Customer Success

Payvision implementeert COBIT voor next level Compliance en Security

DE OPDRACHT

Quint werd gevraagd om Payvision te helpen beter in control te komen, met het COBIT-framework als basis.

“Je wilt compliant zijn en risico’s beheersen, maar ook niemand in de weg staan om zijn werk goed te doen. Dat is de echte uitdaging.”

Matthias Jager, Process & Portfolio Manager

2002

jaar van oprichting

110+

miljoen transacties per jaar

150+

transactievaluta’s

Over Payvision

Payvision werd in 2002 in Amsterdam opgericht en verwerkt meer dan 100 miljoen betalingstransacties per jaar. Bij het verwerken van de gegevens van deze transacties vormt Payvision een schakel tussen banken van onder meer webshops, banken van klanten en creditcardmaatschappijen. Payvision biedt een netwerk van licenties, waardoor een bank die bij Payvision is aangesloten, gebruik kan maken van die licenties over de hele wereld. De organisatie heeft kantoren in 9 steden in de VS, Europa, Azië en de Pacific. Payvision heeft de afgelopen periode hard gewerkt aan ‘in control’ zijn, aan de hand van het COBIT-framework. We spraken hierover met Matthias Jager, Process & Portfolio Manager bij Payvision.

IT-inspanningen opgeschroefd

Matthias Jager werkt sinds 2015 bij Payvision. Kort na zijn start bij Payvision viel het besluit in de organisatie om te gaan werken aan het volwassenheidsniveau van de IT-processen. “We hebben de afgelopen jaren veel meer IT’ers in dienst gekregen”, vertelt Matthias Jager. “Daarbij zijn we sterk gericht op productontwikkeling op basis van agile samenwerken, waarbij het Payvision Agile Framework centraal staat.” De IT binnen Payvision kan gekenschetst worden als multi-speed: “Alle zaken die te maken hebben met klantdata hebben een andere snelheid van ontwikkeling, omdat je met meer ‘checks and balances’ te maken hebt dan bij zaken die minder gevoelig liggen.” De ontwikkelaars van Payvision werken in Madrid, terwijl operations, security en risk in het hoofdkantoor in Amsterdam te vinden zijn. Ondanks deze afstand werken beide bloedgroepen nauw samen in DevOps-teams, waarvan er geleidelijk steeds meer komen bij Payvision.

Nulmeting

De CTO van Payvision, Christopher Martlew, wilde meer grip krijgen op de IT-processen en informatiebeveiliging en initieerde het COBIT-programma. Daartoe werd de hulp ingeroepen van Quint Wellington Redwood. Samen met Payvision voerde Quint als eerste stap een inventarisatie uit. Matthias Jager: “We hebben om een nulmeting gevraagd. We wilden graag weten waar we stonden, zonder al te langdurig stil te staan bij de uitgangspositie.” Er waren al veel procedures en policy’s geïmplementeerd, maar nog niet altijd in samenhang. Daarbij had Payvision in het verleden als verwerker van betalingsverkeer een sterk accent gelegd op PCI-compliance. Payment Card Industry Data Security Standard, ofwel PCI-DSS, is een internationale beveiligingsstandaard en is ontwikkeld door een samenwerkingsverband van creditcardmaatschappijen dat de richtlijnen voor het veilig bewaren van kaart- en transactiegegevens opstelt. PCI en COBIT overlappen elkaar gedeeltelijk, waarbij het zaak was geen dubbel werk te doen.

Sprints

“We zijn van daaruit gaan werken aan maandelijkse voortgang”, vervolgt Jager, “waarbij we uiteraard eerst het ‘low hanging fruit’ hebben geoogst.” Deze manier van werken liet ook goed de voortgang zien aan alle betrokkenen, wat motiverend werkte. De aanpak van Payvision en Quint was passend bij Payvision: werken in sprints, waarbij telkens per kwartaal en vervolgens per maand werd bepaald welke controls men op orde wilde hebben. Een kanban-bord gaf een mooi visueel overzicht van de taken van elke medewerker en de voortgang die deze had geboekt. Matthias Jager was bij dit alles de verbindende kracht tussen de teams onderling en anderzijds tussen de teams en het management.

Kennisoverdracht en coaching

Quint zorgde voor kennisoverdracht aan de medewerkers en vervolgens coaching. Matthias Jager: “De uitvoering moest in de organisatie komen te liggen. Ik zie nu ook dat het zo langzamerhand verankerd begint te raken.” Zelftests en controleplannen hielpen om grip te krijgen en te houden, waarbij de adviseurs van Quint telkens met de controle-eigenaren keken waar ze stonden, of processen nog in lijn waren met de tests, en zo de eigenaren verder brachten. Jager: “Het is eigenlijk begonnen als een stekje, dat eerst niet hard leek te groeien, maar daarna wel. Als je kijkt waar we nu staan ten opzichte van vorig jaar, dan is dat een wereld van verschil. We hebben nu bijvoorbeeld een Information Security Steering Committee, waar onder meer twee directieleden in zitten. Zo worden de COBIT-controls centraal beheerst en worden ze regelmatig besproken. En dat heeft zijn weerslag binnen de organisatie, want mensen zien dat het onderwerp op managementniveau serieus wordt genomen.”

