Payvision verbetert compliance en security met Agile en COBIT als basis

10 oktober 2018 Consultancy.nl

Om stappen te kunnen zetten in compliance en security werkte Payvision de afgelopen jaren aan het verhogen van de IT-volwassenheid, met het COBIT-raamwerk als basis. Quint Wellington Redwood werd aan boord gehaald om het traject te begeleiden. 

Payvision werd in 2002 in Amsterdam opgericht en verwerkt meer dan 100 miljoen betalingstransacties per jaar. Bij het verwerken van de gegevens van deze transacties vormt Payvision een schakel tussen banken van onder meer webshops, banken van klanten en creditcardmaatschappijen. Payvision biedt een netwerk van licenties, waardoor een bank die bij Payvision is aangesloten, gebruik kan maken van die licenties over de hele wereld. De organisatie heeft kantoren in negen steden in de VS, Europa, Azië en de Pacific.

De afgelopen jaren heeft Payvision hard gewerkt aan ‘in control’ zijn. Aan de hand van het COBIT-framework wordt gewerkt aan het opschroeven van het volwassenheidsniveau van de IT-processen. Matthias Jager, Process & Portfolio Manager bij Payvision: “We hebben de afgelopen jaren veel meer IT’ers in dienst gekregen. Daarbij zijn we sterk gericht op productontwikkeling op basis van agile samenwerken, waarbij het Payvision Agile Framework centraal staat.”

De IT binnen Payvision kan gekenmerkt worden als multi-speed: “Alle zaken die te maken hebben met klantdata hebben een andere snelheid van ontwikkeling, omdat je met meer ‘checks and balances’ te maken hebt dan bij zaken die minder gevoelig liggen.” De ontwikkelaars van Payvision werken in Madrid, terwijl operations, security en risk in het hoofdkantoor in Amsterdam te vinden zijn. Ondanks deze afstand werken beide bloedgroepen nauw samen in DevOps-teams, waarvan er geleidelijk steeds meer komen bij Payvision.

Nulmeting

De CTO van Payvision, Christopher Martlew, wilde meer grip krijgen op de IT-processen en informatiebeveiliging en initieerde het COBIT-programma. Daartoe werd de hulp ingeroepen van Quint Wellington Redwood. Samen met Payvision voerde Quint als eerste stap een inventarisatie uit. Jager: “We hebben om een nulmeting gevraagd. We wilden graag weten waar we stonden, zonder al te langdurig stil te staan bij de uitgangspositie.” Payvision verbetert compliance en security met Agile en COBIT als basisEr waren binnen Payvision al veel procedures en policy’s geïmplementeerd, maar nog niet altijd in samenhang. Daarbij had Payvision in het verleden als verwerker van betalingsverkeer een sterk accent gelegd op PCI-compliance. Payment Card Industry Data Security Standard, ofwel PCI-DSS, is een internationale beveiligingsstandaard en is ontwikkeld door een samenwerkingsverband van creditcardmaatschappijen dat de richtlijnen voor het veilig bewaren van kaart- en transactiegegevens opstelt. PCI en COBIT overlappen elkaar gedeeltelijk, waarbij het zaak was geen dubbel werk te doen. 

Sprints

“We zijn van daaruit gaan werken aan maandelijkse voortgang”, vervolgt Jager, “waarbij we uiteraard eerst het ‘low hanging fruit’ hebben geoogst.” Deze manier van werken liet ook goed de voortgang zien aan alle betrokkenen, wat motiverend werkte. De aanpak van Payvision en Quint was passend bij Payvision: werken in sprints, waarbij telkens per kwartaal en vervolgens per maand werd bepaald welke controls men op orde wilde hebben. Een kanban-bord gaf een mooi visueel overzicht van de taken van elke medewerker en de voortgang die deze had geboekt. Jager was bij dit alles de verbindende kracht tussen de teams onderling en anderzijds tussen de teams en het management.

