Ik ben een leverancier

Ik ben een inkoper

Inkopers

Hoe Mercell de lat voor beveiliging in de publieke sector verhoogt

Publieke inkoop draait om vertrouwen. Hoe we dat verkrijgen? Door beveiliging in te bouwen in onze software en continu te toetsen met onafhankelijke audits. En door te investeren in de mensen en tooling die nieuwe risico’s vóór blijven.

hero-image

Inkopers in de publieke sector, of ze nu bij gemeenten of ministeries werken, zijn zich steeds bewuster van veiligheidsrisico’s. En terecht. Vragen over databeveiliging, het platform en compliance zijn nu standaard onderdeel van ieder gesprek over inkoop.

Het is dan ook onze verantwoordelijkheid bij Mercell om van veiligheid een kerntaak te maken. Dat uit zich in hoe we creëren, opereren en ons platform steeds weer verbeteren.

Om te begrijpen hoe we aan de huidige beveiligingsverwachtingen voldoen – en deze zelfs overtreffen –, spraken we met Charles Wilson, Mercells Director of Information Security & IT. 

Hij deelt hoe het team beveiliging benadert, van software development en in de EU-gebaseerde cloudinfrastructuur tot compliance, encryptie en bedrijfsvoering.

In dit artikel lees je de belangrijkste principes, gebruiken en strategische keuzes die samen Mercells rotsvaste basis vormen voor het ondersteunen van de meest veiligheidsbewuste inkopers van Europa.

Hoe we beveiliging vormgeven in Mercell

We organiseren ons beveiligingsprogramma met drie domeinen die in elkaar verweven zijn.

  • Het eerste programma, Informatiebeveiliging, gaat over het beschermen van gevoelige gegevens. Hieronder vallen bijvoorbeeld toegangsbeheer, encryptiebeleid, risicoanalyses, het volgen van bedrijfsmiddelen en noodplanning.

  • Het tweede programma is Compliance & Vertrouwen. Dit team focust zich op het afstemmen van Mercell op de industrienormen en kaders. Ze zetten wettelijke vereisten om in procedures. Zo voldoen we niet alleen aan de verwachtingen, maar documenteren we precies hoe ons dat lukt.

  • Het derde domein is Technische Beveiliging, wat is opgesplitst in twee onderdelen. Een ervan richt zich op bedrijfs-IT, waaronder eindpunten, identiteitsbeheer en interne systemen. De ander beveiligt onze applicatie- en infrastructuurlaag. Het zorgt ervoor dat onze cloudpositie, CI/CP-pijplijnen en back-endsystemen voldoen aan moderne beveiligingsnormen.

Deze drie domeinen werken in sync. Verandert er iets aan de wet- en regelgeving? Dan passen we dit aan. Wanneer zich een incident voordoet, behelst het antwoord zowel het platform als het bedrijf. Beveiliging bij Mercell is niet gescheiden, maar geïntegreerd.

 

Security by design: hoe we bouwen

Beveiliging bij Mercell begint al lang voordat een product wordt verzonden. Vanaf het eerste idee op een roadmap tot het moment dat de code live gaat; elke fase van de softwareontwikkeling is ontworpen met het oog op beveiliging.

Wijzigingen in de code ondergaan een verplichte peer review en doorlopen meerdere geautomatiseerde scans om kwetsbaarheden op te sporen en kwaliteitsnormen te handhaven. De toegang wordt streng beheerd aan de hand van modellen met minimale rechten. De verantwoordelijkheden zijn helder verdeeld over bouwen, testen en implementeren. Zo worden de risico’s geminimaliseerd. Door gebruik te maken van shift-left-testen en -beveiliging, sporen onze systemen potentiële problemen vroegtijdig op, lang voordat ze bij de productie komen.

Volgens Charles is het inbouwen van beveiliging in het ontwikkelingsproces een van de belangrijkste manieren waarop Mercell consistente bescherming op grote schaal garandeert. “Als een kwetsbaarheid in de productie terechtkomt, hebben we al meerdere kansen gemist om het op te sporen. Daarom is vroegtijdige detectie non-negotiable.”

Het resultaat? Een platform dat standaard veilig is. Publieke inkopers hoeven geen extra beveiligingsmaatregelen te treffen of tools van derden te integreren. Want de beveiliging is al ingebouwd.

 

Gehost in de EU, overal versleuteling

Alle klantgegevens op het platform van Mercell worden gehost in AWS-datacenters binnen de Europese Unie. Deze voldoen aan de GDPR-verplichtingen en aan de verwachtingen van veel inkopers in de publieke sector. Tegelijkertijd beseffen we ons dat lokalisatie niet genoeg is in een wereldwijd verbonden cloud-ecosysteem.

Daarom hebben we encryptie geïmplementeerd als fundamentele controlemaatregel. Gegevens worden tijdens het transport én in rust versleuteld. Hierdoor zijn ze onleesbaar voor onbevoegde partijen, zelfs als ze onderschept of geëxtraheerd worden. Dit zijn niet alleen interne normen, maar ook vereist volgens de certificeringen die we hebben en handhaven. 

We beheren ook subverwerkers op transparante wijze. Gaan gegevens de grenzen over? Dan zorgen we ervoor dat onze klanten hiervan op de hoogte zijn. Ook volgen we gedocumenteerde processen voor goedkeuring en kennisgeving.

 

Risicobeheer: mensen, processen en technologie

Onze beveiligingsstrategie is risicogebaseerd. We beginnen met het in kaart brengen van onze assets: mensen, processen en technologie. Daarna beoordelen we hun belang en bedrijfsvoering. 

