Cómo Paymenttools logró el éxito de la certificación ISO 27001 y una gestión unificada del cumplimiento

“La plataforma IO es ahora nuestro sistema estratégico paraguas para gestionar todo nuestro panorama de seguridad y cumplimiento”.

Jan Oetting CISO, Herramientas de pago

Puntos clave

Descubra cómo funcionan las herramientas de pago:

• Obtuvo la certificación ISO 27001 en nueve meses
• Se utilizó la plataforma IO para implementar un SGSI sólido y garantizar el cumplimiento de la norma ISO 27001
• Se empleó el apoyo y la experiencia de SGG para lograr el éxito en la certificación
• Continúe aprovechando la plataforma IO para gestionar todo su panorama de seguridad y cumplimiento.

Acerca de Paymenttools

Paymenttools está formado por tecnólogos y expertos en pagos con una amplia experiencia en el sector minorista. Su misión es diseñar pagos que faciliten la vida a todos los involucrados, desde el personal de caja hasta el cliente final, y mejorar la experiencia de compra a largo plazo.

Con las raíces de Paymenttools en el comercio, el equipo entiende que las transacciones de pago no son una idea de último momento, sino una herramienta estratégica para los modelos de negocio modernos. Adoptan un enfoque holístico, considerando todos los aspectos, desde los procesos de pago y los programas de fidelización hasta nuestra visión de un sistema de pagos europeo independiente.

Los impulsa un objetivo común: garantizar el futuro de los pagos con soluciones que funcionen de manera confiable hoy y generen una verdadera independencia mañana.

El Desafío

Con recursos limitados para la seguridad y la gestión de riesgos, el equipo de Paymenttools necesitaba una solución ágil y pragmática que pudiera ser operada por un equipo pequeño y especializado para lograr la certificación ISO 27001. Al ser una empresa nativa de la nube con un gran enfoque en ingeniería, muchos controles de seguridad tradicionales y burocráticos no eran aplicables al negocio, por lo que identificar e implementar fácilmente los controles relevantes era una prioridad fundamental.

“Nuestro desafío era mantener un alto nivel de seguridad y cumplimiento sin ralentizar a nuestros ingenieros”.

Jan Oetting CISO, Herramientas de pago

Jan y su equipo utilizaban herramientas como Google Workspace para definir políticas y gestionar riesgos, pero reconocieron que no era un enfoque eficiente. Necesitaban una plataforma dedicada para gestionar y mantener su sistema de gestión de seguridad de la información (SGSI), en lugar de herramientas y documentación dispares.

También necesitaban apoyo y orientación de expertos para completar el proceso de cumplimiento y certificación de la norma ISO 27001. El equipo necesitaba a alguien que se alineara con su filosofía central de seguridad: alguien que actuara como socio, no como un obstáculo, facilitando el éxito y encontrando caminos seguros hacia el éxito.

“Este trabajo general es parte de nuestro cambio estratégico del cumplimiento reactivo al mando proactivo sobre nuestro panorama defensivo”.

Jan Oetting CISO, Herramientas de pago

La Solución

Paymenttools recurrió a la experiencia de SGG para implementar un SGSI conforme con la norma ISO 27001 y realizar auditorías previas a la certificación, tanto previas a la etapa 1 como a la etapa 2. La empresa también aprovechó la plataforma IO, utilizando las plantillas y flujos de trabajo ISO 27001 prediseñados de la plataforma para garantizar una rápida implementación y alineación.

“SGG brindó orientación crucial para comprender la norma y cómo abordar el proceso de certificación de una manera pragmática y centrada en el negocio”.

Jan Oetting CISO, Herramientas de pago

El uso de la plataforma IO permitió a Paymenttools optimizar su cumplimiento de la norma ISO 27001 e implementar y gestionar eficientemente los controles y procesos asociados. Chris Gill, Director de Ciberseguridad, GRC y Auditoría de SGG, afirmó: «Las plantillas prediseñadas y los flujos de trabajo, alineados con la norma ISO 27001, ahorraron a la empresa un tiempo considerable y redujeron la complejidad».

Con el apoyo de SGG, Paymenttools aprovechó la plataforma IO intuitiva y fácil de usar y el Método de Resultados Asegurados (ARM) de 11 pasos de IO para trabajar estratégicamente a través de los requisitos de certificación.

Los Métodos de Resultados Asegurados (ARM) funcionaron a la perfección según lo prometido, lo que nos proporcionó una gran ventaja inicial: alrededor del 70 % de las políticas fueron lo suficientemente buenas para su uso inmediato. Esto nos permitió centrarnos en nuestra estrategia de seguridad: definir lo que estamos haciendo, evaluar el riesgo y luego mejorar.

