Sertifiointivaje yrityshankinnassa
Yritys-SaaS-hankinnalla on kehittynyt johdonmukainen kelpoisuussuodatin: ISO 27001 -sertifiointi. Vuoden 2025 tutkimus yritysten CISO:ista osoitti, että "tunnustetun turvallisuustodistuksen puute" oli #2 syy SaaS-toimittajien hylkäämiseen, vain "riittämättömän salausarkkitehtuurin" jälkeen.
Syynä on rakenteellinen. Yrityksen turvallisuustiimit ovat vastuussa kymmenien tai jopa satojen toimittajien arvioimisesta vuosittain. Jokaisen toimittajan osalta täydellisen mukautetun turvallisuusarvioinnin tekeminen — politiikkojen tarkastaminen, hallintokontrollien testaaminen, arkkitehtuurin arviointi — vaatii merkittävää turvallisuustiimin kapasiteettia. ISO 27001 -sertifiointi tarjoaa oikopolun: riippumaton arvioija on jo arvioinut toimittajan tietoturvahallintajärjestelmän tunnustetun standardin mukaan, jossa on 93 kontrollia 11 alueella.
Toimittajille, joilla ei ole ISO 27001:stä, jokainen yritysdiili vaatii todisteiden kokoamista alusta alkaen. Toimittajille, joilla on ISO 27001, todistepaketti on olemassa ja se on riippumattomasti vahvistettu.
Mitä ISO 27001:2022 Liite A todella kattaa
ISO 27001:2022 Liite A sisältää 93 kontrollia neljän teeman ympärillä: organisaatio, ihmiset, fyysinen ja teknologinen. Pilvipalveluiden yksityisyystyökaluille ne kontrollit, joihin yrityshankintatiimit keskittyvät eniten, ovat:
Salauskontrollit (Liite A 8.24): Vaatii, että organisaatio määrittelee säännöt salauskontrollien käytölle, mukaan lukien avainten hallinta. Sertifiointi osoittaa, että toimittajalla on dokumentoitu, auditoitu politiikka siitä, miten salausavaimet luodaan, tallennetaan, käytetään ja hävitetään.
Pääsynhallinta (Liite A 8.2-8.5): Vaatii, että pääsy tietoihin rajoitetaan vähimmän etuoikeuden periaatteen mukaan. Sertifiointi osoittaa, että toimittajan henkilöstön pääsy asiakastietoihin on hallittua ja dokumentoitua.
Toimittajasuhteet (Liite A 5.19-5.22): Vaatii, että toimittajasuhteiden turvallisuusvaatimukset on dokumentoitu ja valvottu. Relevanttia yrityksille, joiden omat asiakkaat vaativat heitä dokumentoimaan toimittajiensa turvallisuuden.
ISO 27001 -sertifiointidokumentti ei vastaa jokaiseen hankintakysymykseen — se vahvistaa, että organisaatio- ja prosessikontrollit ovat olemassa. Sertifiointi vähentää mukautetun arvioinnin laajuutta arkkitehtuuriin liittyviin kysymyksiin, joita standardi ei käsittele.
Arkkitehtuurikysymys, johon standardi ei vastaa
ISO 27001 -sertifiointi vastaa prosessi- ja organisaatiokontrollikysymyksiin. Se ei vastaa perustavanlaatuiseen arkkitehtuurikysymykseen, joka säännellyille yrityksille on tärkein: "Voiko toimittaja käyttää tietojamme?"
ISO 27001 -sertifioinnilla varustettu toimittaja voi silti toimia palvelinpuolen salausavaimilla. Sertifiointi vahvistaa, että avainten hallinta noudattaa dokumentoitua politiikkaa — ei sitä, estääkö politiikka toimittajan pääsyn.
Zero-knowledge-arkkitehtuuri vastaa kysymykseen, jonka ISO 27001 jättää avoimeksi. Arkkitehtuuri — asiakaspuolen avaimen johdanto, ei palvelinpuolen avainten tallennusta, AES-256-GCM-salaus ennen siirtoa — tekee vastauksesta kysymykseen "voiko toimittaja käyttää tietojamme?" ehdottomasti kielteisen.
Hankintavaikutus ISO 27001:n yhdistämisestä zero-knowledge-arkkitehtuuriin: ISO 27001 täyttää organisaatio- ja prosessikontrollivaatimukset, joita hankintakyselyt tarkistavat. Zero-knowledge-arkkitehtuuri täyttää tietojen pääsyvaatimukset, jotka ovat korkein prioriteetti säännellyille toimialoille. Yhdessä ne käsittelevät kahta ensisijaista kelpoisuuskriteeriä pilvitoimittajien hyväksymisessä terveydenhuollossa, rahoituspalveluissa ja oikeudellisilla markkinoilla.
Aikaleikkaus käytännössä
Toimittajien turvallisuusarviointiaikataulut säännellyillä toimialoilla vaihtelevat tyypillisesti 3-6 kuukautta ilman tunnustettua sertifiointia. Arviointi sisältää turvallisuuskyselyn täyttämisen, asiakirjojen tarkastamisen, teknisen arkkitehtuurin tarkastamisen ja usein puhelun turvallisuustiimin kanssa.
ISO 27001 -sertifioinnin avulla yritykset voivat oikaista asiakirjojen tarkastusvaiheen — sertifikaatti ja siihen liittyvä soveltuvuuslausunto tarjoavat todisteen. Zero-knowledge-arkkitehtuurin asiakirjat nopeuttavat arkkitehtuurin tarkastusvaihetta. Arviointiaikataulu tiivistyy 3-6 viikkoon tehokkaimmissa yrityshankintaprosesseissa.
Säännellyille toimialoille suuntautuville toimittajille ISO 27001 -sertifioinnin kustannus-hyötylaskelma on yksinkertainen: sertifiointi lyhentää myyntisyklejä kuukausista viikkoihin jokaisessa säännellyssä yritysdiilissä. Yritysdiilikokoisissa, aikaleikkaus kumuloituu merkittäväksi liikevaihdon kiihtymiseksi.
Yrityksille, jotka ostavat yksityisyystyökaluja, sertifiointiyhdistelmä tarjoaa laadullisesti erilaisen riskiaseman: toimittaja, joka ei voi käyttää asiakastietoja (zero-knowledge) ja jolla on riippumattomasti vahvistetut organisaatiokontrollit (ISO 27001) edustaa vahvinta saatavilla olevaa todisteita turvallisuussitoumuksesta pilvitoimittajassa.
Lähteet: