SaaS世界合规性审核清单

妇孺皆知,软件即服务(SaaS)业务的神奇之处在于,它不会遭到地域的限度。任何领有互联网衔接的人都可以成为其用户,因此任何国度/地域都或许成为SaaS产品的潜在市场。

不过,咱们常说,机会与应战并存。其实,SaaS也面临着一个庞大而复杂的市场环境。当新冠病毒将世界大局部人的生存范围转至线上之后,已有超越132个国度制订了自己的数据畛域关系法律和法规。面对纷简约杂的数据新政,咱们在此为您整顿了一套SaaS审核清单,以便您开启隐衷合规之旅。

什么是世界合规性?

“合规性”是指您的企业或产品,合乎某个认证性组织的一系列规则。而此类组织往往取决于您和您的用户所在的天文位置。

在传统的本地环境中,成为数据隐衷合规企业相对比拟便捷。但是,假设您的业务打破了本区域的天文范围,甚至涵盖世界,那么合规的难度则会大幅参与。例如,假设您会在不同地域的多个市场启动买卖服务,则或许须要依据您和用户所在的位置,遵守许多不同的法律、法规和政策。

而在SaaS行业,此类要求更为清楚。各国的数据隐衷法规,会规范服务提供方,如何与现有和潜在的用户、及其数据打交道,如何处置他们的敏感消息,并保养他们的隐衷权。

合规的关键性

世界格式

每天,数以百万计的用户与世界企业,都经过各种SaaS运行,以订阅或捕捉帐户服务消息等方式,分享着用户的团体详细消息。

而在捕捉数据的环节中,服务提供方必定确保其用户的团体数据,失掉了安保的存储和处置,并坚持适当的隐衷级别。否则,此类消息将很容易遭到安保破绽的要挟、以及黑客的攻打。为此,服务提供方还会招致法律的问责,以及用户信任的缺失。

用户希冀

正如Cisco于2019年公布的一项考查所标明,用户关于数据安保的看法已大幅增强,有32%的受访者十分关心自己的隐衷。用户一旦不满意某项服务中的安保态势,就会“用脚投票”,间接改换服务提供商。这间接形成了SaaS运行须要满足各种严厉的法规的压力参与。

不合规的风险

假设在服务端环节中,不遵守特定国度或特定行业的隐衷政策和法规,则往往会造成其产品在某些地域、司法管辖区内,被制止经常使用或遭逢业务下架,同时会招致巨额的罚款、简短的诉讼、甚至是企业主的牢狱之灾。

成功业务合规性的5个步骤

1. 了解不同的法规

假设您宿愿将业务裁减到其余国度、地域或特定行业,鉴于各地法规的渺小差同性,了解并遵守外地最新的数据隐衷法规,显得尤为关键。上方,我将和您探讨各种针对SaaS的、最经常出现的数据隐衷法规与规范示例。

→ 服务组织控制 2(Service Organizational Control,SOC 2)

SOC 2是基于美国注册会计师协会(American Institute of Certified PublicAccountants,AICPA)的“信任服务规范”的审计环节。各个公司可以经常使用它,来审核其消息系统能否合乎SOC 2的关系准绳。

因为SOC 2是专为将用户数据存储在云端的组织而设计的,因此它简直实用于一切的SaaS运行,也是最经常出现的合规性框架之一。若要合乎SOC2规范,您的企业须要建设并遵守严厉的数据政策。其中包含:存储在云端的数据安保性、可用性、处置环节中的完整性和秘密性。

→ 欧盟通用数据包全条例(General>原文题目:Global SaaS Compliance: A Complete Audit Checklist,作者:Hanna Barabakh

您可能还会对下面的文章感兴趣: