Certifieringsgapet i företagsupphandling
Företagsupphandling av SaaS har utvecklat ett konsekvent kvalificeringsfilter: ISO 27001-certifiering. En undersökning från 2025 av företags-CISOs visade att "brist på erkänd säkerhetscertifiering" var den #2 anledningen till att diskvalificera SaaS-leverantörer, endast överträffad av "otillräcklig krypteringsarkitektur."
Anledningen är strukturell. Företags säkerhetsteam ansvarar för att granska dussintals till hundratals leverantörer årligen. Att genomföra en fullständig anpassad säkerhetsbedömning för varje leverantör — granska policyer, testa kontroller, utvärdera arkitektur — kräver betydande kapacitet från säkerhetsteamet. ISO 27001-certifiering ger en genväg: en oberoende revisor har redan utvärderat leverantörens informationssäkerhetshanteringssystem mot en erkänd standard med 93 kontroller över 11 domäner.
För leverantörer utan ISO 27001 kräver varje företagsavtal att bevisen byggs upp från grunden. För leverantörer med ISO 27001 finns bevispaketet och har validerats oberoende.
Vad ISO 27001:2022 Bilaga A faktiskt omfattar
ISO 27001:2022 Bilaga A inkluderar 93 kontroller över fyra teman: organisatoriska, människor, fysiska och teknologiska. För verktyg för molnsekretess är de kontroller som företagsupphandlingsteam fokuserar mest på:
Kryptografiska kontroller (Bilaga A 8.24): Kräver att organisationen definierar regler för användning av kryptografiska kontroller, inklusive nyckelhantering. Certifiering visar att leverantören har en dokumenterad, reviderad policy för hur krypteringsnycklar genereras, lagras, nås och förstörs.
Åtkomstkontroll (Bilaga A 8.2-8.5): Kräver att åtkomst till information begränsas baserat på principen om minsta privilegium. Certifiering visar att leverantörens personalåtkomst till kunddata är kontrollerad och dokumenterad.
Leverantörsrelationer (Bilaga A 5.19-5.22): Kräver att säkerhetskrav för leverantörsrelationer är dokumenterade och övervakade. Relevant för företag vars egna kunder kräver att de dokumenterar säkerheten hos sina leverantörer.
ISO 27001-certifieringsdokumentet besvarar inte varje upphandlingsfråga — det fastställer att de organisatoriska och processkontrollerna finns. Certifieringen minskar omfattningen av den anpassade bedömningen till arkitekturspecifika frågor som standarden inte tar upp.
Arkitekturfrågan som standarden inte besvarar
ISO 27001-certifiering besvarar frågor om process- och organisatorisk kontroll. Den besvarar inte den grundläggande arkitekturfrågan som reglerade företag bryr sig mest om: "Kan leverantören få åtkomst till våra data?"
En leverantör med ISO 27001-certifiering kan fortfarande operera med krypteringsnycklar på serversidan. Certifieringen bekräftar att nyckelhanteringen följer en dokumenterad policy — inte att policyn förhindrar leverantörens åtkomst.
Zero-knowledge-arkitektur besvarar frågan som ISO 27001 lämnar öppen. Arkitekturen — klient-sidans nyckelderivering, ingen lagring av nycklar på serversidan, AES-256-GCM-kryptering före överföring — gör svaret på "kan leverantören få åtkomst till våra data?" definitivt negativt.
Upphandlingspåverkan av att kombinera ISO 27001 med zero-knowledge-arkitektur: ISO 27001 uppfyller de organisatoriska och processkontrollkraven som upphandlingsfrågeformulär kontrollerar. Zero-knowledge-arkitektur uppfyller kraven på dataåtkomst som är den högst prioriterade frågan för reglerade industrier. Tillsammans adresserar de de två primära kvalifikationskriterierna för godkännande av molnleverantörer inom hälso- och sjukvård, finansiella tjänster och juridiska marknader.
Tidsminskningen i praktiken
Tidslinjer för leverantörssäkerhetsbedömningar i reglerade industrier varierar vanligtvis från 3 till 6 månader utan erkänd certifiering. Bedömningen involverar att fylla i säkerhetsfrågeformulär, granska dokumentation, granska teknisk arkitektur och ofta ett samtal med säkerhetsteamet.
Med ISO 27001-certifiering kan företag genväga dokumentationsgranskningsfasen — certifikatet och den tillhörande tillämplighetsdeklarationen ger bevisen. Med dokumentation för zero-knowledge-arkitektur löses arkitekturgranskningsfasen snabbt. Bedömningens tidslinje komprimeras till 3 till 6 veckor för de mest effektiva företagsupphandlingsprocesserna.
För leverantörer som riktar sig mot affärer inom reglerade industrier är kostnads-nyttoanalysen av ISO 27001-certifiering enkel: certifieringen förkortar försäljningscykler från månader till veckor över varje reglerad företagsavtal. Vid storlekar på företagsavtal ackumuleras tidsminskningen till en betydande intäktsaccelerering.
För företag som köper sekretessverktyg ger certifieringskombinationen en kvalitativt annan riskprofil: en leverantör som inte kan få åtkomst till kunddata (zero-knowledge) och som har oberoende verifierade organisatoriska kontroller (ISO 27001) representerar det starkaste tillgängliga beviset på säkerhetsåtagande i en molnleverantör.
Källor: