Samhällskritisk drift kräver maximal stabilitet.
Mål för samarbetet
En miljard transaktioner utgör endast en liten del av den drift som hanteras
Har du blivit imponerad av hur snabbt och enkelt det går att logga in på din internetbank eller offentliga tjänster som Altinn med BankID? Det är ingen tillfällighet. Tjänsten är samhällskritisk och en förutsättning för att vi ska få tillgång till det vi behöver i våra digitala liv.
Sedan 2018 har Orange Business drivit dessa tjänster och tillhörande andra komponenter på uppdrag av Stø.
"Vi har höga förväntningar på upptid och tillgänglighet. Av de stora tjänsteleverantörer jag har varit kund hos i Norge har jag den bästa upplevelsen med Orange Business. Den säkerhet jag får genom samarbetet är viktig. Om BankID går ner tar det inte många minuter innan det står på förstasidan i tidningarna", säger Vigdis Volden i Stø. Hon har över 20 års erfarenhet av IT-drift och leverantörshantering.
BankID och BankAxept
Stø är mer känt som BankID och BankAxept, varumärken som alla vuxna norrmän dagligen använder för att logga in på digitala tjänster, när avtal ska skrivas under eller när betalkortet används.
Støs uppdrag är att leverera säkra och pålitliga tjänster till konsumenterna. Det är därför de inte kan kompromissa med driften av sin IT-plattform. Det är därför inte förvånande att Stø var en av de första att visa att de uppfyllde kraven i ny säkerhetslagstiftning som NIS2 och den mer specifika lagstiftningen för bank- och finanssektorn: DORA.
Vi hanterar drift av flera viktiga instanser
- En Banking as a Service-modul för BankAxept med separat infrastruktur per bank. Driftplattformen kräver efterlevnad av internationella säkerhetsstandarder för att skydda kortbetalningar och minska kortbedrägerier (ISAE 3402 och PCI DSS).
- Två viktiga instanser som är en förutsättning för att BankID ska fungera. Här används en internationell standardtjänst, OpenID Connect, som körs i Orange Business datacenter. Här hanteras knappt 1 miljard transaktioner per år.
- Drift av en antibedrägerilösning (se beskrivning längre ner).
Vi driver även en molntjänst som Stø säljer till en tredje part som tillhandahåller korttjänster till kunder i Danmark, Italien, Spanien och flera länder i Sydamerika. Dessutom har Stø använt sig av konsulter och andra typer av tjänster från Orange Business. Flera experter från Orange Business har varit involverade sedan samarbetet inleddes.
"Vi är starka tillsammans. Vi får inte många anmärkningar i de årliga revisionsrapporterna", säger en nöjd Volden.
Sover bra på natten
När samarbetet inleddes sköttes allt på marken i ett "suveränt moln". Det innebär att allt ligger i datacenter på norsk mark och styrs av norska lagar. Idag har 50 procent flyttats upp till molntjänster från Microsoft Azure, som också drivs i suveräna moln i lokala datacenter.
- Vi vill hitta rätt långsiktig strategi mellan det som ligger i molnet och det som drivs on-prem. Även om vår IT-strategi säger "molnet först" måste vi ta hänsyn till de samhällskritiska tjänster vi driver och de ramverk vi lyder under. Vi måste följa strikta ramverk och det finns en osäker geopolitisk situation.
Därför värdesätter Volden det faktum att hon kan arbeta med en leverantör med stor närvaro i Norge, med kontakter som talar samma språk och som förstår den lokala marknaden.
- Detta är viktigt när du ansvarar för specialiserade norska tjänster som BankID och BankAxept. Leverantörer från andra marknader har inte samma förståelse för hur dessa tjänster fungerar och hur viktiga de är i samhället", säger hon.
Kemin bakom ett gott samarbete
Volden kräver att leverantörerna förstår Støs verksamhet och att de går att lita på.
"Med tanke på det ansvar vi har har jag bekanta som undrar hur jag lyckas sova gott om natten, men det gör jag. Jag kan definitivt rekommendera Orange Business till andra."
Volden och hennes team strävar efter att ha goda och konstruktiva relationer med leverantörerna. Att våga vara ärlig åt båda hållen är receptet på hur man skapar det bästa samarbetet.
- Vi måste förstå våra olika roller och behov. Tillsammans med Orange Business har vi arbetat mycket med ledningsprinciperna och skapat mötesplatser där vi vidareutvecklar rutiner och procedurer för hur vi arbetar tillsammans på bästa sätt. Jag är mycket nöjd med den professionalism jag mött och tycker att vi följs upp på ett bra sätt.
Hon menar att denna form av samarbete är särskilt viktig i en tid då Stø står inför stora förändringar.
- Vi blir alltmer produktifierade i det vi levererar och behöver därför partners som kan utveckla samarbetet i takt med oss.
Upptäcka ID-stöld
David Sæle är produktchef för Støs antibedrägerilösning som drivs i Orange Business-miljön. Tjänsten analyserar alla BankID-transaktioner för att upptäcka bedrägerier och är en integrerad del av BankID.
- Vi fungerar som ett slags tidigt varningssystem för bankerna. Vi upptäcker ofta bedrägeriförsök tidigt mot internetbanker och andra användarsidor, och genom att slå larm kan bankerna snabbt vidta åtgärder när nya hot dyker upp.
Antibedrägerilösningen sattes upp i driftsmiljön 2024. Stø hade flera stränga krav på drift, underhåll och säkerhet som potentiella driftleverantörer var tvungna att dokumentera att de levererade på.
- Vi jämförde flera leverantörer. Orange Business svarade bäst upp mot våra krav på säkerhet, robust drift, upptid och förmåga att leverera snabbt, säger han.
Implementeringen sköttes som ett samarbete mellan Støs egna resurser, mjukvaruleverantören och Orange Business driftsexperter. Sæle beskriver projektet som mycket tekniskt krävande.
- Orange Business är skickliga och bra på att hitta lösningar. Det finns mycket expertis i organisationen. Driften är robust, tillförlitlig och levererar den upptid vi behöver. Vi har varit mycket nöjda hela vägen, säger Sæle.
Stø
Stø är företaget bakom BankID och BankAxept - två av de mest använda digitala tjänsterna i Norge. De säkerställer säker inloggning, signering och betalning för miljontals användare.