest värdefulla delarna av IO-plattformen den moderna policydokumentationen och tillgångsinventeringen som tillhandahölls i ISO 27001-projektstrukturen: ”Det viktigaste elementet i IO-plattformen var de fördefinierade policyerna, särskilt eftersom de är optimerade för ett modernt företag som vårt.”

Paymenttools-teamet gynnades också av plattformens centraliserade informationssäkerhetsstrategi för riskhantering, tillgångshantering, korrigerande åtgärder och incidenthantering. Detta gjorde det möjligt för verksamheten att konsolidera efterlevnadsarbetsbelastningen och skjuta upp användningen av specialiserade verktyg tills de absolut behövdes.

SGG:s strategiska råd och expertvägledning var avgörande för Paymenttools ISO 27001-certifiering och styrde företagets säkerhetshantering i rätt riktning för att säkerställa en framgångsrik certifiering.

Även om verksamheten framgångsrikt uppnådde ISO 27001-certifiering, är kontinuerlig förbättring ett krav för fortsatt efterlevnad.

Därför fortsätter Paymenttools och SGG att fokusera på att mogna verksamhetens ISMS och åtgärda eventuella brister.

Sedan Jan och teamet uppnått ISO 27001-certifieringen har de utökat sin efterlevnad till att omfatta PCI DSS och den tyska KRITIS-förordningen, allt inom IO-plattformen. Paymenttools börjar nu utnyttja IO-plattformen som ett generellt policy- och riskhanteringsverktyg för organisationen, och utökar dess användning bortom bara säkerhet.

Teamet integrerar för närvarande NIS 2 för att säkerställa överensstämmelse med förordningen, NIST Cybersecurity Framework (CSF) för att mäta mognad och CoBit som ett generellt kontrollramverk.