We evalueren bijvoorbeeld het risico van afhankelijk van sleutelfiguren en maken plannen voor opvolging. Tegelijkertijd maken we onderscheid tussen bedrijfskritische platforms en perifere tools. Zo zorgen we ervoor dat onze continuïteitsplanning zich richt op wat écht belangrijk is. Onze op AWS-gebaseerde productinfrastructuur is speciaal geconfigureerd voor veerkracht, met failover- en herstelstrategieën die zijn ontworpen om aan overeengekomen serviceniveaus te voldoen.

Deze kennis wordt direct meegenomen in onze dagelijkse planning en governance. Als je weet wat cruciaal is, weet je ook wat je moet beschermen.

 

Continuïteit als kernprincipe

Beveiliging gaat niet alleen over het stoppen van bedreigingen. Het gaat ook over het voorbereiden op verstoringen. Bij Mercell hebben we bijvoorbeeld plannen voor bedrijfscontinuïteit en noodherstel. Deze worden minstens eens per jaar getest. Hiermee weten we zeker dat we diensten snel kunnen herstellen en operationeel paraat blijven.

Voor veel klanten bevatten onze contracten hersteltijddoelstellingen van slechts vier uur. Deze doelen zijn de leidraad van onze technische planning en resourcing. Als er iets misgaat, hebben we het plan van aanpak én de ervaringen om effectief te reageren.

“We testen onze noodherstelplannen minstens één keer per jaar om ervoor te zorgen dat we precies weten hoe we het product weer operationeel kunnen maken als er iets misgaat,” vertelt Charles Wilson, terugblikkend op de nadruk die Mercell legt op de operationele paraatheid.

Het bewijs: certificeringen die ertoe doen

Het beveiligingsprogramma van Mercell is onafhankelijk gecontroleerd aan de hand van verschillende toonaangevende normen. Denk hierbij aan ISO 27001 voor informatiebeveiliging, ISO 27701 voor privacy, SOC 2, de Duitse BSI C5-norm en de ISAE 3000-norm. Elk kader bevestigt dat onze controles bestaan en naar behoren werken.

De reeks certificeringen zorgt ervoor dat we complexe, gereguleerde klanten in heel Europa kunnen ondersteunen, inclusief klanten die actief zijn in sectoren met kritieke infrastructuur. Ook hebben we minder wrijving van due diligence. Inkopers hoeven ons niet op ons woord te geloven, want we bieden gestandaardiseerd en controleerbaar bewijs.

Alle certificeringsdocumenten en ondersteunende materialen zijn beschikbaar onder de NDA via ons Trust Portal.

 

Transparantie

Ons Trust Portal bestaat maar om één reden: inkopers hebben antwoorden nodig en zouden daar niet zelf achteraan moeten gaan. Onder de NDA hebben onze klanten op één plek toegang tot al onze beveiligingsbeleidsregels, certificaten en auditdocumentatie. 

Dit vermindert wrijving bij aanbestedingen, verkort beoordelingscycli ondersteunt het besluitvormingsproces.

 

Groei en toekomstgerichtheid

Beveiliging bij Mercell is voortdurend in ontwikkeling. Zo is het beveiligingsteam onder leiding van Charles Wilson flink gegroeid. Niet alleen in omvang, maar ook in strategisch bereik. De integratie van IT onder de beveiligingsfunctie heeft het toezicht binnen het hele bedrijf versterkt. Zo is een strikter beheer van eindpunten, infrastructuur en identiteits- en toegangsbeheer mogelijk.

Alleen al in het afgelopen jaar heeft Mercell moderne basisbeveiligingen geïntroduceerd. Denk hierbij aan het beheer van mobiele apparaten en detectie en respons op eindpunten. Deze inspanningen maken deel uit van een bredere visie en zijn niet alleen een reactie op externe druk. Zoals Charles opmerkte, vereist het voorblijven op veranderingen in de regelgeving en opkomende bedreigingen planning, investeringen en continue aanpassing.

Met het oog op de toekomst bouwen we gecentraliseerde dreigingsdetectie in onze omgeving in. Hierdoor kunnen we logboeken van bedrijfs- en platformsystemen kunnen opnemen en correleren door SIEM te implementeren. We bereiden ons voor om onze responsmogelijkheden verder te automatiseren door orchestration tools te gebruiken die bedreigingen sneller en met minder handmatige interventie kunnen indammen.

Dit zijn gangbare praktijken bij toonaangevende technologiebedrijven. Bij Mercell zetten we ze in om aan de verwachtingen te voldoen van de inkopers van morgen.

 

Inkopers bedienen en aan alle verwachtingen voldoen

Alle klanten profiteren van dezelfde beveiligingshouding. Maar grotere of meer gereguleerde organisaties hebben mogelijk meer gedetailleerde documentatie of zelfs formele audits nodig. We willen hen graag in die processen ondersteunen. Of het nu gaat om een ministerie dat beveiligingsmaatregelen regel voor regel controleert of een gemeente die basisgaranties nodig heeft; wij bieden het juiste niveau van zichtbaarheid.

Leveranciers die Mercell via selfservice gebruiken, hoeven zich geen zorgen te maken over configuratie of installatie. Het platform is al beveiligd volgens best practices in de markt.

Voor sectoren zoals wetshandhaving, defensie of nationale infrastructuur erkennen we de unieke gevoeligheid van aanbestedingsdata. We hebben dit in ons achterhoofd gehouden bij het ontwikkelen van ons programma. 

 

Laatste gedachten

Bij Mercell bouwen we vanaf het begin beveiliging in. Deze valideren we continu. En we leggen de lat jaar na jaar hoger, omdat vertrouwen niet zomaar wordt gegeven. Het moet worden verdiend.

Wil je meer weten over hoe we jouw gegevens, processen en missie beschermen? Bezoek ons Trust Portal