Miten Paymenttools saavutti ISO 27001 -sertifioinnin ja yhtenäisen vaatimustenmukaisuuden hallinnan

”IO-alusta on nyt strateginen kattojärjestelmämme koko tietoturva- ja vaatimustenmukaisuusmaiseman hallintaan.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Keskeiset ostokset

Opi miten Paymenttools:

• Saavutti ISO 27001 -sertifikaatin yhdeksässä kuukaudessa
• Käytin IO-alustaa vankan tietoturvan hallintajärjestelmän toteuttamiseen ja ISO 27001 -standardin noudattamisen varmistamiseen
• Käytin SGG:n tukea ja asiantuntemusta sertifioinnin onnistumiseksi
• Jatka IO-alustan hyödyntämistä koko tietoturva- ja vaatimustenmukaisuusmaiseman hallintaan.

Tietoja Paymenttoolsista

Paymenttools koostuu vähittäiskaupan taustan omaavista teknologeista ja maksuasiantuntijoista. Yrityksen tehtävänä on suunnitella maksujärjestelmiä, jotka helpottavat kaikkien osapuolten elämää kassalla työskentelevistä loppukäyttäjiin ja parantavat ostokokemusta pitkällä aikavälillä.

Paymenttoolsin juuret kaupankäynnissä ovat tehneet tiimillemme selväksi, että maksutapahtumat eivät ole jälkikäteen mietittyjä asioita, vaan strateginen työkalu nykyaikaisissa liiketoimintamalleissa. He soveltavat kokonaisvaltaista lähestymistapaa, jossa otetaan huomioon kaikki maksuprosesseista ja kanta-asiakasohjelmista aina visioomme itsenäisestä eurooppalaisesta maksujärjestelmästä.

Niitä ohjaa yhteinen tavoite: tulevaisuudenkestävät maksut ratkaisuilla, jotka toimivat luotettavasti tänään ja luovat todellista itsenäisyyttä huomenna.

Challenge

Koska Paymenttools-tiimi oli rajallisesti turvallisuuteen ja riskienhallintaan tarkoitettujen resurssien ansiosta, se tarvitsi tehokkaan ja käytännöllisen ratkaisun, jota pieni ja keskittynyt tiimi pystyisi käyttämään ISO 27001 -sertifioinnin saavuttamiseksi. Pilvinatiivina yrityksenä, jolla oli laaja keskittyminen suunnitteluun, monet perinteiset ja byrokraattiset turvatoimet eivät soveltuneet liiketoimintaan, joten asiaankuuluvien kontrollien helppo tunnistaminen ja käyttöönotto oli keskeinen prioriteetti.

”Haasteenamme oli ylläpitää korkeaa tietoturvatasoa ja vaatimustenmukaisuutta hidastamatta insinöörejämme.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Jan ja tiimi käyttivät työkaluja, kuten Google Workspacea, käytäntöjen määrittelyyn ja riskienhallintaan, mutta ymmärsivät, ettei tämä ollut tehokas lähestymistapa. He tarvitsivat erillisen alustan tietoturvallisuuden hallintajärjestelmänsä (ISMS) hallintaan ja ylläpitoon erillisten työkalujen ja dokumentaation sijaan.

He tarvitsivat myös asiantuntijatukea ja ohjausta ISO 27001 -standardin noudattamis- ja sertifiointiprosessin läpikäymiseen. Tiimi tarvitsi jonkun, joka toimisi heidän ydinosaamisensa mukaisen tietoturvafilosofiansa mukaisesti: jonkun, joka toimisi kumppanina, ei estäjänä, mahdollistaen menestyksen ja löytäen turvallisia polkuja "kyllä"-pääomaan.

”Tämä kokonaisvaltainen työ on osa strategista siirtymäämme reaktiivisesta vaatimustenmukaisuudesta ennakoivaan komentoon puolustusmaisemassamme.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Ratkaisu

Paymenttools käytti SGG:n asiantuntemusta ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS) toteuttamiseen ja sertifiointia edeltävien auditointien suorittamiseen sekä vaiheessa 1 että vaiheessa 2. Yritys hyödynsi myös IO-alustaa käyttämällä alustan valmiita ISO 27001 -malleja ja -työnkulkuja varmistaakseen nopean käyttöönoton ja yhdenmukaisuuden.

”SGG tarjosi ratkaisevaa ohjausta standardin ymmärtämiseen ja sertifiointiprosessin lähestymiseen pragmaattisella ja liiketoimintakeskeisellä tavalla.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

IO-alustan käyttö mahdollisti Paymenttoolsille ISO 27001 -standardin noudattamisen virtaviivaistamisen sekä siihen liittyvien kontrollien ja prosessien tehokkaan käyttöönoton ja hallinnan. Chris Gill, SGG:n kyberturvallisuuden, GRC:n ja auditoinnin johtaja, sanoi: "ISO 27001 -standardin mukaiset valmiit mallit ja työnkulut säästivät yritykseltä merkittävästi aikaa ja vähensivät monimutkaisuutta."

SGG:n tuella Paymenttools hyödynsi intuitiivista ja käyttäjäystävällistä IO-alustaa sekä IO:n 11-vaiheista Assured Results Method (ARM) -menetelmää työskennelläkseen strategisesti sertifiointivaatimusten läpi.

