Miten Paymenttools saavutti ISO 27001 -sertifioinnin ja yhtenäisen vaatimustenmukaisuuden hallinnan

Paymenttools koostuu vähittäiskaupan taustan omaavista teknologeista ja maksuasiantuntijoista. Yrityksen tehtävänä on suunnitella maksujärjestelmiä, jotka helpottavat kaikkien osapuolten elämää kassalla työskentelevistä loppukäyttäjiin ja parantavat ostokokemusta pitkällä aikavälillä.

Paymenttoolsin juuret kaupankäynnissä ovat tehneet tiimillemme selväksi, että maksutapahtumat eivät ole jälkikäteen mietittyjä asioita, vaan strateginen työkalu nykyaikaisissa liiketoimintamalleissa. He soveltavat kokonaisvaltaista lähestymistapaa, jossa otetaan huomioon kaikki maksuprosesseista ja kanta-asiakasohjelmista aina visioomme itsenäisestä eurooppalaisesta maksujärjestelmästä.

Niitä ohjaa yhteinen tavoite: tulevaisuudenkestävät maksut ratkaisuilla, jotka toimivat luotettavasti tänään ja luovat todellista itsenäisyyttä huomenna.

Koska Paymenttools-tiimillä oli rajalliset resurssit tietoturvaan ja riskienhallintaan, se tarvitsi tehokkaan ja käytännöllisen ratkaisun, jota pieni ja keskittynyt tiimi pystyisi käyttämään ISO 27001 -sertifioinnin saavuttamiseksi.

Pilvinatiivina yrityksenä, jolla on laaja-alainen suunnittelupainotus, monet perinteiset, byrokraattiset tietoturvakontrollit eivät soveltuneet liiketoimintaan, joten asiaankuuluvien kontrollien helppo tunnistaminen ja käyttöönotto oli keskeinen prioriteetti.

Jan ja tiimi käyttivät työkaluja, kuten Google Workspacea, käytäntöjen määrittelyyn ja riskienhallintaan, mutta ymmärsivät, ettei tämä ollut tehokas lähestymistapa. He tarvitsivat erillisen alustan tietoturvallisuuden hallintajärjestelmänsä (ISMS) hallintaan ja ylläpitoon erillisten työkalujen ja dokumentaation sijaan.

He tarvitsivat myös asiantuntijatukea ja ohjausta ISO 27001 -standardin noudattamis- ja sertifiointiprosessin läpikäymiseen. Tiimi tarvitsi jonkun, joka toimisi heidän ydinosaamisensa mukaisen tietoturvafilosofiansa mukaisesti: jonkun, joka toimisi kumppanina, ei estäjänä, mahdollistaen menestyksen ja löytäen turvallisia polkuja "kyllä"-pääomaan.

Paymenttools palkkasi SGG:n asiantuntemuksen ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS) toteuttamiseen ja sertifiointia edeltävien auditointien suorittamiseen sekä esivaiheessa 1 että esivaiheessa 2.

Yritys hyödynsi myös IO-alustaa ja käytti alustan valmiita ISO 27001 -malleja ja -työnkulkuja varmistaakseen nopean käyttöönoton ja yhdenmukaisuuden.

IO-alustan käyttö mahdollisti Paymenttoolsille ISO 27001 -standardin noudattamisen virtaviivaistamisen sekä siihen liittyvien kontrollien ja prosessien tehokkaan käyttöönoton ja hallinnan. Chris Gill, SGG:n kyberturvallisuuden, GRC:n ja auditoinnin johtaja, sanoi: "ISO 27001 -standardin mukaiset valmiit mallit ja työnkulut säästivät yritykseltä merkittävästi aikaa ja vähensivät monimutkaisuutta."

SGG:n tuella Paymenttools hyödynsi intuitiivista ja käyttäjäystävällistä IO-alustaa sekä IO:n 11-vaiheista Assured Results Method (ARM) -menetelmää työskennelläkseen strategisesti sertifiointivaatimusten läpi.

Alustan valmiit elementit tarjosivat pohjan, jonka päälle Paymenttools pystyi rakentamaan ja kehittämään räätälöityä ja pitkälle räätälöityä tietoturvan hallintajärjestelmää. Yrityksen käyttämiin ydinalueisiin kuuluivat riskirekisteri, omaisuusluettelo, sidosryhmäkartta, tietoturvan hallinta sekä korjaavien toimenpiteiden ja parannusten seuranta.

Yhteistyö oli myös kumppanuuden olennainen osa. Jatkuvan menestyksen varmistamiseksi SGG ja Paymenttools yhdenmukaistivat jatkuvasti yrityksen vaatimustenmukaisuustoimia varmistaen, että ISO 27001 -standardin noudattaminen eteni odotetusti.

Paymenttools saavutti ISO 27001 -sertifikaatin onnistuneesti yhdeksässä kuukaudessa.

Jan arvioi, että työskentelemällä IO:n ja SGG:n kanssa yritys säästi alkuvaiheessa noin 100 henkilötyöpäivää manuaaliseen lähestymistapaan verrattuna, minkä lisäksi säästettiin aikaa jatkuvassa kunnossapitotyössä.

Paymenttoolsille IO-alustan arvokkaimmat elementit olivat ISO 27001 -projektirakenteen mukainen moderni käytäntödokumentaatio ja omaisuusluettelo: ”IO-alustan tärkein elementti olivat ennalta määritellyt käytännöt, erityisesti siksi, että ne on optimoitu kaltaisellemme nykyaikaiselle yritykselle.”

Paymenttools-tiimi hyötyi myös alustan keskitetystä tietoturvalähestymistavasta riskienhallinnassa, omaisuudenhallinnassa, korjaavissa toimenpiteissä ja häiriötilanteisiin reagoinnissa. Tämä mahdollisti yrityksen keskittää vaatimustenmukaisuustyön ja lykätä erikoistyökalujen käyttöä, kunnes niitä ehdottomasti tarvittiin.

SGG:n strateginen neuvonta ja asiantunteva ohjaus olivat keskeisessä asemassa Paymenttoolsin ISO 27001 -sertifioinnin saavuttamisessa, ja ne ohjasivat yrityksen tietoturvallisuuden hallintaa oikeaan suuntaan sertifioinnin onnistumisen varmistamiseksi.

Vaikka yritys saavutti ISO 27001 -sertifikaatin, jatkuva parantaminen on edellytys jatkuvalle vaatimustenmukaisuudelle.

Näin ollen Paymenttools ja SGG keskittyvät edelleen yrityksen tietoturvajärjestelmän (ISMS) kypsentämiseen ja mahdollisten havaintojen korjaamiseen.

Saavutettuaan ISO 27001 -sertifioinnin Jan ja tiimi ovat laajentaneet vaatimustenmukaisuutensa soveltamisalaa kattamaan PCI DSS:n ja saksalaisen KRITIS-asetuksen, kaikki IO-alustan sisällä. Paymenttools on nyt alkanut hyödyntää IO-alustaa organisaation yleisenä käytäntö- ja riskienhallintatyökaluna, laajentaen sen käyttöä pelkän turvallisuuden ulkopuolelle.

Tiimi integroi parhaillaan NIS 2:ta varmistaakseen yhdenmukaisuuden asetuksen kanssa, NIST:n kyberturvallisuuskehystä (CSF) kypsyyden mittaamiseksi ja CoBitia yleisenä valvontakehyksenä.