Kennisoverdracht en coaching

Quint zorgde voor kennisoverdracht aan de medewerkers en vervolgens coaching. Jager: “De uitvoering moest in de organisatie komen te liggen. Ik zie nu ook dat het zo langzamerhand verankerd begint te raken.” Zelftests en controleplannen hielpen om grip te krijgen en te houden, waarbij de adviseurs van Quint telkens met de controle-eigenaren keken waar ze stonden, of processen nog in lijn waren met de tests, en zo de eigenaren verder brachten. Jager: “Het is eigenlijk begonnen als een stekje, dat eerst niet hard leek te groeien, maar daarna wel. Als je kijkt waar we nu staan ten opzichte van vorig jaar, dan is dat een wereld van verschil. We hebben nu bijvoorbeeld een Information Security Steering Committee, waar onder meer twee directieleden in zitten. Zo worden de COBIT-controls centraal beheerst en worden ze regelmatig besproken. En dat heeft zijn weerslag binnen de organisatie, want mensen zien dat het onderwerp op managementniveau serieus wordt genomen.”

“We hebben iets stevigs neergezet, waarop we de komende jaren kunnen doorbouwen. Onze ambitie is om nog volwassener te worden, onder meer op het gebied van IT-risico’s en de IT-security.”

Blijven verbeteren

Continuous improvement, voortdurend verbeteren, is een belangrijk aspect van COBIT, maar staat ook expliciet op de agenda van Payvision. Jager zegt hierover: “Je wilt compliant zijn, maar ook niemand in de weg staan om zijn werk goed te doen. Daarom hebben we geprobeerd om het ‘lichtgewicht’ te houden voor de mensen die dagelijks aan het werk zijn. Dus niet enorme formulieren invullen, maar een vinkje zetten, waarbij je als control-eigenaar staat voor wat dat vinkje inhoudt.” COBIT staat dus niet in de weg, maar past ook wonderwel bij het DNA van Payvision, als bedrijf dat continuous improvement hoog in het vaandel heeft staan. Jager zegt het zo: “Wanneer je steeds nieuwe dingen ontwikkelt en niemand nadenkt over de vraag of het allemaal past bij de risicowensen, dan is dat onhandig. Ik denk dat het in praktijk hand in hand gaat.” 

Toekomstbestendig

Payvision is volgens Jager met de implementatie van de COBIT-controls veel toekomstbestendiger geworden. “Ik voorzie dat de processen die we hebben geïmplementeerd de komende jaren nog meer aandacht gaan krijgen. We hebben iets stevigs neergezet, waarop we de komende jaren kunnen doorbouwen. Onze ambitie is om nog volwassener te worden, onder meer op het gebied van IT-risico’s en de security rondom IT.”

The next level

Over de keuze voor Quint is Jager duidelijk: “Wij hadden hulp nodig, we misten kennis en ervaring op dit gebied. En tussen ons en Quint is een goede overeenkomst qua cultuur. Je kunt voor zulke opdrachten ook een heel grote dienstverlener inhuren, maar of er dan een goede match is? De match is er ook qua aanpak: no nonsense en hands-on.” Payvision heeft dan ook Quint voor de komende periode opnieuw in de arm genomen. Jager besluit: “Het grondwerk is gedaan, maar we zijn er nog niet. Nu gaan we voor the next level. De hulp van Quint wordt nu ook buiten IT gevraagd. Ik voorzie dat we nog geruime tijd samen op weg zullen zijn.”

Agile nieuws

Agile adviesbureaus Agile consultancy diensten

Payments nieuws

Payments adviesbureaus Payments consultancy diensten

Projecten nieuws

Consultancy projecten in Nederland

Risk & Compliance nieuws

Risk & Compliance adviesbureaus Risk & Compliance consultancy diensten

Quint nieuws

Quint nieuws

Eraneos nieuws

Eraneos nieuws