sécurisation silvr iso/iec 27001
Silvr
Blog
Silvr news
ISO/IEC 27001 : comment et pourquoi protéger votre système d'information ?
ISO/IEC 27001 : comment et pourquoi protéger votre système d'information ?
Silvr ist jetzt ISO/IEC 27001 zertifiziert
Silvr news

ISO/IEC 27001 : comment et pourquoi protéger votre système d'information ?

ISO/IEC 27001 : comment et pourquoi protéger votre système d'information ?

Silvr ist jetzt ISO/IEC 27001 zertifiziert

Company size

Year founded

Industry

Location

Target customer

Silvr use case

Silvr, in one word

Recevez la newsletter Silvr
Devinez quoi ? Silvr est officiellement le premier neolender à obtenir l'une des certifications les plus fiables pour les Fintechs : voici...
Devinez quoi ? Silvr est officiellement le premier neolender à obtenir l'une des certifications les plus fiables pour les Fintechs : voici...
Raten Sie mal! Silvr ist offiziell der erste Neolender, der eine der zuverlässigsten Zertifizierungen für Fintechs erhalten hat: hier ist...

Silvr is now officially the first European neolender to become ISO/IEC 27001 certified! We’ve spent the past 6 months together with our compliance service provider Vanta and the UK Government-backed ISO certification body British Assessment Bureau on securing our information infrastructure. Curious about how and why we’ve done it? Read on to find out.

What is ISO/IEC 27001 certification?

The certification is one of almost 25.000 International Standards granted by - you’ve guessed it, the International Organisation for Standardisation. The ISO/IEC 27001 in particular is designed to prove that an Information Security Management System (ISMS) has been put in place to preserve the confidentiality, integrity and availability of information by applying a verified risk management process. Simply put - this is the highest global standard existing today that a company can apply to make sure it’s handling data in the safest possible way.

Why is ISO/IEC 27001 so hard to obtain?

The process requires certifying the protection of data under all its forms. What does this mean?

  • Information in all its forms, digital and analogue, is protected;
  • Resistance to cyber attacks is strengthened;
  • Centralization of information is guaranteed;
  • Enterprise-wide protection (both digitally and physically) is ensured;
  • Threat is managed;
  • Data integrity, privacy and availability are protected.

Sounds like a lot of work? Well, that’s because it is! By the end of the certification acquisition process, no stone is left unturned - the whole company has been checked for security. 

What does the certification process involve?

There are a few commitments that any organisation wanting to secure ISO/IEC 27001 must make, such as:

  • Leadership: it is essential that a senior manager in the organisation accepts collective responsibility for the ISMS. In our case, that’s our CTO Greg Tappero.
  • Processes and budgets: it shows that security is not something exclusively dedicated to the IT department. The whole company with every single department gets involved.
  • Initial assessment: a thorough investigation needs to be done to assess the current level of data protection.
  • Action plan: after the assessment, the company defines the plan to achieve a sufficient level of information protection in the long term.
  • Operations management: ensure proper and effective management of ISMS-related activities. For us, this meant writing 15 additional policies that the whole company vowed to follow, representing more than 110 control points.

At the end of this process, you can rest assured that the best practices have been put in place to secure digital service internally (for employees) and externally (for partners and customers).

“After completing the Stage 1 report, it took us about 4 months of intense collaborative work,” shared Thomas Pelletier, VP of Engineering. “Stage 2 then certified that we do what we say we do. The British Assessment Bureau validated that we defined a control mechanism for each of the requirements of the ISO/IEC 27001 standard, and sampled evidence that we implemented those controls.”

Why is ISO/IEC 27001 important for Silvr?

As the digital economy expands, cybersecurity becomes a major issue – especially in the context of online business operations (teleworking, open banking, multiplication of connected devices etc.). The World Economic Forum has reported that the number of cyber attacks in 2020 has increased by 22% compared to the previous year. Furthermore, even 35% of the attacks during the pandemic were made using previously unknown malware and methods (reported by Deloitte).

The importance of protecting information systems and networks is therefore crucial. Even more so in the post-Covid era - especially for transactions, operations and data exchange. 

Why we got ISO-certified at Silvr

Every digital business needs to protect their information systems. ISO/IEC 27001 certification was the best way to ensure we have everything in place to continuously improve - which for us, as a Fintech startup, is critical. In preparation for expansion into Germany, we needed to ensure we protect our customers’ and our own data to the highest possible standard - so we started the ISO/IEC 27001 preparation process almost a year ago.

What does it mean for our customers and partners?

