Jag är en leverantör

Jag är upphandlare

Upphandlare

Säkerhet vid upphandlingar 2025 – så höjer Mercell ribban

Vid offentliga inköp är förtroendet avgörande. Vi förtjänar det genom att bygga in säkerhet i vår programvara, testa den löpande genom oberoende revisioner och investera i människor och verktyg så att vi kan förebygga risker.

hero-image

Offentliga inköpare, både kommuner och statliga myndigheter, har blivit allt mer säkerhetsmedvetna, och det är bra. Frågor om dataskydd, plattformstillgänglighet och regelefterlevnad är nu obligatoriska ämnen när det talas om upphandlingar. 

Mercells svar har varit att göra säkerhet till en kärnfunktion som är inbyggd i designen, driften och vårt löpande arbete med att förbättra vår plattform.

För att få veta mer om hur vi uppfyller och överträffar dagens förväntningar på säkerhet har vi pratat med Charles Wilson, Mercells chef för informationssäkerhet & IT. 

Charles har lång erfarenhet av att leda Mercells säkerhetstransformering och berättar hur de arbetar med bland annat programvaruutveckling, EU-baserad molninfrastruktur, regelefterlevnad, kryptering och affärskontinuitet.

I den här artikeln beskriver vi de viktiga principer, metoder och strategiska beslut som utgör grunden för Mercells säkerhetsarbete, och hur detta gör att vi kan hjälpa de mest säkerhetsmedvetna inköparna i Europa.

Så strukturerar vi säkerheten på Mercell

Vi organiserar vårt säkerhetsarbete i tre sammanlänkade huvuddelar.

  • Den första delen, Informationssäkerhet, handlar om hur vi skyddar känsliga data. Här ingår allt från åtkomstkontroll och kodningspolicyer till riskbedömningar, tillgångsspårning och beredskapsplaner.

  • I den andra, Förtroende & regelefterlevnad, fokuserar ett team på att uppdatera rutiner så att Mercell  ska uppfylla regler och branschstandarder. De omvandlar regelkrav till operativa rutiner och säkerställer att vi förutom att uppfylla förväntningar också dokumenterar vad vi gör.

  • Den tredje är teknisk säkerhet, som är uppdelad i två fokusområden. Dels ligger fokus på företags-IT, inklusive slutpunkter, identitetshantering och interna system. Och dels handlar det om vår applikation och infrastruktur, så att vi säkerställer att vår molnanvändning, CI/CD-flöde och backend-system uppfyller moderna säkerhetsstandarder.

Dessa tre delar jobbar synkroniserat. När regler ändras uppstår också nya tekniska krav. Om en incident inträffar berörs både plattformen och företaget. På Mercell sker säkerhetsarbetet inte i separata silos – det är integrerat.

 

Säkerhet genom design: Så bygger vi

Mercell fokuserar på säkerhet långt innan en produkt är klar för leverans. Från den första idén och skissen till att koden körs live. I alla delar i utvecklingen av programvaran har vi säkerheten i åtanke.

All ändring av kod genomgår kollegial granskning och flera automatiserade tester så att sårbarheter kan upptäckas och kvaliteten stärkas. Åtkomst kontrolleras noga med hjälp av modeller för lägsta behörighet, och ansvarsområden separeras tydligt under utveckling, test och driftsättning för att minimera riskerna.  Med fokus på tidig testning och säkerhet blir våra system utformade för att potentiella problem ska upptäckas tidigt i utvecklingscykeln, långt innan de når produktionen.

Enligt Charles är det viktigt att bygga in säkerheten i utvecklingsprocessen för att Mercell ska kunna säkerställa en konsekvent säkerhet i stor skala. "Om det finns sårbarheter när produktion påbörjas har vi redan missat flera chanser att upptäcka dem. Därför har vi gjort det till ett måste att tidigt upptäcka sånt."

Resultatet är en plattform som är säker som standard. Offentliga inköpare behöver inte konfigurera ytterligare skyddsfunktioner eller integrera verktyg från tredje part. Säkerheten är inbyggd.

 

Hosting i EU, kryptering överallt

Alla kunddata på Mercells plattform är hostade på AWS datacenter inom EU. Detta i enlighet med GDPR och de förväntningar som många inköpare har inom offentlig sektor. Men vi inser att den geografiska placeringen inte räcker i ett globalt sammankopplat molnsystem.

Därför har vi infört kryptering för extra hög säkerhet. Data krypteras vid överföring och när den ligger sparad, vilket säkerställer att den är oläslig om obehöriga skulle komma åt eller extrahera den. Det här är inte bara interna rutiner och standarder, utan även krav enligt de certifieringar vi har.

Vi behandlar också underleverantörer med transparens. När data förs över gränser säkerställer vi att kunderna är informerade och att vi följer dokumenterade processer för godkännande och avisering.

 

Riskhantering: Människor, processer och teknik 

Vår säkerhetsstrategi är riskbaserad. Vi börjar med att kartlägga våra tillgångar: människor, processer och teknik, och bedömer hur kritiska de är för driften.

