Juni 2018

ISO 27001-zertifizierte Organisationen werden jedes Jahr von einem unabhängigen Auditor überprüft, um ihre anhaltende Disziplin und ihr Engagement für Informationssicherheit zu bestätigen. Letzte Woche hat AcceptEasy die Überprüfung durch einen Auditor von Lloyd’s Register mit Bravour bestanden. Das ist eine große Sache – nicht nur für uns, sondern auch für alle Organisationen, die sich auf uns verlassen (oder immer noch nach einem Anbieter suchen, dem sie vertrauen können). Warum?

Kunden + Nachrichten + Zahlungen = Risiko

Wir sind ein Anbieter von Software und Dienstleistungen, die Millionen von Zahlungsanfragen an Verbraucher und kleine Unternehmen generieren und senden. Als solche erhalten wir viele Daten von unseren Kunden. Dies ist ein ernst zu nehmendes Geschäft in Bezug auf Datenschutz und Informationssicherheit, insbesondere, da wir den Geldwechsel erleichtern. Dies umso mehr, als wir viele große Marken bedienen, die nicht wollen, dass ihr Ruf durch einen Versorger beschädigt wird. Zum Glück hatten wir Sicherheit seit unserer Gründung vor zehn Jahren. Dies hat unseren Kunden (und ihren Kunden) gut getan – mehr dazu unten.

Sicherheit = Technologie + Prozess + Menschen

Dennoch haben wir uns vor rund zwei Jahren dazu entschlossen, eine Zertifizierung nach dem weltweit führenden Standard für Informationssicherheit, ISO / IEC 27001, zu beginnen. Ein Hauptgrund für diese Entscheidung war, dass es bei Informationssicherheit nicht nur um IT geht, sondern auch darum Verhalten, Prozesse und organisatorische Kontrollen von Werkzeuge nehmen keine Verträge von einem Drucker oder Visitenkarten von einem Schreibtisch ab – Menschen tun es. Mit wachsendem Personal, wachsender Kundenbasis und internationalem Footprint wird es immer wichtiger, dass jeder die Dinge immer richtig macht. Und wenn (wenn) ein geringfügiger potenzieller Vorfall vorliegt, ergreifen wir die richtigen Schritte, um die Situation zu klären und zu melden und sie in Zukunft zu verhindern. ISO zwingt zum Nachdenken und Handeln. Es hält Sie auf Trab, wenn sich Geschäft und Technologie rasant entwickeln. Nicht nur als Standard, sondern als eine Reihe von obligatorischen periodischen Zeremonien.

Ich mache das für dich, du wirst mir später danken

So ist es uns 2017 gelungen, unsere ISO27001-Zertifizierung (bei unserem ersten Versuch) zu erhalten, und wir haben letzte Woche gezeigt, dass dies nicht nur eine Aktivität war, um ein Stück Papier zu bekommen. Von IT über Marketing bis hin zu HR und Operations nehmen unsere Mitarbeiter jeden Tag den ganzen Tag den Ernst – manchmal sogar nein zu unseren eigenen Kunden, um sie vor sich selbst zu schützen:

  • Einige Kunden haben versucht, uns Batch-Dateien mit Kundendaten auf unsicheren Wegen zu übergeben, die wir dann höflich ablehnen, auch wenn sie einen großen Umsatz verzögern, der uns Einnahmen bringt.
  • Gleiches gilt für private Schlüssel, die benötigt werden, um unsere Systeme mit denen zu verbinden, um live zu gehen.
  • Unsere Leute loggen sich nicht in ungeschützte WLANs ein, es sei denn, dies geschieht über ein VPN, selbst wenn dies uns daran hindert, eine Online-Verkaufsdemo durchzuführen.
  • Wir verwenden nur genehmigte Software, selbst wenn ein anderes Tool uns helfen könnte, und schützen im Allgemeinen die Daten, die wir erhalten und generieren.
  • Wenn die ISO in die DSGVO einfließt, arbeiten wir bei der erforderlichen Datenverarbeitungsvereinbarung zwischen dem Kunden und AcceptEasy zusammen und ergreifen häufig die Initiative zur Bereitstellung unserer Standardvereinbarung.

Verlangen Sie die echte Sache, nicht nur gute Absichten

Als Unternehmens- oder Regierungsorganisation sollten Sie dies alles von einem Dienstanbieter verlangen (insbesondere, wenn Cloud-basierte Software und Kundendaten beteiligt sind). Und nicht nur als eine Reihe von RFP-Fragen, deren Boxen leichter überprüft werden können als die Realität am Boden. Aber durch bewährte und fortgesetzte unabhängige ISO-Zertifizierung. Kleinere Anbieter sind großartig, aber sie brauchen Ihr Geschäft und können leicht auf Rauch und Spiegel zurückgreifen, um ernsthaft und sicher zu erscheinen. Wie wir jetzt wissen, erfordert das Bestehen eines ISO-Audits das wahre Bewusstsein, die echten Richtlinien, die echten Werkzeuge und die echte Strenge, die die Informationen, die Sie uns anvertrauen, sicher bewahren. Dieser Blog von einem Peer-Anbieter erklärt es anders.

Wir hoffen, dass Sie die Bedeutung der ISO-Zertifizierung schätzen, wenn Sie Anbieter wie uns in Zukunft bewerten. Ihre Kunden tun das sicher, auch wenn sie nicht wissen, was es braucht, um sie zu schützen.

p.s. Nur damit Sie wissen, dass die Sicherheit Ihrer Daten auch etwas Geld kostet.

 

ÜBER DEN AUTOR | Jeroen Dekker
Jeroen Dekker arbeitet seit 2016 für AcceptEasy, nach 15 Jahren Erfahrung bei internationalen B2B-Softwareunternehmen als Produktmanager (Marketing). Er war Produkteigner und Sprecher für die Risikomanagement-Lösungen für Finanzkriminalität von Fiserv. Jeroen hat einen Abschluss von der Haarlem Business School und der Northern Arizona University.

Quelle: https://www.accepteasy.com/nl/blog/accepteasy-passes-iso-27001-surveillance-audit

Melden Sie sich zu KIMI PLUS Newsletter an

You have Successfully Subscribed!