As a Fintech partnering with other companies, we needed to ensure we have a safe way to scale across markets. We're asking people to access their most sensitive business data - such as bank statements, purchase history, digital advertising spend - so we must be certain that this data is always treated with confidentiality.

“Accessing companies’ private financial records is very delicate, so we put information security front and center in all the processes and systems we build - says Greg Tappero, CTO. - We’re proud to be the 1st European neolender to secure our information infrastructure with ISO/IEC 27001 certification. This shows all our capital and platform partners how seriously we take data security and protection. We know its importance in Germany, and we wouldn’t consider entering this market without obtaining it.”

Thinking of getting ISO-certified too?

Here are some tips!

Having gone through the strenuous ISO/IEC 27001 journey ourselves, there’s some advice that we can share with any other digital company that is ready to undertake it. Below are a few handful tips from Thomas on what to consider when establishing a control framework (as a real Engineer, he’s keeping it brief!):

  1. The earlier you start the better: the bigger the company the more difficult it is.
  2. Ensure commitment from all executives: this is a company-wide effort.
  3. Buy a license for a compliance platform: we are very pleased with Vanta’s support here.
  4. Read through the standard: again and again multiple times, until you truly understand it.
  5. Be practical: 27001 is for companies of all sizes, the best processes are the ones that follow the standard and the flow of your company.

Visit our trust page to access our ISO/IEC 27001 certificate and real-time control updates. And if you have any other questions on this topic - reach out to help@silvr.co

Silvr est officiellement devenu le premier néolender européen à obtenir la certification ISO/IEC 27001 ! Nous avons passé les six derniers mois à sécuriser notre infrastructure d'information avec notre fournisseur de services de conformité Vanta et l'organisme de certification ISO British Assessment Bureau. Curieux de savoir comment et pourquoi nous l'avons fait ? C'est par ici.

Qu'est-ce que la certification ISO/IEC 27001 ?

Cette certification est l'une des 25 000 normes internationales accordées par - vous l'avez sûrement deviné - l'Organisation Internationale de Normalisation. La norme ISO/IEC 27001 en particulier est développée pour attester qu'un système de gestion de la sécurité de l'information (ou en anglais : Information Security Management System, pour ISMS) a été mis en place pour préserver la confidentialité, l'intégrité et la disponibilité des informations en appliquant un processus de gestion des risques vérifié. En d'autres termes, il s'agit de la norme mondiale la plus haute qu'une entreprise puisse appliquer pour s'assurer qu'elle traite les données de la manière la plus sûre possible.

Pourquoi ISO/IEC 27001 est-elle si difficile à obtenir ?

Le processus exige de certifier la protection des données sous toutes ses formes. Qu'est-ce que cela signifie ?

  • L'information sous toutes ses formes, numériques et analogiques, est protégée ;
  • La résistance aux cyberattaques est renforcée ;
  • La centralisation des informations est garantie ;
  • La protection à l'échelle de l'entreprise (à la fois numérique et physique) est assurée ;
  • La menace est gérée ;
  • L'intégrité, la confidentialité et la disponibilité des données sont protégées.

En quoi consiste le processus de certification ?

Toute organisation désireuse d'obtenir la certification ISO/IEC 27001 doit prendre certains engagements, ils concernent notamment :

  • Le leadership : il est essentiel qu'un cadre supérieur de l'organisation accepte la responsabilité collective du ISMS. Chez Silvr, il s'agit du CTO et cofondateur, Greg Tappero.
  • Les processus et budgets : la sécurité n'est pas seulement une affaire qui concerne le département informatique. Toute l'entreprise et tous les départements sont impliqués.
  • L'évaluation initiale : une enquête approfondie doit être menée pour évaluer le niveau actuel de protection des données.
  • Le plan d'action : après l'évaluation, l'entreprise définit le plan pour atteindre le niveau suffisant de protection des informations à long terme.
  • La gestion des opérations : assurer une gestion adéquate et efficace des activités liées au ISMS. Chez Silvr, cela s'est traduit par la rédaction de 15 politiques supplémentaires que toute l'entreprise s'est engagée à suivre, ce qui représente plus de 110 points de contrôle.

À la fin de ce processus, vous pouvez être assuré que les meilleures pratiques ont été mises en place pour sécuriser le service numérique en interne (pour les employés) et en externe (pour les partenaires et les clients).

"Après avoir complété le rapport de l'étape 1, il nous a fallu environ 4 mois de travail collaboratif intense", a partagé Thomas Pelletier, VP of Engineering. "L'étape 2 a ensuite certifié que nous faisons ce que nous disons faire. Le British Assessment Bureau a validé que nous avions défini un mécanisme de contrôle pour chacune des exigences de la norme ISO/IEC 27001, et a échantillonné les preuves que nous avions mis en œuvre ces contrôles."