Jan Oetting CISO, Herramientas de pago

Los elementos prediseñados de la plataforma proporcionaron una base sobre la cual Paymenttools pudo desarrollar y desarrollar un SGSI a medida y altamente personalizado. Las áreas clave que la empresa utilizó incluyeron el registro de riesgos, el inventario de activos, el mapa de partes interesadas, el seguimiento de la gestión de la seguridad y el seguimiento de acciones correctivas y mejoras.

La colaboración también fue un elemento vital de la alianza. Para garantizar el éxito continuo, SGG y Paymenttools se alinearon constantemente en las iniciativas de cumplimiento de la empresa, garantizando que el cumplimiento de la norma ISO 27001 progresara según lo previsto.

“El equipo de SGG realizó talleres con el personal de Paymenttools cuando fue necesario para garantizar que los conceptos de la norma ISO 27001:2022 fueran claros y comprensibles”.

chris gill Jefe de Ciberseguridad, GRC y Auditoría, SGG

El Resultado

Paymenttools obtuvo la certificación ISO 27001 en nueve meses. Jan estima que, al trabajar con IO y SGG, la empresa ahorró alrededor de 100 días-persona en la configuración inicial, en comparación con un enfoque manual, además del tiempo ahorrado en mantenimiento continuo.

“El tiempo necesario como gasto general para gestionar diferentes regulaciones y auditorías se reduce significativamente”.

Jan Oetting CISO, Herramientas de pago

Para Paymenttools, los elementos más valiosos de la plataforma IO fueron la documentación de políticas modernas y el inventario de activos proporcionados en la estructura del proyecto ISO 27001: “El elemento más importante de la plataforma IO fueron las políticas predefinidas, específicamente porque están optimizadas para una empresa moderna como la nuestra”.

El equipo de Paymenttools también se benefició del enfoque centralizado de seguridad de la información de la plataforma, que abarca la gestión de riesgos, la gestión de activos, las acciones correctivas y la respuesta a incidentes. Esto permitió a la empresa consolidar la carga de trabajo de cumplimiento normativo y retrasar el uso de herramientas especializadas hasta que fueran absolutamente necesarias.

El asesoramiento estratégico y la orientación experta de SGG fueron fundamentales para que Paymenttools obtuviera la certificación ISO 27001, orientando la gestión de seguridad de la empresa en la dirección correcta para garantizar el éxito de la certificación.

Chris, de SGG, nos brindó una orientación crucial para comprender la norma y abordar el proceso de certificación de forma pragmática y centrada en el negocio. Actuó como un auténtico copiloto. Analizó las áreas críticas con los auditores externos, justificó nuestras decisiones y nos brindó una ayuda significativa en la gestión de riesgos.

Jan Oetting CISO, Herramientas de pago

¿Qué es lo siguiente?

Si bien la empresa obtuvo con éxito la certificación ISO 27001, la mejora continua es un requisito para el cumplimiento continuo. Por ello, Paymenttools y SGG siguen centrados en perfeccionar el SGSI de la empresa y en corregir cualquier deficiencia.

Desde que Paymenttools obtuvo la certificación ISO 27001:2022, SGG ha ayudado a consolidar diversos procesos de Paymenttools, como la gestión de proveedores, la devolución de activos y la seguridad de la información en la gestión de proyectos.

chris gill Jefe de Ciberseguridad, GRC y Auditoría, SGG

Desde que obtuvieron la certificación ISO 27001, Jan y su equipo han ampliado el alcance de su cumplimiento para incluir PCI DSS y la normativa alemana KRITIS, todo ello dentro de la plataforma IO. Paymenttools está empezando a utilizar la plataforma IO como herramienta general de gestión de políticas y riesgos para la organización, extendiendo su uso más allá de la seguridad.

“La plataforma IO es ahora nuestro sistema estratégico paraguas para gestionar todo nuestro panorama de seguridad y cumplimiento”.

Jan Oetting CISO, Herramientas de pago

Actualmente, el equipo está integrando NIS 2 para garantizar la alineación con la regulación, el Marco de Ciberseguridad NIST (CSF) para medir la madurez y CoBit como marco de control general.

“Seguimos avanzando para perfeccionar nuestra postura de seguridad, pasando de 'Cumplimiento' a 'Mando'”.

Jan Oetting CISO, Herramientas de pago