Wie Paymenttools die ISO 27001-Zertifizierung und ein einheitliches Compliance-Management erreicht hat

Paymenttools ist ein Team aus Technologieexperten und Zahlungsspezialisten mit umfassender Erfahrung im Einzelhandel. Das Unternehmen hat es sich zur Aufgabe gemacht, Zahlungslösungen zu entwickeln, die allen Beteiligten – vom Kassenpersonal bis zum Endkunden – das Leben erleichtern und das Einkaufserlebnis langfristig verbessern.

Da Paymenttools seine Wurzeln im Handel hat, versteht das Team, dass Zahlungstransaktionen kein Nebenaspekt, sondern ein strategisches Instrument für moderne Geschäftsmodelle sind. Sie verfolgen einen ganzheitlichen Ansatz und berücksichtigen dabei alles – von Zahlungsprozessen und Kundenbindungsprogrammen bis hin zu unserer Vision eines unabhängigen europäischen Zahlungssystems.

Sie werden von einem gemeinsamen Ziel angetrieben: Zahlungssysteme zukunftssicher zu gestalten – mit Lösungen, die heute zuverlässig funktionieren und morgen echte Unabhängigkeit schaffen.

Da die Ressourcen für Sicherheit und Risikomanagement begrenzt waren, benötigte das Paymenttools-Team eine schlanke und pragmatische Lösung, die von einem kleinen, fokussierten Team betrieben werden konnte, um die ISO 27001-Zertifizierung erfolgreich zu erreichen.

Da es sich um ein Cloud-natives Unternehmen mit einem starken Fokus auf Engineering handelt, waren viele traditionelle, bürokratische Sicherheitskontrollen für das Unternehmen nicht anwendbar. Daher war die Fähigkeit, relevante Kontrollen einfach zu identifizieren und zu implementieren, eine zentrale Priorität.

Jan und sein Team nutzten zwar Tools wie Google Workspace zur Definition von Richtlinien und zum Risikomanagement, erkannten aber, dass dies kein effizienter Ansatz war. Sie benötigten eine dedizierte Plattform zur Verwaltung und Pflege ihres Informationssicherheitsmanagementsystems (ISMS) anstelle von uneinheitlichen Tools und Dokumentationen.

Sie benötigten außerdem fachkundige Unterstützung und Beratung, um den ISO-27001-Konformitäts- und Zertifizierungsprozess erfolgreich zu durchlaufen. Das Team brauchte jemanden, der ihre zentrale Sicherheitsphilosophie als „Co-Pilot“ teilte: jemanden, der als Partner und nicht als Hindernis agiert, den Erfolg ermöglicht und sichere Wege zum Ziel findet.

Paymenttools hat die Expertise von SGG in Anspruch genommen, um ein ISO 27001-konformes ISMS zu implementieren und Vorzertifizierungsaudits durchzuführen, sowohl vor Phase 1 als auch vor Phase 2.

Das Unternehmen nutzte außerdem die IO-Plattform und verwendete die vorgefertigten ISO 27001-Vorlagen und Arbeitsabläufe der Plattform, um eine schnelle Implementierung und Abstimmung zu gewährleisten.

Durch den Einsatz der IO-Plattform konnte Paymenttools die Einhaltung der ISO 27001-Norm optimieren und die zugehörigen Kontrollen und Prozesse effizient implementieren und verwalten. Chris Gill, Leiter Cybersicherheit, GRC und Auditierung bei SGG, erklärte: „Die vorgefertigten, auf ISO 27001 abgestimmten Vorlagen und Workflows sparten dem Unternehmen viel Zeit und reduzierten die Komplexität.“

Mit Unterstützung von SGG nutzte Paymenttools die intuitive, benutzerfreundliche IO-Plattform und die IO 11-stufige Assured Results Method (ARM), um die Zertifizierungsanforderungen strategisch zu erfüllen.

Die vorgefertigten Elemente der Plattform bildeten die Grundlage, auf der Paymenttools ein maßgeschneidertes, hochgradig individualisiertes ISMS entwickeln und weiterentwickeln konnte. Zu den Kernbereichen, die das Unternehmen nutzte, gehörten das Risikoregister, das Anlagenverzeichnis, die Stakeholder-Übersicht, das Sicherheitsmanagement und der Bereich für Korrekturmaßnahmen und Verbesserungen.

Die Zusammenarbeit war ebenfalls ein wesentlicher Bestandteil der Partnerschaft. Um den anhaltenden Erfolg zu gewährleisten, stimmten SGG und Paymenttools ihre Bemühungen um die Einhaltung der Vorschriften konsequent ab und stellten so sicher, dass die Umsetzung der ISO 27001-Norm planmäßig verlief.

Paymenttools hat die ISO 27001-Zertifizierung innerhalb von neun Monaten erfolgreich erhalten.

Jan schätzt, dass das Unternehmen durch die Zusammenarbeit mit IO und SGG bei der Ersteinrichtung im Vergleich zu einem manuellen Vorgehen rund 100 Personentage eingespart hat, zuzüglich der Zeitersparnis bei den laufenden Wartungsarbeiten.

Für Paymenttools waren die wertvollsten Elemente der IO-Plattform die moderne Richtliniendokumentation und das Anlageninventar, die in der ISO 27001-Projektstruktur bereitgestellt wurden: „Das wichtigste Element der IO-Plattform waren die vordefinierten Richtlinien, insbesondere weil sie für ein modernes Unternehmen wie unseres optimiert sind.“

Das Paymenttools-Team profitierte zudem vom zentralisierten Informationssicherheitsansatz der Plattform in den Bereichen Risikomanagement, Anlagenverwaltung, Korrekturmaßnahmen und Reaktion auf Sicherheitsvorfälle. Dadurch konnte das Unternehmen den Aufwand für die Einhaltung von Vorschriften konsolidieren und den Einsatz spezialisierter Tools bis zum absoluten Bedarf hinauszögern.

Die strategische Beratung und die fachkundige Unterstützung von SGG waren maßgeblich für die Erlangung der ISO 27001-Zertifizierung durch Paymenttools und lenkten das Sicherheitsmanagement des Unternehmens in die richtige Richtung, um den Zertifizierungserfolg sicherzustellen.

Obwohl das Unternehmen die ISO 27001-Zertifizierung erfolgreich erreicht hat, ist eine kontinuierliche Verbesserung Voraussetzung für die fortlaufende Einhaltung der Vorschriften.

Daher konzentrieren sich Paymenttools und SGG weiterhin darauf, das ISMS des Unternehmens weiterzuentwickeln und etwaige festgestellte Mängel zu beheben.

Seit der Erlangung der ISO 27001-Zertifizierung haben Jan und sein Team den Umfang ihrer Compliance auf PCI DSS und die deutsche KRITIS-Verordnung ausgeweitet – alles innerhalb der IO-Plattform. Paymenttools nutzt die IO-Plattform nun auch als allgemeines Richtlinien- und Risikomanagement-Tool für das Unternehmen und erweitert damit deren Einsatzmöglichkeiten über die reine Sicherheit hinaus.

Das Team integriert derzeit NIS 2, um die Übereinstimmung mit den Vorschriften sicherzustellen, das NIST Cybersecurity Framework (CSF) zur Messung des Reifegrads und CoBit als allgemeines Kontrollrahmenwerk.