Pourquoi ISO/IEC 27001 est-elle importante pour Silvr ?

Avec l'expansion de l'économie numérique, la cybersécurité devient un enjeu majeur - en particulier dans le contexte des opérations commerciales en ligne (télétravail, services bancaires ouverts, multiplication des appareils connectés, etc.) Le Forum économique mondial a indiqué que le nombre de cyberattaques en 2020 a augmenté de 22 % par rapport à l'année précédente. En outre, 35% des attaques durant la pandémie ont été réalisées à l'aide de logiciels malveillants et de méthodes jusqu'alors inconnus (rapporté par Deloitte).

L'importance de la protection des systèmes d'information et des réseaux est donc cruciale. Encore plus dans l'ère post-Covid - notamment pour les transactions, les opérations et l'échange de données. 

Pourquoi Silvr a obtenu la certification ISO ?

Toute entreprise numérique doit protéger ses systèmes d'information. La certification ISO/IEC 27001 était le meilleur moyen de s'assurer que nous avons tout mis en place pour nous améliorer en permanence - ce qui pour une startup Fintech comme Silvr, est essentiel. En vue de notre expansion en Allemagne, nous devions nous assurer que nous protégions les données de nos clients et les nôtres selon les normes les plus élevées possibles - nous avons donc entamé le processus de préparation à la certification ISO/IEC 27001 il y a près d'un an.

Qu'est-ce que cela signifie pour nos clients et nos partenaires ?

En tant que Fintech B2B, nous devions disposer d'un moyen sûr de nous développer sur de nouveaux marchés. Nous demandons aux gens d'accéder à leurs données professionnelles - comme leurs relevés bancaires, l'historique des achats, les dépenses en marketing en ligne - nous devons donc être certains que ces données sont toujours traitées en toute confidentialité.

"L'accès aux dossiers financiers privés des entreprises est très délicat, c'est pourquoi nous plaçons la sécurité de l'information au centre de tous les processus et systèmes que nous construisons", explique Greg Tappero, directeur technique. - Nous sommes fiers d'être le premier neolender européen à sécuriser son infrastructure d'information avec la certification ISO/IEC 27001. Cela montre à tous nos partenaires financiers et de plateforme à quel point nous prenons au sérieux la sécurité et la protection des données. Nous connaissons son importance en Allemagne, et nous n'envisagerions pas d'entrer sur ce marché sans l'obtenir."

Vous envisagez vous aussi d'obtenir la certification ISO ?

Voici quelques conseils !

Ayant nous-mêmes traversé le difficile parcours ISO/IEC 27001, nous pouvons partager certains conseils avec toute autre entreprise numérique prête à l'entreprendre. Voici quelques conseils pratiques de Thomas sur les éléments à prendre en compte lors de l'établissement d'un cadre de contrôle (en tant que véritable ingénieur, il reste bref !) :

Plus vous commencez tôt, mieux c'est : plus l'entreprise est grande, plus c'est difficile.

Assurez-vous de l'engagement de tous les dirigeants : il s'agit d'un effort à l'échelle de l'entreprise.

Achetez une licence pour une plateforme de conformité : nous sommes très satisfaits du soutien de Vanta à cet égard.

Lisez la norme : encore et encore, plusieurs fois, jusqu'à ce que vous la compreniez vraiment.

Soyez pratique : la norme 27001 est destinée aux entreprises de toutes tailles, les meilleurs processus sont ceux qui suivent la norme et le flux de votre entreprise.

Visitez notre page de confiance pour accéder à notre certificat ISO/IEC 27001 et aux mises à jour de contrôle en temps réel. Et si vous avez d'autres questions sur ce sujet, contactez-nous à l'adresse help@silvr.co

Silvr ist jetzt offiziell der erste europäische Neo-Lender, der nach ISO/IEC 27001 zertifiziert wurde. Wenn das kein Grund zum Feiern ist!

Wir haben die letzten sechs Monate gemeinsam mit unserem Compliance-Dienstleister Vanta und der von der britischen Regierung geförderten ISO-Zertifizierungsstelle British Assessment Bureau an der Sicherung unserer IT-Infrastruktur gearbeitet.

Wie und warum wir das getan haben? Lesen Sie weiter, um es herauszufinden.

Was ist die ISO/IEC 27001-Zertifizierung?

