Näin Mercell nostaa hankintojen turvallisuuden rimaa vuonna 2025
Luottamus on julkisten hankintojen kulmakivi. Mercell saavuttaa sen sisällyttämällä turvallisuuden osaksi ohjelmistojamme, teettämällä säännöllisiä riippumattomia tarkastuksia sekä panostamalla ihmisiin ja työkaluihin, jotka auttavat riskeihin varautumisessa.
Julkiset ostajat kunnista ministeriöihin ovat entistä tietoisempia turvallisuudesta – ja hyvä niin. Tietosuojan, alustan käytettävyyden ja sääntelyn yhdenmukaistamisen kysymykset nousevat tätä nykyä esiin jokaisessa hankintakeskustelussa.
Siksi Mercell on tehnyt turvallisuudesta keskeisen osan liiketoimintaansa ja tapaansa rakentaa, ylläpitää ja parantaa alustaansa jatkuvasti.
Kysyimme Mercellin turvallisuus- ja IT-päällikkö Charles Wilsonilta, miten Mercell vastaa nykypäivän tietoturvaa koskeviin odotuksiin ja ylitämme ne.
Mercellin turvallisuusuudistusta luotsannut Charles kertoi, kuinka tiimi lähestyy kaikkea ohjelmistokehityksestä ja EU:n pilvi-infrastruktuurista vaatimustenmukaisuuteen, salaukseen ja liiketoiminnan jatkuvuuteen.
Tässä artikkelissa kerromme Mercellin turvallisuuden perustan muodostavista keskeisistä periaatteista, käytännöistä ja strategisista päätöksistä sekä siitä, miten ne auttavat meitä tukemaan jopa kaikkein turvallisuustietoisimpia ostajia kaikkialla Euroopassa.
Mercellin turvallisuuden rakentuminen
Jaamme turvallisuusohjelmamme kolmeen keskeiseen ja toisiinsa limittyvään alueeseen.
-
Ensimmäinen alue on tietoturva, joka määrittää arkaluonteisten tietojen suojaamista. Se sisältää kaiken pääsynvalvonnasta ja salauskäytännöistä riskinarviointeihin, omaisuuden seurantaan ja varautumiseen.
-
Luottamuksesta ja vaatimustenmukaisuudesta vastaava tiimi varmistaa, että Mercell toimii alan standardien ja kehysten puitteissa. Tiimi muuntaa viranomaisvaatimukset toimintakäytännöiksi sekä varmistaa, että täytämme odotukset ja pystymme myös dokumentoidusti todistamaan sen.
-
Kolmas alue eli tekninen turvallisuus jakautuu kahteen osa-alueeseen. Niistä ensimmäinen keskittyy yritysten tietotekniikkaan ja muun muassa sen päätepisteisiin, identiteetin hallintaan ja sisäisiin järjestelmiin. Toinen osa-alue vastaa sovellus- ja infrastruktuurikerroksen suojaamisesta ja varmistaa, että pilviympäristömme, CI/CD-putket ja taustajärjestelmät täyttävät tämän päivän turvallisuusvaatimukset.
Edellä mainitut kolme aluetta toimivat synkronoidusti. Kun vaatimustenmukaisuussääntö muuttuu, siitä tulee tekninen vaatimus. Kun jossain ilmenee häiriö, siihen reagoidaan sekä alustan että yrityksen tasolla. Mercellillä turvallisuus ei ole siiloutunutta vaan olennainen osa kaikkea toimintaa.
Suunniteltu turvalliseksi – alusta lähtien
Mercellillä turvallisuus huomioidaan jo kauan ennen tuotteen toimittamista. Turvallisuuteen kiinnitetään huomiota ohjelmistokehityksen elinkaaren joka vaiheessa toteutussuunnitelman ensimmäisestä ideasta aina koodin käyttöönottoon asti.
Koodimuutokset käyvät läpi pakollisen vertaisarvioinnin ja useita automaattisia tarkistuksia haavoittuvuuksien havaitsemiseksi ja laatustandardien mukaisuuden varmistamiseksi. Pääsynhallinta perustuu pienimmän valtuuden periaatteeseen, ja vastuut kehitys-, testaus- ja käyttöönottovaiheiden välillä on erotettu selkeästi riskien minimoimiseksi. Shift-left-testauksen ja turvallisuuskäytäntöjen ansiosta järjestelmämme havaitsevat mahdolliset ongelmat jo kehityssyklin alkuvaiheessa, kauan ennen tuotantoon siirtymistä.
Charlesin mukaan turvallisuusajattelun sisällyttäminen kehitysprosessiin on yksi tärkeimmistä tavoista, joilla Mercell varmistaa jatkuvan ja laajamittaisen suojauksen. ”Haavoittuvuuksien tunnistamiseen tarjoutuu useita tilaisuuksia ennen tuotantovaihetta. Siksi varhainen havaitseminen on meille ehdoton periaate.”
Tuloksena on oletusarvoisesti turvallinen alusta. Julkisten ostajien ei tarvitse määrittää lisäsuojauksia tai integroida kolmannen osapuolen työkaluja. Turvallisuus on kiinteä osa ratkaisua.
Palvelimet EU:ssa, salaus kaikkialla
Kaikkia Mercellin alustan asiakastietoja säilytetään AWS:n palvelinkeskuksissa Euroopan unionissa sijaitsevilla palvelimilla. Tämä täyttää EU:n tietosuoja-asetuksen velvoitteet ja monien julkisen sektorin ostajien odotukset. Tiedostamme kuitenkin, että maailmanlaajuisessa pilviekosysteemissä paikallisuus ei aina riitä.
Siksi käytämme perustason suojauksena salausta. Tiedot salataan sekä siirron että säilytyksen aikana, jolloin asiaankuulumattomat tahot eivät voi lukea niitä, vaikka ne siepattaisiin tai purettaisiin. Nämä käytännöt eivät ole vain Mercellin sisäisiä, vaan niitä vaaditaan myös hankkimissamme ja ylläpitämissämme sertifioinneissa.
Myös alikäsittelijöiden hallinnointi tapahtuu meillä läpinäkyvästi. Varmistamme, että asiakkaat saavat ilmoituksen tietojen siirtymisestä rajojen yli ja että siirto tapahtuu dokumentoituja hyväksyntä- ja ilmoitusprosesseja noudattaen.
Riskien hallinta: ihmiset, prosessit ja teknologia
Turvallisuusstrategiamme on riskilähtöinen. Aloitamme kartoittamalla voimavaramme, eli ihmiset, prosessit ja teknologian, ja arvioimalla, kuinka kriittisiä ne ovat toiminnalle.
Tunnistamme esimerkiksi avainhenkilöriippuvuuksien riskit ja huolehdimme seuraajasuunnittelusta. Erotamme liiketoiminnalle keskeiset alustat oheistyökaluista varmistaaksemme, että jatkuvuussuunnittelussa keskitytään olennaiseen. AWS-pohjainen tuoteinfrastruktuurimme on kestää häiriöitä, ja sen varajärjestelmä- ja palautustoiminnot takaavat sovittujen palvelutasojen toteutumisen.
Ymmärrys näistä asioista heijastuu suoraan päivittäiseen suunnitteluun ja hallintaan. Kun kriittiset kohteet on tunnistettu, ne on mahdollista myös suojata.
Jatkuvuus keskeisenä periaatteena
Turvallisuus ei ole vain uhkien torjumista. Se on häiriöihin varautumista. Käytämme virallisia liiketoiminnan jatkuvuus- ja palautumissuunnitelmia, jotka molemmat testataan vähintään kerran vuodessa. Testit varmistavat, että voimme palauttaa palvelut nopeasti, ja ylläpitävät toimintavalmiutta.
Olemme sitoutuneet monissa asiakassopimuksissa jopa vain neljän tunnin palautumisaikaan. Tällaiset tavoitteet ohjaavat teknistä suunnittelua ja resursointia. Kun jokin menee pieleen, suunnitelmamme ja käytäntömme takaavat tehokkaan reagoinnin.
”Testaamme palautumissuunnitelmaa vähintään kerran vuodessa varmistaaksemme, että hätätilanteessa tiedämme tarkalleen, miten tuote saadaan takaisin toimintaan”, sanoo Charles Wilson viitaten Mercellin korostamaan toimintavalmiuteen.
Sertifikaatit todisteina turvallisuudesta
Mercellin turvallisuusohjelma on tarkastettu riippumattomasti useiden johtavien standardien mukaisesti. Näitä ovat ISO 27001 (tietoturva), ISO 27701 (yksityisyyden suoja), SOC 2, saksalainen BSI C5 -standardi ja ISAE 3000 -standardi. Kukin näistä vahvistaa, että hallintatoimet on määritetty ja että ne toimivat tarkoituksenmukaisesti.
