Jeg er en leverandør

Jeg er en innkjøper

Offentlige innkjøpere

Slik hever Mercell standarden for anskaffelsessikkerhet i 2025

Offentlige anskaffelser er basert på tillit. For å gjøre oss fortjent til denne tilliten bygger vi inn sikkerhet i programvaren vår, dokumenterer den løpende gjennom uavhengige kontroller og investerer i menneskene og verktøyene som gir oss kontroll over fremvoksende risiko.

hero-image

Offentlige innkjøpere, fra kommuner til departementer, har av gode grunner blitt mer sikkerhetsbevisste. Personvern, plattformtilgjengelighet og overholdelse av lov- og regelverk er nå selvsagte temaer i enhver samtale om anskaffelser. 

I Mercell har vi svart med å integrere sikkerhet i kjernevirksomheten vår, slik at den alltid prioriteres når vi bygger, drifter og løpende utvikler plattformen vår.

For å forstå hvordan vi møter og overgår dagens forventninger til sikkerhet, har vi tatt en prat med Charles Wilson, Mercells Director of Information Security & IT, 

som har ledet sikkerhetstransformasjonen i vårt eget selskap. Charles snakket om hvordan teamet hans jobber med alt fra programvareutvikling og EU-basert skyinfrastruktur til etterlevelse, kryptering og forretningskontinuitet.

I denne artikkelen skisserer vi de viktigste prinsippene, praksisene og strategiske beslutningene som utgjør grunnmuren i Mercells sikkerhetsarbeid, og hvordan de setter oss i stand til å støtte de mest sikkerhetsbevisste innkjøperne rundt om i Europa.

Slik strukturerer vi sikkerhet hos Mercell

Vi organiserer sikkerhetsprogrammet vårt i tre sentrale domener som påvirker hverandre gjensidig.

  • Det første er informasjonssikkerhet, som styrer hvordan vi beskytter sensitiv informasjon. Dette omfatter alt fra adgangskontroll og kryptering til risikovurderinger, ressurssporing og beredskap.

  • Det andre er tillit og etterlevelse, med et team som fokuserer på å innarbeide bransjestandarder og rammeverk i Mercell. Her omsettes lovkrav og regelverk til innarbeidede praksiser i den daglige virksomheten, og sikrer at vi ikke bare oppfyller forventningene, men dokumenterer og beviser at vi gjør det.

  • Det tredje domenet er teknisk sikkerhet, som fordeler seg på to områder. Det ene handler om IT for virksomheter, inkludert endepunkter, identitetsadministrasjon og interne systemer. Det andre sikrer applikasjons- og infrastrukturlaget vårt og sørger for at skyoppsettet, CI/CD-pipelines (automatiske prosesser som bidrar til å levere hyppigere og mer pålitelige kodeendringer) og baksystemer oppfyller moderne sikkerhetsstandarder.

Disse tre domenene jobber synkronisert. Når en regel for etterlevelse endres, blir den et konstruksjonskrav. Når en uønsket hendelse oppstår, omfatter responsen både plattformen og selskapet. I Mercell er ikke sikkerhet inndelt i siloer – den er integrert.

 

Innebygd sikkerhet: Slik bygger vi

I Mercell begynner sikkerhet lenge før et produkt møter markedet. Hver eneste fase i programvareutviklingen, fra den første ideen på et veikart til det øyeblikket koden tas i bruk, er utformet med sikkerhet i tankene.

Når kode endres, skjer det etter obligatoriske kollegavurderinger og mange automatiske skanninger for å avdekke eventuelle sårbarheter og håndheve kvalitetsstandardene. Adgang er strengt kontrollert ut fra prinsippet om minste privilegium, og arbeidsoppgavene er tydelig adskilt og fordelt på bygging, testing og utrulling for å minimalisere risiko. Innbygging av sikkerhet og testing tidlig i utviklingsløpet sørger for at systemene våre er designet for å avdekke potensielle problemer tidlig i utviklingssyklusen, lenge før de settes i produksjon.