Die ISO/IEC 27001-Zertifizierung ist eine von fast 25.000 internationalen Normen, die von der Internationalen Organisation für Normung vergeben werden. Die ISO/IEC Norm 27001 weist nach, dass ein Informationssicherheits-Managementsystem (ISMS) eingerichtet wurde, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Anwendung eines überprüften Risikomanagementprozesses zu gewährleisten.

Einfach ausgedrückt: Es handelt sich um den höchsten heute existierenden globalen Standard, den ein Unternehmen einhalten kann, um sicherzustellen, dass es mit Daten auf die sicherste Art und Weise umgeht.

Warum ist ISO/IEC 27001 so schwer zu erreichen?

Das Verfahren erfordert die Zertifizierung des Schutzes von Daten in allen Formen.

Und dazu muss Folgendes gewährleistet werden:

  • Informationen in allen Formen, digital und analog, sind geschützt.
  • Die Widerstandsfähigkeit gegen Cyberangriffe wird fortlaufend ausgebaut.
  • Die Zentralisierung von Informationen ist gewährleistet.
  • Ein unternehmensweiter Schutz (sowohl digital als auch physisch) ist gewährleistet.
  • Bedrohungen werden erkannt und unter Kontrolle gebracht.
  • Datenintegrität, Datenschutz und Verfügbarkeit sind sichergestellt.

Klingt nach einer Menge Arbeit? Stimmt, das ist es auch.

Bis zum Ende des Zertifizierungsprozesses wurde unser Unternehmen einmal komplett auf den Kopf gestellt. Kein noch so kleines Detail, dass nicht unter die Lupe genommen wurde, um Silvrs Sicherheit auf Herz und Nieren zu prüfen.

Wie läuft der Zertifizierungsprozess ab?

Wer sich nach ISO/IEC 27001 zertifizieren lassen möchte, muss einige Vorgaben erfüllen, z.B. in Bezug auf:

  • Verantwortung: Es ist unerlässlich, dass eine Führungskraft die kollektive Verantwortung für das ISMS übernimmt. In unserem Fall ist das unser CTO Greg Tappero.
  • Prozesse und Budgets: Diese müssen zeigen, dass Sicherheit nichts ist, das ausschließlich mit der IT-Abteilung zu tun hat. Das gesamte Unternehmen mit jeder einzelnen Abteilung ist daran beteiligt.
  • Bestandsaufnahme: Es muss eine gründliche Prüfung durchgeführt werden, um das aktuelle Datenschutzniveau zu ermitteln.
  • Aktionsplan: Nach der Bestandsaufnahme legt das Unternehmen einen Plan fest, um langfristig ein geeignetes Informationsschutzniveau zu erreichen.
  • Betriebsmanagement: Es muss ein angemessenes und wirksames Management der ISMS-bezogenen Aktivitäten sichergestellt werden. Für uns bedeutete dies, 15 zusätzliche Richtlinien zu verfassen, die das gesamte Unternehmen ab sofort zu befolgen hat, was mehr als 110 Kontrollpunkten entspricht.

Die gute Nachricht lautet: Am Ende dieses Prozesses kann man sich wirklich darauf verlassen, dass die besten Maßnahmen ergriffen wurden, um den digitalen Betrieb intern (für Mitarbeiter:innen) und extern (für Partner:innen und Kund:innen) vollständig abzusichern.

„Für die Fertigstellung des Stufe-1-Berichts haben wir etwa vier Monate intensiver Zusammenarbeit benötigt“

Berichtet Thomas Pelletier, VP of Engineering bei Silvr

„In Stufe 2 wurde uns dann bescheinigt, dass wir wirklich das tun, was wir versprechen. Das britische Assessment Bureau bestätigte, dass wir für jede der Anforderungen der ISO/IEC 27001-Norm einen Kontrollmechanismus definiert haben, und prüfte stichprobenartig die Anwendung dieser Kontrollen.“

Was macht ISO/IEC 27001 so wichtig für Silvr?

Mit der zunehmenden Digitalisierung der Wirtschaft wird die Cybersicherheit zu einem entscheidenden Thema – insbesondere im Zusammenhang mit Online-Geschäftsvorgängen (remoten Arbeitsplätzen, Open-Banking, einer steigender Anzahl elektronischer Geräte usw.). Das Weltwirtschaftsforum meldete, dass die Zahl der Cyberangriffe im Jahr 2020 im Vergleich zum Vorjahr um 22 Prozent gestiegen waren. Und wie Deloitte berichtet, wurden 35 Prozent der Angriffe während der Covid-19-Pandemie mit bisher unbekannter Malware und Methoden durchgeführt.

