Jeg er leverandør

Jeg er en indkøber

Indkøbere

Sådan hæver Mercell barren for indkøbssikkerhed i 2025

Offentlige indkøb bygger på tillid. Vi gør os fortjent til den ved at bygge sikkerhed ind i vores software, dokumentere den via løbende, uafhængige inspektioner og investere i de mennesker og værktøjer, der holder os på forkant af nye risici.

hero-image

Offentlige indkøbere, fra kommuner til ministerier, er blevet mere sikkerhedsbevidste, og det med god grund. Databeskyttelse, adgang til platformen og overholdelse af gældende love og regler er nu standardspørgsmål ved enhver indkøbssamtale. 

Hos Mercell har vi gjort sikkerhed til en fast del af vores kerneforretning og indlejre den i hele den måde, vi opbygger, driver og løbende forbedrer vores platform på.

Til en uddybning af, hvordan Mercell opfylder og overgår nutidens krav om sikkerhed, har vi talt med Charles Wilson, Director of Information Security & IT hos Mercell. 

Med udgangspunkt i hans erfaringer med at lede Mercells transformation inden for sikkerhed kan Charles forklare, hvordan hans team griber opgaven an – fra softwareudvikling og EU-baseret cloudinfrastruktur til compliance, kryptering og forretningskontinuitet.

I denne artikel skitserer vi de nøgleprincipper, praksisser og strategiske beslutninger, Mercells sikkerhed bygger på, og hvordan de hjælper os med at støtte de mest sikkerhedsbevidste købere i hele Europa.

Sådan strukturerer vi sikkerheden hos Mercell

Vi organiserer sikkerhedsprogrammet i tre kernedomæner, der er indbyrdes forbundet.

  • Første domæne er informationssikkerhed, der styrer, hvordan vi beskytter følsomme data. Det omfatter alt fra adgangskontrol og krypteringspolitikker til risikovurderinger, sporing af aktiver og beredskabsplanlægning.

  • Det andet er tillid og compliance, hvor teamet fokuserer på at tilpasse Mercell til branchestandarder og regelværk. De gør lovkrav til operationel praksis og sikrer, at vi ikke alene lever op til forventningerne, men også dokumenterer og beviser det.

  • Det tredje domæne er teknisk sikkerhed, der er opdelt i to underområder. Det ene fokuserer på virksomheds-it, herunder slutpunkter, identitetsstyring og interne systemer. Det andet sikrer vores applikations- og infrastrukturlag, så vores tilstedeværelse i skyen, CI/CD-pipelines samt backend-systemer opfylder de nyeste benchmarks for sikk erhed.

Disse tre domæner er indbyrdes synkroniseret. Når en compliance-regel ændres, bliver den til et teknisk krav. Opstår en hændelse, skal responsen omfatte såvel platform som virksomhed. Sikkerheden hos Mercell befinder sig ikke en lukket silo – den er fuldt integreret.

 

Grundlæggende sikkerhed: Sådan gør vi

Sikkerheden hos Mercell begynder længe før, produktet møder markedet. Fra den første idé på et roadmap til det øjeblik, koden går live, er hver eneste fase af vores softwareudviklingscyklus drevet med fokus på sikkerhed.

Kodeændringer gennemgår et obligatorisk peer review og flere automatiserede scanninger for at afdække eventuelle sårbarheder og håndhæve kvalitetsstandarderne. Adgangen styres nøje via least-privilege-modeller, og ansvarsområder er tydeligt adskilt på tværs af udvikling, test og udrulning for at minimere risici. Ved at bruge shift-left-test og prioritere sikkerhed er vores systemer designet til at opdage potentielle problemer tidligt i vores udviklingscyklus, længe før produktionen.

Ifølge Charles er den indbyggede sikkerhed i udviklingsprocessen en af de mest kritiske måder, hvorpå Mercell sikrer ensartet og skalerbar beskyttelse. "Hvis en sårbarhed når frem til produktionen, har vi allerede forpasset flere chancer for at opfange den. Det er derfor, tidlig detektering overhovedet ikke er til forhandling."

Resultatet er en platform, der som standard er sikker. Offentlige indkøbere behøver ikke at konfigurere yderligere sikkerhedsforanstaltninger eller integrere tredjepartsværktøjer. Sikkerheden er indbygget.

 

Hosting i EU, kryptering hele vejen

Alle kundedata på Mercell-platformen hostes i AWS-datacentre inden for EU. Det opfylder GDPR-forpligtelserne og lever op til forventningerne hos mange offentlige indkøbere. Men vi ved, at lokal datahåndtering ikke altid er nok i et cloud-økosystem, der er globalt forbundet.

Derfor har vi implementeret kryptering som et grundlæggende princip. Data krypteres under overførsel, og når de er lagret. Det gør dem ulæselige for uautoriserede parter, hvis det skulle lykkes at opfange eller udtrække dem. Disse praksisser er ikke bare interne standarder, men er påkrævet i de certificeringer, vi har og opretholder.

Underleverandører til datahåndtering er også underlagt transparens. Når data krydser grænser, sikrer vi, at kunderne er informeret, og at vi følger dokumenterede processer for godkendelse og notifikationer.

 

Risikostyring: Mennesker, processer og teknologi 

Vores sikkerhedsstrategi er risikobaseret. Vi lægger ud med at kortlægge vores aktiver – mennesker, processer og teknologi – og vurderer deres kritiske betydning for driften.