”Assured Result Methods (ARM) toimi täydellisesti luvatulla tavalla. Se tarjosi valtavan etumatkan, sillä noin 70 % käytännöistä oli heti riittävän hyviä käytettäväksi. Tämä antoi meille mahdollisuuden keskittyä tietoturvastrategiaamme: kertoa, mitä tehdään, arvioida riski ja sitten parantaa.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Alustan valmiit elementit tarjosivat pohjan, jonka päälle Paymenttools pystyi rakentamaan ja kehittämään räätälöityä ja pitkälle räätälöityä tietoturvan hallintajärjestelmää. Yrityksen käyttämiin ydinalueisiin kuuluivat riskirekisteri, omaisuusluettelo, sidosryhmäkartta, tietoturvan hallinta sekä korjaavien toimenpiteiden ja parannusten seuranta.

Yhteistyö oli myös kumppanuuden olennainen osa. Jatkuvan menestyksen varmistamiseksi SGG ja Paymenttools yhdenmukaistivat jatkuvasti yrityksen vaatimustenmukaisuustoimia varmistaen, että ISO 27001 -standardin noudattaminen eteni odotetusti.

”SGG-tiimi piti Paymenttoolsin henkilökunnan kanssa työpajoja tarpeen mukaan varmistaakseen, että ISO 27001:2022 -standardin käsitteet olivat selkeitä ja ymmärrettäviä.”

Chris Gill Kyberturvallisuuden, GRC:n ja auditoinnin johtaja, SGG

Lopputulos

Paymenttools saavutti ISO 27001 -sertifikaatin yhdeksässä kuukaudessa. Jan arvioi, että yhteistyö IO:n ja SGG:n kanssa säästi alkuvaiheessa noin 100 henkilötyöpäivää manuaaliseen lähestymistapaan verrattuna, minkä lisäksi säästettiin aikaa jatkuvassa ylläpitotyössä.

”Erilaisten määräysten ja tarkastusten hallintaan kuluva aika vähenee merkittävästi.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Paymenttoolsille IO-alustan arvokkaimmat elementit olivat ISO 27001 -projektirakenteen mukainen moderni käytäntödokumentaatio ja omaisuusluettelo: ”IO-alustan tärkein elementti olivat ennalta määritellyt käytännöt, erityisesti siksi, että ne on optimoitu kaltaisellemme nykyaikaiselle yritykselle.”

Paymenttools-tiimi hyötyi myös alustan keskitetystä tietoturvalähestymistavasta riskienhallinnassa, omaisuudenhallinnassa, korjaavissa toimenpiteissä ja häiriötilanteisiin reagoinnissa. Tämä mahdollisti yrityksen keskittää vaatimustenmukaisuustyön ja lykätä erikoistyökalujen käyttöä, kunnes niitä ehdottomasti tarvittiin.

SGG:n strateginen neuvonta ja asiantunteva ohjaus olivat keskeisessä asemassa Paymenttoolsin ISO 27001 -sertifioinnin saavuttamisessa, ja ne ohjasivat yrityksen tietoturvallisuuden hallintaa oikeaan suuntaan sertifioinnin onnistumisen varmistamiseksi.

”Chris SGG:llä antoi ratkaisevaa ohjausta standardin ymmärtämiseen ja sertifiointiprosessin käytännönläheiseen ja liiketoimintakeskeiseen lähestymistapaan. Hän toimi todellisena perämiehenä. Hän keskusteli kriittisistä osa-alueista ulkopuolisten tilintarkastajien kanssa ja perusteli päätöksemme sekä tarjosi merkittävää apua riskienhallinnassa.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Mitä seuraavaksi?

Vaikka yritys saavutti ISO 27001 -sertifikaatin, jatkuva parantaminen on edellytys jatkuvalle vaatimustenmukaisuudelle. Siksi Paymenttools ja SGG keskittyvät edelleen yrityksen tietoturvajärjestelmän (ISMS) kehittämiseen ja mahdollisten havaintojen korjaamiseen.

”Sittemmin Paymenttools on saavuttanut ISO 27001:2022 -sertifioinnin, SGG on auttanut kehittämään useita Paymenttoolsin prosesseja, mukaan lukien toimittajien hallinta, omaisuuden palautus ja tietoturva projektien hallinnassa.”

Chris Gill Kyberturvallisuuden, GRC:n ja auditoinnin johtaja, SGG

Saavutettuaan ISO 27001 -sertifioinnin Jan ja tiimi ovat laajentaneet vaatimustenmukaisuutensa soveltamisalaa kattamaan PCI DSS:n ja saksalaisen KRITIS-asetuksen, kaikki IO-alustan sisällä. Paymenttools on nyt alkanut hyödyntää IO-alustaa organisaation yleisenä käytäntö- ja riskienhallintatyökaluna, laajentaen sen käyttöä pelkän turvallisuuden ulkopuolelle.

”IO-alusta on nyt strateginen kattojärjestelmämme koko tietoturva- ja vaatimustenmukaisuusmaiseman hallintaan.”

Jan Oetting Tietoturvajohtaja, maksutyökalut

Tiimi integroi parhaillaan NIS 2:ta varmistaakseen yhdenmukaisuuden asetuksen kanssa, NIST:n kyberturvallisuuskehystä (CSF) kypsyyden mittaamiseksi ja CoBitia yleisenä valvontakehyksenä.

"Jatkamme matkaamme kypsyttääksemme tietoturvatilannettamme vaatimustenmukaisuudesta komentotasolle."

Jan Oetting Tietoturvajohtaja, maksutyökalut