Der Schutz von Informationssystemen und Netzwerken ist daher von entscheidender Bedeutung – vornehmlich in postpandemischen Zeiten für Finanztransaktionen, Betriebsabläufe und den Datenaustausch.

Warum wir uns für die ISO-Zertifizierung entschieden haben

Jedes digitale Unternehmen sollte seine Informationssysteme schützen. Speziell für uns war die ISO/IEC 27001-Zertifizierung aber der beste Weg, sicherzustellen, dass wir alle Voraussetzungen erfüllen, um uns kontinuierlich an die aktuellen Marktbedingungen anzupassen – es gibt kaum etwas, das für uns als Fintech-Startup so wichtig ist.

Parallel zu unserer Expansion nach Deutschland wollten wir sicherstellen, dass wir die Daten unserer Kund:innen und unsere eigenen Daten nach dem höchstmöglichen Standard schützen. Bereits vor einem Jahr mit der Vorbereitung auf die ISO/IEC 27001-Zertifizierung zu beginnen, war da nur folgerichtig.

Was bedeutet das für unsere Kund:innen und Partner:innen?

Als Fintech-Unternehmen, das Partnerschaften mit anderen Unternehmen eingeht, mussten wir eine sichere Methode zur Skalierung in unterschiedlichen Märkten finden. Immerhin bitten wir Unternehmen, uns Zugriff auf ihre sensibelsten Geschäftsdaten, wie Kontoauszüge, Kaufvorgänge und digitale Werbeausgaben, zu gewähren. Es versteht sich von selbst, dass wir sicherstellen müssen, dass diese Daten stets vertraulich behandelt werden.

„Der Zugriff auf die privaten Finanzdaten von Unternehmen ist sehr sensibel, daher steht die Informationssicherheit bei allen Prozessen und Systemen, die wir entwickeln, an erster Stelle“

Erklärt unser CTO Greg Tappero

„Wir sind stolz darauf, der erste europäische Neo-Lender zu sein, der seine Informationsinfrastruktur mit der ISO/IEC 27001-Zertifizierung sichert. Das zeigt allen unseren Kapital- und Plattformpartner:innen, wie ernst wir Datensicherheit und Datenschutz nehmen. Wir wissen, wie wichtig das in Deutschland ist, und würden ohne diese Zertifizierung nicht auf den Markt gehen.“

Ihr Unternehmen denkt auch über eine ISO-Zertifizierung nach?

Hier kommen ein paar Tipps …

Nachdem wir selbst den beschwerlichen, aber sich lohnenden Prozess der ISO/IEC 27001-Zertifizierung durchlaufen haben, fühlen wir uns durchaus dazu ermächtigt, anderen digitalen Unternehmen einige Ratschläge mit auf den Weg zu geben. Hier kommen ein also paar Tipps von Thomas Pelletier, unserem VP of Engineering. Als waschechter Informatiker fasst er sich kurz:

  1. Fangen Sie so früh wie möglich an: Je größer das Unternehmen, desto komplexer wird es.
  2. Alle Führungskräfte müssen sich beteiligen: Das ist ein Projekt, das das ganze Unternehmen betrifft.
  3. Kaufen Sie eine Lizenz für eine Compliance-Plattform: Wir sind mit der Unterstützung von Vanta sehr zufrieden.
  4. Gehen Sie die Norm im Detail durch: immer wieder und mehrmals, bis Sie sie wirklich verstanden haben.
  5. Bleiben Sie pragmatisch: 27001 ist für Unternehmen jeder Größe gedacht. Die besten Prozesse sind die, die der Norm und Ihren individuellen Unternehmensabläufen entsprechen.

Unser ISO/IEC 27001-Zertifikat finden Sie neben Updates zur Echtzeitkontrolle in unserem Trust Report. Bei weiteren Fragen steht Ihnen unser Team gern unter help@silvr.co zur Verfügung.

Disclaimer: Each financing is subject to Capital Line’s eligibility criteria.
Disclaimer: Chaque versement est soumis aux critères d'éligibilité de l'offre Capital Line.
Disclaimer: Jede auszuzahlende Finanzierungsrate unterliegt einer (erneuten) Berechtigungsprüfung.
Voici nos offres de financements
Open an account with Qonto
Antoine Zirimis
Rédacteur-rice Silvr

Rédacteur et chef de projet éditorial, ses études de journalisme servent aujourd’hui sa créativité et sa curiosité. Alors, quel que soit le sujet : sa passion ne faiblit jamais.

Recevez la newsletter Silvr