Vi evaluerer fx for afhængighed af nøglepersoner og har planer ved udskiftning af disse personer. Vi skelner mellem forretningskritiske platforme og perifere værktøjer for at sikre, at vores planlægning af kontinuitet holder fokus dér, hvor det betyder mest. Vores AWS-baserede produktinfrastruktur er konfigureret robust med failover- og recovery-strategier, der er designet til at opfylde de aftalte serviceniveauer.

Disse forudsætninger indgår direkte i vores daglige planlægning og styring. For når du ved, hvad der er kritisk, ved du også, hvad du skal beskytte.

 

Kontinuitet som et kerneprincip

Sikkerhed handler ikke kun om at stoppe trusler. Det handler også om at forberede sig på forstyrrelser og disruption. Vi har skemalagte planer til disaster recovery og opretholdelse af forretningskontinuitet, der som minimum testes årligt. Disse øvelser validerer vores evne til hurtigt at genoprette tjenester og opretholde et operationelt beredskab.

Mange af vores kundekontrakter omfatter også mål for genetablering på helt ned til fire timer. Disse mål styrer vores tekniske planlægning og allokering af ressourcer. Når noget går galt, har vi både planen og erfaringen, så vi kan reagere effektivt.

"Vi tester disaster recovery mindst en gang om året for at sikre, at vi ved vi præcist, hvordan vi får tjenesterne op i fuld drift igen, hvis noget går galt," siger Charles Wilson med tanke på Mercells fokus på operationelt beredskab.

Bevisførelse: Certificeringer gør en forskel

Mercells sikkerhedsprogram er blevet uafhængigt gennemgået på tværs af flere førende standarder. De omfatter ISO 27001 for informationssikkerhed, ISO 27701 for fortrolighed, SOC 2, den tyske BSI C5-standard samt standarden ISAE 3000. Hvert regelværk bekræfter, at vores kontroller eksisterer og fungerer efter hensigten.

Hele certificeringspakken gør os kvalificerede til at støtte komplekse, regulerede kunder i hele Europa, herunder dem, der opererer inden for kritiske infrastruktursektorer. Det reducerer også udfordringerne ved due diligence. Køberne behøver ikke at tage vores ord for gode varer, men kan få standardiseret og reviderbar dokumentation.

Alle certificeringsdokumenter og understøttende materialer er tilgængelige under NDA via vores Trust Portal.

 

Transparens giver klare svar

Vores Trust Portal har et ganske enkelt formål: Købere har brug for svar, og de skal ikke lede efter dem. Med NDA kan kunder få adgang til alle centrale sikkerhedspolitikker, certifikater og revisionsdokumentation på ét sted.

Dette reducerer indkøbsudfordringer, forkorter processerne for gennemgang og understøtter en mere sikker beslutningsproces.

 

Vækst og fremsyn

Sikkerheden hos Mercell udvikler sig konstant. Under Charles Wilsons ledelse er sikkerhedsteamet således vokset betydeligt. Ikke alene i størrelse, men også i strategisk rækkevidde. Integrationen af it under sikkerhedsfunktionen har styrket tilsynet på tværs af virksomheden og muliggjort en strammere styring af slutpunkter, infrastruktur samt identitets- og adgangsstyring.

Alene i det seneste år har Mercell introduceret moderne beskyttelse af baseline som fx styring af mobile enheder samt detektion og respons vedrørende slutpunkter. Disse tiltag er ikke en reaktion på eksternt pres, men en del af en større vision. Ifølge Charles kræver det planlægning, investeringer og løbende tilpasning at være på forkant med lovændringer og nye trusler.

Ser vi fremad, bygger vi en centraliseret trusselsdetektion ind i vores miljø, så vi kan indsamle og korrelere logfiler på tværs af virksomheds- og platformssystemer ved implementering af SIEM. Vi forbereder os på at automatisere flere af vores svarfunktioner ved hjælp af orkestreringsværktøjer, der kan inddæmme trusler hurtigere og med mindre manuel indgriben.

Dette er almindelig praksis i førende teknologivirksomheder. Vi bruger dem hos Mercell til at opfylde forventningerne hos dagens og fremtidens indkøbere.

 

Opfylder alle forventninger hos en bred gruppe af indkøbere

Alle kunder drager fordel af vores sikkerhedstiltag, men større eller mere regulerede organisationer kan have brug for mere detaljeret dokumentation eller endda formelle revisioner. Vi er klar til at understøtte disse processer. Hvad enten det er et ministerium, der gennemgår sikkerhedskontroller linje for linje, eller en kommune, der har brug for grundlæggende sikkerhed, leverer vi det rette niveau af synlighed. 

Leverandører, der bruger Mercell via selvbetjening, skal ikke bruge kostbar tid på konfiguration eller opsætning. Platformen er allerede sikret i henhold til bedste praksis for branchen.

Til sektorer som retshåndhævelse, forsvar eller national infrastruktur er vi forberedte på den unikke følsomhed i indkøbsdata. Vores program er opbygget, så det tager hensyn til disse forhold.

 

Afsluttende bemærkning

Hos Mercell indbygger vi sikkerheden fra begyndelsen. Vi validerer den løbende. Og vi hæver barren år efter år, fordi tillid ikke er givet. Den skal man gøre sig fortjent til.

Hvis du vil vide mere om, hvordan vi beskytter dine data, dine processer og din mission, kan du besøge vores Trust Portal.