Sertifiointikokonaisuuden ansiosta voimme palvella vaativia säänneltyjen järjestelmien asiakkaita eri puolilla Eurooppaa – myös kriittisen infrastruktuurin toimialoilla. Samalla se sujuvoittaa yritysten due diligence -tarkastuksia. Emme jätä ostajia pelkkien vakuutteluiden varaan, vaan esitämme standardoituja ja tarkastettavia todisteita.
Kaikki sertifiointiasiakirjat ja tukimateriaalit ovat saatavilla Trust Portal ‑palvelustamme salassapitosopimuksen nojalla.
Läpinäkyvät toimitukset
Trust Portal -palvelumme on perustettu selkeää tarkoitusta varten: ostajat tarvitsevat vastauksia, eikä niitä pitäisi joutua etsimään kissojen ja koirien kanssa. Salassapitosopimuksen allekirjoittaneilla asiakkailla on pääsy kaikkiin keskeisiin turvallisuuskäytäntöihimme, sertifikaatteihin ja tarkastusasiakirjoihin yhdessä paikassa.
Tämä sujuvoittaa hankintoja, lyhentää tarkistussyklejä ja lisää päätöksenteon varmuutta.
Kasvu ja tulevaisuus
Mercellin turvallisuus kehittyy jatkuvasti. Charles Wilsonin johdolla turvallisuustiimin koko ja strateginen vaikutus ovat kasvaneet merkittävästi. Tietotekniikan liittäminen osaksi turvallisuuden vastuualetta on tehostanut liiketoiminnan valvontaa ja mahdollistanut tarkemman hallinnoinnin päätelaitteiden, infrastruktuurin sekä identiteetti- ja pääsynhallinnan osalta.
Pelkästään viime vuoden aikana Mercell on ottanut käyttöön nykyaikaisia perustason suojauksia, kuten mobiililaitteiden hallinnan ja päätepisteiden tunnistamisen ja reagoinnin. Uudistukset eivät ole vain ulkoisten paineiden tuottama reaktio vaan osa laajempaa visiota. Kuten Charleskin toteaa, sääntelyn muutoksiin ja uusiin uhkiin varautuminen edellyttää suunnittelua, investointeja ja jatkuvaa sopeutumista.
Suuntaamme tulevaisuuteen rakentamalla keskitettyä uhkien tunnistusjärjestelmää, joka kerää ja yhdistää lokitietoja eri järjestelmistä turvallisuustietojen ja -tapahtumien hallinnan (SIEM) avulla. Tavoitteenamme on automatisoida yhä suurempi osa reagointivalmiuksistamme orkestrointityökalujen avulla, mikä nopeuttaa uhkiin reagoimista ja vähentää manuaalista työtä.
Nämä ovat yleisiä käytäntöjä johtavissa teknologiayrityksissä, ja Mercell ottaa ne käyttöön palvellakseen ostajia tulevaisuudessa entistäkin paremmin.
Palvelua erilaisille ostajille – kaikki odotukset huomioiden
Kaikki asiakkaat hyötyvät samasta turvallisuusympäristöstä, mutta suuret tai säännellyt organisaatiot saattavat lisäksi vaatia yksityiskohtaisempaa dokumentointia tai jopa virallisia tarkastuksia. Meillä on valmiudet tukea näitä prosesseja. Tarjoamme aina asianmukaisen näkyvyyden, olipa kyse sitten turvallisuuskäytännöt yksityiskohtaisesti tarkastavasta ministeriöstä tai perusvarmuutta tarvitsevasta kunnasta.
Mercellin itsepalvelua käyttävien toimittajien ei tarvitse huolehtia määrityksistä tai asetuksista. Alusta on suojattu valmiiksi alan parhaiden käytäntöjen mukaisesti.
Ymmärrämme myös hankintatietojen erityisen arkaluonteisuuden esimerkiksi lainvalvonnan, maanpuolustuksen ja kansallisen infrastruktuurin aloilla. Ohjelmamme on suunniteltu näitäkin vaatimuksia silmällä pitäen.
Lopuksi
Me Mercellillä rakennamme turvallisuutta alusta alkaen. Valvomme sitä jatkuvasti. Lisäksi nostamme rimaa vuosi toisensa jälkeen, sillä luottamuksen saavuttaminen ei ole itsestäänselvyys. Se on ansaittava.
Jos haluat lisätietoja tavoista, joilla suojaamme tietojasi, prosessejasi ja toimintaasi, siirry Trust Portal -palveluumme.