Blijven verbeteren

Continuous improvement, voortdurend verbeteren, is een belangrijk aspect van COBIT, maar staat ook expliciet op de agenda van Payvision. Matthias Jager hierover: “Je wilt compliant zijn, maar ook niemand in de weg staan om zijn werk goed te doen. Daarom hebben we geprobeerd om het ‘lichtgewicht’ te houden voor de mensen die dagelijks aan het werk zijn. Dus niet enorme formulieren invullen, maar een vinkje zetten, waarbij je als control-eigenaar staat voor wat dat vinkje inhoudt.” COBIT staat dus niet in de weg, maar past ook wonderwel bij het DNA van Payvision, als bedrijf dat continuous improvement hoog in het vaandel heeft staan. Jager zegt het zo: “Wanneer je steeds nieuwe dingen ontwikkelt en niemand nadenkt over de vraag of het allemaal past bij de risicowensen, dan is dat onhandig. Ik denk dat het in praktijk hand in hand gaat.”

Toekomstbestendig

Payvision is volgens Matthias Jager met de implementatie van de COBIT-controls veel toekomstbestendiger geworden. “Ik voorzie dat de processen die we hebben geïmplementeerd de komende jaren nog meer aandacht gaan krijgen. We hebben iets stevigs neergezet, waarop we de komende jaren kunnen doorbouwen. Onze ambitie is om nog volwassener te worden, onder meer op het gebied van IT-risico’s en de security rondom IT.”

The next level

Over de keuze voor Quint is Matthias Jager duidelijk: “Wij hadden hulp nodig, we misten kennis en ervaring op dit gebied. En tussen ons en Quint is een goede overeenkomst qua cultuur. Je kunt voor zulke opdrachten ook een heel grote dienstverlener inhuren, maar of er dan een goede match is? De match is er ook qua aanpak: no nonsense en hands-on.” Payvision heeft dan ook Quint voor de komende periode opnieuw in de arm genomen. “Het grondwerk is gedaan, maar we zijn er nog niet. Nu gaan we voor the next level. De hulp van Quint wordt nu ook buiten IT gevraagd. Ik voorzie dat we nog geruime tijd samen op weg zullen zijn.”

OUR CAPABILITIES FOR CHANGE

Hoe kunnen wij u helpen?

CONSULTING

IT Governance, Risk & Compliance

Goed huisvaderschap, een gezonde bedrijfsvoering, werkafspraken gericht op gewenst gedrag. Governance, Risk en Compliance gericht op het ondersteunen van uw (digitale) strategie en de doelen van uw…

Meer informatie

Enterprise Architecture & Technology Innovation

De opkomst van nieuwe, ontwrichtende technologieën beïnvloedt het gedrag van de klant. Het is absoluut noodzakelijk dat u flexibel en actueel bent, maar ook afgestemd op de snelle ontwikkelingen in…

Meer informatie

Digitale Strategie & Transformatie

Uw klanten wensen een snelle en soepele digitale ervaring, en wel meteen. Om aan deze vraag tegemoet te komen, kunt u er niet mee volstaan dat u uw huidige producten en diensten digitaliseert door er…

Meer informatie
TRAINING

COBIT® 5 Foundation

​​COBIT® staat voor 'Control OBjectives for Information and related Technology' en is internationaal steeds meer erkend als de standaard voor controle en management over informatie en Informatie…

Meer informatie

IT Regie Serious Game ‘Fast Fusion Food ‘

De regie op outsourcing is een actueel onderwerp in de agenda van veel IT-leiders. Outsourced services beheren en leveren, die voldoen aan de eisen van de business, gaat verder dan de regie op vraag…

Meer informatie

Vakmanschap in Informatiebeveiliging

Ondernemingen registreren en verwerken een grote verscheidenheid aan informatie, zoals concurrentiegevoelige, financiële, en privacy gevoelige gegevens. Er dient zorgvuldig met de vastgelegde…

Meer informatie
Klantverhalen

Dare to Challenge

  • NIBC

    Succes met Digitale Transformatie bij NIBC Bank

    Lees meer
  • RDW

    Succes met transformatie naar Agile bij RDW

    Lees meer
  • Sanquin

    Success met Governance, Risk & Compliance bij Sanquin

    Lees meer
  • Stedin

    Succes met DMBOK en Data Management bij Stedin

    Lees meer