Ifølge Charles er innbygging av sikkerhet i utviklingsprosessen en av de mest kritiske måtene Mercell sikrer konsistent og skalerbar beskyttelse på. – Hvis en sårbarhet blir med inn i produksjonen, har vi allerede gått glipp av flere sjanser til å fange den opp. Derfor har vi gjort tidlig oppdagelse til et ufravikelig krav, sier han.

Resultatet er en plattform som er sikker som standard. Offentlige innkjøpere slipper å måtte konfigurere ytterligere beskyttelse eller integrere verktøy fra tredjeparter. Sikkerheten er innebygd.

Hosting innen EU, kryptering overalt

All kundeinformasjon på Mercell-plattformen hostes på AWS-datasentre i EU-området. Dette overholder forpliktelsene i personvernforordningen (GDPR) og oppfyller forventningene til mange innkjøpere i offentlig sektor. Vi er likevel klar over at lokaliseringen alene ikke er tilstrekkelig i et globalt sammenknyttet skyøkosystem.

Derfor har vi innført kryptering som et grunnleggende sikkerhetstiltak. Data er kryptert under overføring og lagring, og vil således være uleselige selv om uautoriserte personer skulle fange dem opp eller hente dem ut. Disse praksisene er ikke bare interne standarder, men påkrevd under sertifiseringene vi har og opprettholder.

Vi er også åpne når vi administrerer underbehandlere. Når data krysser grenser, sørger vi for at kunder blir informert, og at vi følger dokumenterte prosesser for godkjenning og varsling.

Risikostyring: mennesker, prosess og teknologi 

Sikkerhetsstrategien vår er risikobasert. Vi begynner med å kartlegge ressursene våre – mennesker, prosesser og teknologi – og vurdere hvor kritiske de er for driften.

For eksempel evaluerer vi risikoen for å gjøre seg avhengig av nøkkelpersoner, og planlegger for rekruttering av etterfølgere. Vi skiller mellom forretningskritiske plattformer og perifere verktøy for å sikre at kontinuitetsplanleggingen vår sikter seg inn på det som har størst betydning. Den AWS-baserte produktinfrastrukturen vår er bygd for å tåle uforutsette hendelser, med automatiske løsninger for omkobling (failover) og gjenoppretting som sikrer at vi leverer på de tjenestenivåene vi har lovet.

Vår daglige planlegging og styring bygger på denne forståelsen. Når man vet hva som er kritisk, vet man også hva man må beskytte.

Kontinuitet som et kjerneprinsipp

Sikkerhet handler ikke bare om å avverge trusler. Det handler om å forberede seg på forstyrrelser. Vi vedlikeholder formelle planer for forretningskontinuitet og katastrofegjenoppretting, og tester dem minst én gang i året. Disse øvelsene validerer vår evne til å gjenopprette tjenester raskt og opprettholde driftsberedskap.

For mange kunder inkluderer kontraktene våre en målsetting om gjenopprettingstider helt ned til fire timer. Disse målene styrer den tekniske planleggingen og ressursfordelingen vår. Dermed har vi både oppsettet og øvelsen til å kunne respondere effektivt hvis noe går galt.

– Vi tester katastrofegjenopprettingen vår minst én gang i året for å forsikre oss om at vi vet nøyaktig hvordan vi skal få produktet opp og stå igjen hvis noe skulle gå galt, sier Charles Wilson om Mercells vektlegging av driftsberedskap.

Dokumentasjon: viktige sertifiseringer

Uavhengige instanser har kontrollert Mercells sikkerhetsprogram mot flere ledende standarder. Disse omfatter ISO 27001 for informasjonssikkerhet, ISO 27701 for personinformasjon, SOC 2, den tyske standarden BSI C5 samt ISAE 3000. Hvert rammeverk bekrefter at kontrollene våre eksisterer og fungerer etter hensikten.