Vi bedömer exempelvis risken för att bli beroende av nyckelpersoner och ser till att vi har ersättare. Vi skiljer mellan affärskritiska plattformar och perifera verktyg så att vi kan planera för och fokusera på det som är viktigast. Vår AWS-baserade infrastruktur är konfigurerad för att vara resilient, och vi har strategier för redundans och återställning så att avtalade servicenivåer kan upprätthållas.

Detta har en direkt påverkan på vår dagliga planering och styrning. Vet man vad som är kritiskt, då vet man också vad som behöver skyddas.

 

Kontinuitet som kärnprincip

Säkerhet handlar inte bara om att stoppa hot. Det gäller också att förbereda sig för störningar. Vi har formella planer för affärskontinuitet och katastrofåterställning, och båda dessa testas minst en gång per år. Under dessa tester valideras vår förmåga att snabbt återställa tjänster och upprätthålla en operationell beredskap.

Många kunder har avtal där det anges att tjänsten ska vara återställd inom bara fyra timmar. Dessa mål guidar oss när vi planerar för teknik och resurser. När något går fel har vi både en plan och vi har övat på att agera effektivt.

"Vi testar vår katastrofåterställning minst en gång om året för att säkerställa att vi vet exakt hur vi ska få produkten att fungera om något gått fel." Det säger Charles Wilson när han reflekterar kring hur Mercell arbetar med operationell beredskap.

Upp till bevis: Certifieringar som betyder något

Mercells säkerhetsprogram har genomgått oberoende revisioner för flera ledande standarder: ISO 27001 för informationssäkerhet, ISO 27701 för integritet, SOC 2, den tyska BSI C5-standarden och ISAE 3000. Alla dessa bekräftar att vi har kontroller och att de fungerar som avsett.

Dessa certifieringar visar att vi kan leverera till kunder med komplexa krav som omfattas av regleringar runtom i Europa, inklusive de som verkar i sektorer med kritisk infrastruktur. Detta gör även due diligence-processer enklare. I stället för att våra kunder bara ska ta oss på orden har vi standardiserad evidens som kan granskas.

Alla certifieringsdokument och annat stödmaterial finns att tillgå under NDA i vår Trust Portal.

 

Transparens levererad

Vår Trust Portal finns av en enkel anledning: köpare vill ha svar, och de ska inte behöva jaga efter dem. Under NDA har kunder tillgång till alla våra säkerhetspolicyer, certifieringar och revisionsdokumentation.

Detta förenklar upphandlingar, kortar ner tiden för granskningar och möjliggör en välgrundad beslutsprocess.

 

Tillväxt och framåtblickande

På Mercell är säkerheten under ständig utveckling. Under Charles Wilsons ledarskap har säkerhetsteamet växt betydligt. Inte bara i storlek utan även vad gäller strategier. Genom att IT integrerades i säkerhetsfunktionen fick vi en bättre översikt över hela verksamheten och kunde mer effektivt styra över slutpunkter, infrastruktur, behörighets- och åtkomsthantering.

Bara det senaste året har Mercell infört moderna grundskydd för mobilhantering samt endpoint-detektion och respons. Dessa åtgärder ingår i en större vision och är inte bara en reaktion på press utifrån. Som Charles noterade krävs det planering, investeringar och löpande anpassningar för att regelförändringar och nya hot ska kunna hanteras.

Framöver implementerar vi SIEM och bygger upp en centraliserad detekteringsfunktion så att vi kan hämta in och korrelera loggar från affärs- och plattformssystem. Vi förbereder oss för att automatisera fler av våra responsfunktioner och använda verktyg för att snabbare kunna upptäcka hot med färre manuella insatser.

Detta är vanlig praxis bland ledande teknikbolag. På Mercell inför vi detta för att uppfylla det som morgondagens köpare förväntar sig.

 

Olika köpares förväntningar ska alla uppfyllas

Alla kunder tjänar på att ta säkerhet på allvar, men större eller mer reglerade organisationer kan behöva mer detaljerad dokumentation eller göra formella revisioner. Vi är redo att hjälpa till med sådana procedurer. Vi tillhandahåller det som behövs, oavsett om det är ett departement som vill granska säkerheten rad för rad, eller en kommun som behöver en enkel försäkran.

Leverantörer som använder Mercell via självbetjäning behöver inte bry sig om konfigurationer eller inställningar. Plattformen är redan säkrad enligt bästa branschpraxis.

Inom exempelvis brottsbekämpning, försvar eller nationell infrastruktur är information om upphandlingar särskilt känslig. Vårt program är skapat med detta i åtanke.

 

Avslutande tankar

På Mercell bygger vi in säkerheten från start. Vi utvärderar den löpande. Och vi höjer ribban varje år, för förtroende är inget man bara får. Det är något man förtjänar.

Vill du veta mer om hur vi skyddar era data, processer och er verksamhet kan du besöka vår Trust Portal.