Cómo Paymenttools logró el éxito de la certificación ISO 27001 y una gestión unificada del cumplimiento

Paymenttools está formado por tecnólogos y expertos en pagos con una amplia experiencia en el sector minorista. Su misión es diseñar pagos que faciliten la vida a todos los involucrados, desde el personal de caja hasta el cliente final, y mejorar la experiencia de compra a largo plazo.

Con las raíces de Paymenttools en el comercio, el equipo entiende que las transacciones de pago no son una idea de último momento, sino una herramienta estratégica para los modelos de negocio modernos. Adoptan un enfoque holístico, considerando todos los aspectos, desde los procesos de pago y los programas de fidelización hasta nuestra visión de un sistema de pagos europeo independiente.

Los impulsa un objetivo común: garantizar el futuro de los pagos con soluciones que funcionen de manera confiable hoy y generen una verdadera independencia mañana.

Con recursos limitados para la seguridad y la gestión de riesgos, el equipo de Paymenttools necesitaba una solución ágil y pragmática que pudiera ser operada por un equipo pequeño y especializado para lograr con éxito la certificación ISO 27001.

Al ser una empresa nativa de la nube con un fuerte enfoque en la ingeniería, muchos controles de seguridad tradicionales y burocráticos no se aplicaban al negocio, por lo que poder identificar e implementar fácilmente los controles relevantes era una prioridad fundamental.

Jan y su equipo utilizaban herramientas como Google Workspace para definir políticas y gestionar riesgos, pero reconocieron que no era un enfoque eficiente. Necesitaban una plataforma dedicada para gestionar y mantener su sistema de gestión de seguridad de la información (SGSI), en lugar de herramientas y documentación dispares.

También necesitaban apoyo y orientación de expertos para completar el proceso de cumplimiento y certificación de la norma ISO 27001. El equipo necesitaba a alguien que se alineara con su filosofía central de seguridad: alguien que actuara como socio, no como un obstáculo, facilitando el éxito y encontrando caminos seguros hacia el éxito.

Paymenttools recurrió a la experiencia de SGG para implementar un SGSI que cumpliera con la norma ISO 27001 y realizar auditorías previas a la certificación, tanto de la etapa previa 1 como de la etapa previa 2.

La empresa también aprovechó la plataforma IO, utilizando las plantillas y los flujos de trabajo ISO 27001 predefinidos de la plataforma para garantizar una implementación y una alineación rápidas.

El uso de la plataforma IO permitió a Paymenttools optimizar su cumplimiento de la norma ISO 27001 e implementar y gestionar eficientemente los controles y procesos asociados. Chris Gill, Director de Ciberseguridad, GRC y Auditoría de SGG, afirmó: «Las plantillas prediseñadas y los flujos de trabajo, alineados con la norma ISO 27001, ahorraron a la empresa un tiempo considerable y redujeron la complejidad».

Con el apoyo de SGG, Paymenttools aprovechó la plataforma IO intuitiva y fácil de usar y el Método de Resultados Asegurados (ARM) de 11 pasos de IO para trabajar estratégicamente a través de los requisitos de certificación.

Los elementos prediseñados de la plataforma proporcionaron una base sobre la cual Paymenttools pudo desarrollar y desarrollar un SGSI a medida y altamente personalizado. Las áreas clave que la empresa utilizó incluyeron el registro de riesgos, el inventario de activos, el mapa de partes interesadas, el seguimiento de la gestión de la seguridad y el seguimiento de acciones correctivas y mejoras.

La colaboración también fue un elemento vital de la alianza. Para garantizar el éxito continuo, SGG y Paymenttools se alinearon constantemente en las iniciativas de cumplimiento de la empresa, garantizando que el cumplimiento de la norma ISO 27001 progresara según lo previsto.

Paymenttools logró con éxito la certificación ISO 27001 en nueve meses.

Jan calcula que, al trabajar con IO y SGG, la empresa ahorró alrededor de 100 jornadas laborales en la configuración inicial en comparación con un enfoque manual, además del tiempo ahorrado en las labores de mantenimiento continuas.

Para Paymenttools, los elementos más valiosos de la plataforma IO fueron la documentación de políticas modernas y el inventario de activos proporcionados en la estructura del proyecto ISO 27001: “El elemento más importante de la plataforma IO fueron las políticas predefinidas, específicamente porque están optimizadas para una empresa moderna como la nuestra”.

El equipo de Paymenttools también se benefició del enfoque centralizado de seguridad de la información de la plataforma, que abarca la gestión de riesgos, la gestión de activos, las acciones correctivas y la respuesta a incidentes. Esto permitió a la empresa consolidar la carga de trabajo de cumplimiento normativo y retrasar el uso de herramientas especializadas hasta que fueran absolutamente necesarias.

El asesoramiento estratégico y la orientación experta de SGG fueron fundamentales para que Paymenttools obtuviera la certificación ISO 27001, orientando la gestión de seguridad de la empresa en la dirección correcta para garantizar el éxito de la certificación.

Si bien la empresa logró con éxito la certificación ISO 27001, la mejora continua es un requisito para el cumplimiento permanente.

Por ello, Paymenttools y SGG siguen centrados en perfeccionar el SGSI de la empresa y en subsanar cualquier deficiencia detectada.

Desde que obtuvieron la certificación ISO 27001, Jan y su equipo han ampliado el alcance de su cumplimiento para incluir PCI DSS y la normativa alemana KRITIS, todo ello dentro de la plataforma IO. Paymenttools está empezando a utilizar la plataforma IO como herramienta general de gestión de políticas y riesgos para la organización, extendiendo su uso más allá de la seguridad.

Actualmente, el equipo está integrando NIS 2 para garantizar la alineación con la regulación, el Marco de Ciberseguridad NIST (CSF) para medir la madurez y CoBit como marco de control general.