Med disse sertifiseringene kan vi støtte europeiske kunder som må forholde seg til komplekse regelverk, blant annet slike som har virksomhet innen kritisk infrastruktur. Det reduserer også friksjonen i forbindelse med selskapsgjennomganger. Innkjøperne skal ikke bare måtte stole blindt på hva vi sier, men kan få standardisert og kontrollerbar dokumentasjon.

Alle sertifiseringsdokumenter og alt støttemateriell er tilgjengelig via vår Trust Portal etter signering av en konfidensialitetsavtale.

Åpenhet for kunden

Vår Trust Portal eksisterer av en enkel grunn: Innkjøpere trenger svar, og de skal ikke måtte lete rundt etter dem. Under en konfidensialitetsavtale har kunder tilgang til de sentrale sikkerhetspolicyene, sertifiseringene og revisjonsdokumentene våre på ett sted.

Dette reduserer gnisninger i forbindelse med anskaffelser, forkorter gjennomganger og støtter en tryggere beslutningsprosess.

Vekst og veien videre

I Mercell er emnet sikkerhet i konstant utvikling. Under Charles Wilsons ledelse har sikkerhetsteamet vokst betraktelig, ikke bare i størrelse, men også med tanke på strategisk rekkevidde. Integreringen av IT under sikkerhetsfunksjonen har styrket oversikten i hele virksomheten og muliggjør tettere styring av endepunkter, infrastruktur og identitets- og adgangsadministrasjon.

Bare i løpet av det siste året har Mercell innført moderne grunnleggende sikkerhetstiltak som administrasjon av mobile enheter og EDR-løsninger (Endpoint Detection and Response). Dette arbeidet gjenspeiler en bredere visjon og kommer ikke bare som en reaksjon på press utenfra. Som Charles bemerket, kreves det planlegging, investering og kontinuerlig tilpasning dersom man vil holde seg i forkant av lov- og regelendringer og få kontroll over fremvoksende risiko.

Fremover bygger vi inn sentralisert trusseldeteksjon i miljøet vårt, slik at vi kan samle og analysere logger fra både virksomhets- og plattformsystemer gjennom innføring av SIEM (Security Information and Event Management). Vi forbereder oss på å automatisere mer av beredskapen vår, ved å bruke orkestreringsverktøy som kan stanse trusler raskere og med mindre manuell intervensjon.

Dette er vanlige praksiser i ledende teknologiselskaper. Vi bruker dem i Mercell for å oppfylle forventningene til morgendagens innkjøpere.

Oppfyller forventningene til en variert gruppe innkjøpere

Alle kunder drar nytte av det samme sikkerhetsoppsettet, men større og mer regulerte organisasjoner kan kreve mer detaljert dokumentasjon eller til og med formelle revisjoner. Vi er forberedt på å støtte disse prosessene. Enten det dreier seg om et departement som gjennomgår sikkerhetskontroller linje for linje, eller en kommune som trenger grunnleggende sikkerhet, leverer vi det rette nivået av synlighet.

Leverandører som benytter Mercell via selvbetjening, slipper å bekymre seg for konfigurasjon eller oppsett. Plattformen er allerede sikret i henhold til beste praksiser i bransjen.

For sektorer som politi og rettsvesen, forsvar eller nasjonal infrastruktur, forstår vi at anskaffelsesinformasjonen kan være særdeles sensitiv. Programmet vårt er bygd for å ta hensyn til dette.

Avsluttende bemerkning

I Mercell bygger vi sikkerheten inn allerede fra starten. Vi validerer den kontinuerlig og hever standarden for hvert år som går. Tillit er nemlig ikke gitt, men noe man hele tiden må gjøre seg fortjent til.

I vår Trust Portal kan du lese mer om hvordan vi beskytter informasjonen din, prosessene dine og oppdraget ditt.