כיצד Paymenttools השיגה הצלחה בהסמכת ISO 27001 וניהול תאימות מאוחד

"פלטפורמת ה-IO היא כעת מערכת העל האסטרטגית שלנו לניהול כל נוף האבטחה והתאימות שלנו."

יאן אוטינג CISO, כלי תשלום

המנות העיקריות

למד כיצד כלי תשלום:

• השגת הסמכת ISO 27001 תוך תשעה חודשים
• שימוש בפלטפורמת IO כדי ליישם מערכת ISMS חזקה ולהבטיח תאימות לתקן ISO 27001
• נעזרתי בתמיכה ובמומחיות של SGG כדי להשיג הצלחה בהסמכה
• להמשיך ולמנף את פלטפורמת ה-IO לניהול כל נוף האבטחה והתאימות שלהם.

אודות כלי תשלום

Paymenttools הם טכנולוגים ומומחי תשלומים בעלי רקע עמוק בקמעונאות. משימת העסק היא לעצב תשלומים שמקלים על החיים עבור כל המעורבים, החל מעובדי הקופה ועד ללקוחות הסופיים, ולשפר את חוויית הקנייה לטווח ארוך.

עם שורשים של Paymenttools במסחר, הצוות מבין שעסקאות תשלום אינן מחשבה שלאחר מעשה, אלא כלי אסטרטגי עבור מודלים עסקיים מודרניים. הם נוקטים בגישה הוליסטית, תוך התחשבות בכל דבר, החל מתהליכי תשלום ותוכניות נאמנות ועד לחזון שלנו למערכת תשלומים אירופאית עצמאית.

הם מונעים על ידי מטרה משותפת: להבטיח תשלומים לעתיד באמצעות פתרונות שעובדים בצורה אמינה היום ויוצרים עצמאות אמיתית מחר.

האתגר

עם משאבים מוגבלים לאבטחה וניהול סיכונים, צוות Paymenttools נזקק לפתרון רזה ופרגמטי שניתן יהיה להפעילו על ידי צוות קטן וממוקד כדי להשיג בהצלחה הסמכת ISO 27001. כחברה המבוססת על ענן עם התמקדות הנדסית גדולה, בקרות אבטחה מסורתיות רבות והבירוקרטיות לא היו חלות על העסק, כך שהיכולת לזהות וליישם בקלות בקרות רלוונטיות הייתה בראש סדר העדיפויות.

"האתגר שלנו היה לשמור על רמת אבטחה גבוהה ועמידה בתקנות מבלי להאט את המהנדסים שלנו."

יאן אוטינג CISO, כלי תשלום

יאן והצוות השתמשו בכלים כמו Google Workspace להגדרת מדיניות וניהול סיכונים, אך הבינו שזו אינה גישה יעילה. הם נזקקו לפלטפורמה ייעודית לניהול ותחזוקה של מערכת ניהול אבטחת המידע (ISMS) שלהם, במקום כלים ותיעוד נפרדים.

הם גם היו זקוקים לתמיכה והכוונה מקצועית כדי לעבוד בתהליך התאימות וההסמכה של ISO 27001. הצוות היה זקוק למישהו שיתאים לפילוסופיית "הטייס המשנה" של האבטחה שלהם: מישהו שיפעל כשותף, לא כחוסם, שיאפשר הצלחה וימצא נתיבים בטוחים ל"כן".

"עבודה כוללת זו היא חלק מהמעבר האסטרטגי שלנו מציות תגובתי לפיקוד פרואקטיבי על הנוף ההגנתי שלנו."

יאן אוטינג CISO, כלי תשלום

הפתרון

Paymenttools גייסה את המומחיות של SGG כדי ליישם מערכת ניהול מידע (ISMS) תואמת ISO 27001 ולבצע ביקורות טרום-הסמכה, הן בשלב טרום שלב 1 והן בשלב טרום שלב 2. העסק גם מינף את פלטפורמת ה-IO, תוך שימוש בתבניות וזרימות עבודה מוכנות מראש של ISO 27001 כדי להבטיח יישום והתאמה מהירים.

"SGG סיפקה הדרכה חיונית להבנת התקן וכיצד לגשת לתהליך ההסמכה בצורה פרגמטית וממוקדת עסקים."

יאן אוטינג CISO, כלי תשלום

השימוש בפלטפורמת IO אפשר ל-Paymenttools לייעל את תאימותה לתקן ISO 27001 וליישם ולנהל ביעילות בקרות ותהליכים נלווים. כריס גיל, ראש אבטחת סייבר, GRC וביקורת ב-SGG, אמר: "התבניות וזרימות העבודה שנבנו מראש, שתואמות ל-ISO 27001, חסכו לעסק זמן משמעותי והפחיתו את המורכבות."

בתמיכת SGG, Paymenttools מינפה את פלטפורמת ה-IO האינטואיטיבית והידידותית למשתמש ואת שיטת IO Assured Results Method (ARM) בת 11 שלבים כדי לעבוד אסטרטגית באמצעות דרישות ההסמכה.

"שיטות התוצאה המובטחת (ARM) פעלו בצורה מושלמת כפי שהובטח, וסיפקו יתרון עצום כאשר כ-70% מהמדיניות היו טובות מספיק לשימוש מיידי. זה אפשר לנו להתמקד באסטרטגיית האבטחה שלנו: לציין מה אתם עושים, להעריך סיכונים, ואז לשפר."

יאן אוטינג CISO, כלי תשלום

האלמנטים המוכנים מראש של הפלטפורמה סיפקו בסיס שעליו Paymenttools יכלה לבנות ולפתח מערכת ניהול מידע (ISMS) מותאמת אישית ומותאמת אישית. תחומי הליבה בהם השתמשה העסק כללו רישום סיכונים, מלאי נכסים, מפת בעלי עניין, מסלול ניהול אבטחה ומסלול פעולות מתקנות ושיפורים.

שיתוף פעולה היה גם הוא מרכיב חיוני בשותפות. כדי להבטיח הצלחה מתמשכת, SGG ו-Paymenttools עבדו באופן עקבי על מאמצי התאימות של העסק, והבטיחו כי תאימות ISO 27001 התקדמה כצפוי.

"צוות SGG קיים סדנאות עם צוות Paymenttools לפי הצורך כדי להבטיח שהמושגים של תקן ISO 27001:2022 יהיו ברורים ומובנים."

כריס גיל ראש מחלקת אבטחת סייבר, GRC וביקורת, SGG

התוצאה

Paymenttools השיגה בהצלחה את הסמכת ISO 27001 תוך תשעה חודשים. יאן מעריך שבאמצעות עבודה עם IO ו-SGG, העסק חסך כ-100 ימי אדם בהתקנה הראשונית בהשוואה לגישה ידנית, בנוסף לזמן שנחסך בעבודות תחזוקה שוטפות.

"הזמן הנדרש כהוצאות תקורה לניהול תקנות וביקורות שונות מצטמצם משמעותית."

יאן אוטינג CISO, כלי תשלום

עבור Paymenttools, האלמנטים החשובים ביותר של פלטפורמת ה-IO היו תיעוד המדיניות המודרני ומלאי הנכסים שסופקו במבנה הפרויקט ISO 27001: "האלמנט החשוב ביותר של פלטפורמת ה-IO היו המדיניות המוגדרת מראש, במיוחד משום שהיא מותאמת לחברה מודרנית כמו שלנו."

צוות Paymenttools נהנה גם מגישת אבטחת המידע המרכזית של הפלטפורמה, הכוללת ניהול סיכונים, ניהול נכסים, פעולות מתקנות ותגובה לאירועים. זה איפשר לעסק לאחד את עומס העבודה של תאימות ולדחות את השימוש בכלים ייעודיים עד שיהיה צורך מוחלט בהם.

הייעוץ האסטרטגי וההדרכה המקצועית של SGG היו גורם מרכזי בהשגת תקן ISO 27001 של Paymenttools, וכיוונו את ניהול האבטחה של העסק בכיוון הנכון כדי להבטיח הצלחה בהסמכה.

"כריס מ-SGG סיפק הדרכה חיונית להבנת התקן וכיצד לגשת לתהליך ההסמכה בצורה פרגמטית וממוקדת עסקים. הוא שימש כטייס משנה אמיתי. הוא דן בתחומים קריטיים עם המבקרים החיצוניים ונימק את החלטותינו, וגם סיפק עזרה משמעותית בניהול סיכונים."

יאן אוטינג CISO, כלי תשלום

מה הלאה?

למרות שהעסק השיג בהצלחה הסמכת ISO 27001, שיפור מתמיד הוא דרישה לעמידה מתמשכת. לפיכך, Paymenttools ו-SGG ממשיכות להתמקד בשיפור מערכות ה-ISMS של העסק ובתיקון כל ממצא.

"מאז ש-Paymenttools קיבלה את הסמכת ISO 27001:2022, SGG סייעה בפיתוח מספר תהליכים של Paymenttools, כולל ניהול ספקים, החזרת נכסים ואבטחת מידע בניהול פרויקטים."

כריס גיל ראש מחלקת אבטחת סייבר, GRC וביקורת, SGG

מאז קבלת הסמכת ISO 27001, יאן והצוות הרחיבו את היקף התאימות שלהם כך שיכללו את PCI DSS ואת תקנת KRITIS הגרמנית, כולם במסגרת פלטפורמת ה-IO. Paymenttools מתחילים כעת למנף את פלטפורמת ה-IO ככלי כללי למדיניות וניהול סיכונים עבור הארגון, ומרחיבים את השימוש בה מעבר לאבטחה בלבד.

"פלטפורמת ה-IO היא כעת מערכת העל האסטרטגית שלנו לניהול כל נוף האבטחה והתאימות שלנו."

יאן אוטינג CISO, כלי תשלום

הצוות משלב כעת את NIS 2 כדי להבטיח התאמה לרגולציה, את מסגרת אבטחת הסייבר (CSF) של NIST למדידת בגרות, ואת CoBit כמסגרת בקרה כללית.

"אנו ממשיכים במסע שלנו להבשלת עמדת האבטחה שלנו מ'ציות' ל'פיקוד'."

יאן אוטינג CISO, כלי תשלום