Certifieringsgapet i företagsupphandling
SaaS-upphandling på enterprise-nivå har utvecklat ett konsekvent kvalificeringskriterium: ISO 27001-certifiering. En undersökning av enterprise-CISO:er från 2025 visade att "avsaknad av erkänd säkerhetscertifiering" var den näst vanligaste anledningen till att diskvalificera SaaS-leverantörer, efter bara "otillräcklig krypteringsarkitektur."
Anledningen är strukturell. Säkerhetsteam på enterprise-nivå ansvarar för att granska dussintals till hundratals leverantörer årligen. Att genomföra en fullständig anpassad säkerhetsbedömning för varje leverantör — granska policyer, testa kontroller, utvärdera arkitektur — kräver betydande kapacitet från säkerhetsteamet. ISO 27001-certifiering ger en genväg: en oberoende revisor har redan utvärderat leverantörens ledningssystem för informationssäkerhet mot en erkänd standard med 93 kontroller inom 11 domäner.
För leverantörer utan ISO 27001 kräver varje enterprise-affär att beviskedjan byggs från grunden. För leverantörer med ISO 27001 existerar bevispaketet och har validerats oberoende.
Vad ISO 27001:2022 Bilaga A faktiskt täcker
ISO 27001:2022 Bilaga A inkluderar 93 kontroller inom fyra teman: organisatoriska, personrelaterade, fysiska och teknologiska. För molnbaserade integritetsskyddsverktyg är det kontrollerna som enterprise-upphandlingsteam fokuserar mest intensivt på:
Kryptografiska kontroller (Bilaga A 8.24): Kräver att organisationen definierar regler för användning av kryptografiska kontroller, inklusive nyckelhantering. Certifieringen demonstrerar att leverantören har en dokumenterad, granskad policy för hur krypteringsnycklar genereras, lagras, nås och förstörs.
Åtkomstkontroll (Bilaga A 8.2–8.5): Kräver att åtkomst till information begränsas baserat på principen om minsta privilegium. Certifieringen demonstrerar att leverantörspersonalens åtkomst till kunddata är kontrollerad och dokumenterad.
Leverantörsrelationer (Bilaga A 5.19–5.22): Kräver att säkerhetskrav för leverantörsrelationer dokumenteras och övervakas. Relevant för företag vars egna kunder kräver att de dokumenterar säkerheten hos sina leverantörer.
ISO 27001-certifieringsdokumentet besvarar inte alla upphandlingsfrågor — det fastställer att de organisatoriska och processrelaterade kontrollerna finns. Certifieringen reducerar omfattningen av den anpassade bedömningen till arkitekturspecifika frågor som standarden inte adresserar.
Arkitekturfrågan som standarden inte besvarar
ISO 27001-certifiering besvarar process- och organisationskontrollfrågor. Den besvarar inte den grundläggande arkitekturfrågan som reglerade företag bryr sig mest om: "Kan leverantören komma åt vår data?"
En leverantör med ISO 27001-certifiering kan fortfarande driva med krypteringsnycklar på serversidan. Certifieringen bekräftar att nyckelhantering följer en dokumenterad policy — inte att policyn förhindrar leverantörsåtkomst.
Zero-knowledge-arkitektur besvarar frågan som ISO 27001 lämnar öppen. Arkitekturen — klientsidig nyckelderivation, ingen lagring av nycklar på serversidan, AES-256-GCM-kryptering före överföring — gör svaret på "kan leverantören komma åt vår data?" definitivt negativt.
Upphandlingspåverkan av att kombinera ISO 27001 med zero-knowledge-arkitektur: ISO 27001 tillfredsställer de organisatoriska och processkontrollkrav som upphandlingsenkäter kontrollerar. Zero-knowledge-arkitektur tillfredsställer dataaccesskraven som är den högst prioriterade frågan för reglerade branscher. Tillsammans adresserar de de två primära kvalificeringskriterierna för godkännande av molnleverantörer inom sjukvård, finansiella tjänster och juridiska marknader.
Tidsreduktionen i praktiken
Tidslinjerna för leverantörssäkerhetsbedömningar i reglerade branscher sträcker sig vanligtvis från 3 till 6 månader utan erkänd certifiering. Bedömningen innefattar ifyllning av säkerhetsenkät, dokumentationsgranskning, teknisk arkitekturgranskning och ofta ett möte med säkerhetsteamet.
Med ISO 27001-certifiering kan företag kringgå dokumentationsgranskningsfasen — certifikatet och tillhörande tillämplighetsdeklaration utgör bevisningen. Med dokumentation av zero-knowledge-arkitektur löser sig arkitekturgranskningen snabbt. Bedömningstidslinjen komprimeras till 3 till 6 veckor för de mest effektiva upphandlingsprocesserna.
För leverantörer som riktar sig mot reglerade enterprise-affärer är kostnads-nyttokalkylen för ISO 27001-certifiering enkel: certifieringen förkortar säljcyklerna från månader till veckor i varje reglerad enterprise-affär. Vid enterprise-affärsstorlekar ackumuleras tidsreduktionen till en avsevärd intäktsacceleration.
För företag som köper integritetsskyddsverktyg ger certifieringskombinationen en kvalitativt annorlunda riskprofil: en leverantör som inte kan komma åt kunddata (zero-knowledge) och som har oberoende verifierade organisatoriska kontroller (ISO 27001) representerar det starkaste tillgängliga beviset på säkerhetsåtagande hos en molnleverantör.
Källor: