SaaS全球合規性檢查清單
譯文【51CTO.com快譯】眾所周知,軟件即服務(SaaS)業務的神奇之處在于,它不會受到地域的限制。任何擁有互聯網連接的人都可以成為其用戶,因此任何國家/地區都可能成為SaaS產品的潛在市場。
不過,我們常說,機遇與挑戰并存。其實,SaaS也面臨著一個龐大而復雜的市場環境。當新冠病毒將全球大部分人的生活范圍轉至線上之后,已有超過132個國家制定了自己的數據領域相關法律和法規。面對紛繁復雜的數據新政,我們在此為您整理了一套SaaS檢查清單,以便您開啟隱私合規之旅。
什么是全球合規性?
“合規性”是指您的企業或產品,符合某個認證性組織的一系列規定。而此類組織往往取決于您和您的用戶所在的地理位置。
在傳統的本地環境中,成為數據隱私合規企業相對比較簡單。但是,如果您的業務突破了本區域的地理范圍,甚至涵蓋全球,那么合規的難度則會大幅增加。例如,如果您會在不同地區的多個市場進行交易服務,則可能需要根據您和用戶所在的位置,遵守許多不同的法律、法規和政策。
而在SaaS行業,此類要求更為顯著。各國的數據隱私法規,會規范服務提供方,如何與現有和潛在的用戶、及其數據打交道,如何處理他們的敏感信息,并維護他們的隱私權。
合規的重要性
全球格局
每天,數以百萬計的用戶與全球企業,都通過各種SaaS應用,以訂閱或捕獲帳戶服務信息等方式,分享著用戶的個人詳細信息。
而在捕獲數據的過程中,服務提供方必須確保其用戶的個人數據,得到了安全的存儲和處理,并保持適當的隱私級別。否則,此類信息將很容易受到安全漏洞的威脅、以及黑客的攻擊。為此,服務提供方還會招致法律的問責,以及用戶信任的缺失。
用戶期望
正如Cisco于2019年發布的一項調查所表明,用戶對于數據安全的意識已大幅增強,有32%的受訪者非常關心自己的隱私。用戶一旦不滿意某項服務中的安全態勢,就會“用腳投票”,直接更換服務提供商。這直接造成了SaaS應用需要滿足各種嚴格的法規的壓力增加。
不合規的風險
如果在服務端過程中,不遵守特定國家或特定行業的隱私政策和法規,則往往會導致其產品在某些地區、司法管轄區內,被禁止使用或遭遇業務下架,同時會招致巨額的罰款、冗長的訴訟、甚至是企業主的牢獄之災。
實現業務合規性的5個步驟
1. 了解不同的法規
如果您希望將業務擴展到其他國家、地區或特定行業,鑒于各地法規的巨大差異性,了解并遵守當地最新的數據隱私法規,顯得尤為重要。下面,我將和您討論各種針對SaaS的、最常見的數據隱私法規與標準示例。
→ 服務組織控制 2(Service Organizational Control,SOC 2)
SOC 2是基于美國注冊會計師協會(American Institute of Certified Public Accountants,AICPA)的“信任服務標準”的審計過程。各個公司可以使用它,來檢查其信息系統是否符合SOC 2的相關原則。
由于SOC 2是專為將用戶數據存儲在云端的組織而設計的,因此它幾乎適用于所有的SaaS應用,也是最常見的合規性框架之一。若要符合SOC 2標準,您的企業需要建立并遵守嚴格的數據政策。其中包括:存儲在云端的數據安全性、可用性、處理過程中的完整性和機密性。
→ 歐盟通用數據保護條例(General Data Protection Regulation,GDPR)
GDPR是一個面向歐盟的全面立法,為境內的個人提供了數據權利,并增加組織和企業的合規責任。GDPR不但阻止了公司的越權,而且要求企業提供正確處理公民數據的保證。GDPR的核心功能就是讓公民能夠更好地掌控自己的數據。同時,它也賦予了監管機構更大的權力,以針對處理違反該法律的組織開具罰單。
根據GDPR,歐盟公民可以訪問他們的數據、糾正錯誤記錄、刪除其數據、反對擅自處理他們的數據、以及能夠導出其數據。此外,GDPR也要求持有數據的公司(無論公司注冊在何處,只要在歐盟境內開展業務),提供處置數據的目的、性質和存儲期限等信息。
因此,遵循GDPR框架的運營公司,還必須在安全泄露事件發生后,立即通知相關用戶,以及必須采取保護措施,來防范此類違規行為。否則,該公司可能面臨著巨額的罰款。
→ 支付卡行業數據安全標準(Payment Card Industry Data Security Standard,PCI-DSS)
于2006年推出的PCI-DSS,是一套要求集合。它旨在確保所有處理、存儲或傳輸信用卡信息的公司,都能夠維護一套安全環境。這是一個嚴格的安全標準,可以在整個交易過程中,加強對持卡人數據的控制,提高賬戶的安全性,進而減少信用卡的欺詐。
PCI DSS是由PCI安全標準委員會(Security Standards Council,SSC)管理的。該委員會是由Visa、Mastercard、American Express、Discover和JCB所組成的獨立機構。無論其規模或處理的交易量如何,PCI DSS適用于任何接受、存儲或傳輸持卡人信息的組織。
目前,業界有四種不同的PCI合規性級別,每個級別都對標的是企業日常處理的不同交易。其中,PCI DSS包括12個明確的條件,每個條件都帶有許多特定的子要求。由于該合規需要采用和遵守某些特定的信息安全策略,因此企業在滿足過程中需要有一定的技術實現能力。
→ 加州消費者隱私法案(California Consumer Privacy Act,CCPA)
從2018年開始,CCPA開始為加州消費者提供增強的隱私權限和消費保護。該法規不但能夠為實施隱私權利提供指導,而且可以更好地控制公司收集、使用和存儲消費者的信息。
同時,CCPA也為消費者提供了刪除被收集到的個人信息的權利,選擇不出售其個人信息的權利,行使此類權利時不受歧視的權利,以及獲得解釋其相關隱私政策的通知權。
→ 國際標準化組織(International Organization for Standardization,ISO)
ISO委員會與國際電工委員會(International Electrotechnical Commission,IEC)針對各種電工標準化的事宜開展合作,并為信息安全管理系統(ISMS)提供了相關標準。這些標準主要著眼于各類信息風險,以及如何協助公司識別和管理風險。
值得注意到是,ISO/IEC本身并非一項法規,而是一組可用于管理安全風險的合規性標準。您可以將此類標準集,用作正式評估的起點,通過提交信息安全政策、風險評估流程、以及安全監控證據,以獲得認證審計員的正式認可。總的說來,ISO/IEC標準不僅適合SaaS公司,也可以被應用于任何行業、規模與市場。
→ 美國行業特定法規
除了上面提到的常見法規和標準,您還需要熟悉適用于運營所在地的、針對SaaS應用的各種特定規則。以美國為例,您需要考慮如下方面:
- 健康保險流通與責任法案(Health Insurance Portability and Accountability Act,HIPAA)
- 紐約網絡安全條例(New York Cybersecurity Regulation)
- 聯邦金融機構檢查委員會(Federal Financial Institutions Examination Council)
2. 法律和數據處理
如前所述,SaaS公司需要在處理用戶數據時遵守相關法律,以避免可能面臨的訴訟風險。對此,服務提供商需要清晰地知曉自己為何要處理用戶信息,以及使用數據的目的。下面讓我們對此作進一步了解。
→ 數據保護影響評估(Data Protection Impact Assessments,DPIA)
DPIA需要評估:數據類型、處理目的、組織內外的訪問者、保護用戶信息的方式、以及何時刪除信息等。作為監管機構,信息專員辦公室(Information Commissioners Office,ICO)以各種示例模板的形式,提供了創建DIPA所需的各類信息。
→ 隱私政策的法律依據和內容
隱私政策是SaaS服務提供商在采取用戶數據之前,與用戶交流的重要途徑,也是獲取用戶同意的必要方式。因此,他們需要在隱私政策中,簡單且清楚地羅列出:處理數據的原因、處理的方式、訪問信息的人員與權限、以及如何保護數據等所有內容。
3. 數據安全
→ 數據保護政策
SaaS服務提供商需要始終在其數據保護策略中明確說明如下兩個方面,以體現數據的安全性與合規性:
- 設計數據保護(Data Protection by Design)
這意味著他們已經在任何新的系統、服務、流程、以及產品的設計階段,考慮到了隱私和數據安全。也就是說,服務產品已從設計源頭上,確保了整個生命周期的數據安全。
- 默認數據保護(Data Protection by Default)
這意味著他們只會去處理那些為實現特定目的而收集來的數據,并且會在整個處理流程開始之前,做到用戶通知,并在后期的處理流程中,實踐各項數據安全保護的措施。
→ 內部安全政策
為了避免禍起蕭墻,SaaS服務提供商也需要為其團隊成員,創建必要的內部安全策略,以確保每個人都了解本公司在數據隱私和安全方面的流程和優先事項。
→ 數據泄露
此外,為了防范未然,他們還需要制定一套流程,來規范該如何處理各類數據泄露(或潛在的泄露)事件。該流程需涵蓋:如何采用書面的形式,通知當地監管機構和數據主體。
4. 問責制和治理
在SaaS的全球合規性檢查列表中,我們還需要考慮到:
→ 首席合規官
所有SaaS服務提供商都應任命一名內部首席合規官(Chief Compliance Officer)。該角色熟悉評估流程,并通過制定政策,以保護用戶數據的必要權利和責任。同時,他們還有責任跟進各種不斷更新和變化的法律和法規。
→ 數據處理協議
接著,SaaS服務提供商需要識別那些,協助他們處理用戶個人數據的任何第三方。例如:電子郵件服務平臺、云服務器、以及各類分析軟件等。作為數據控制者,SaaS服務提供商應當與他們簽署相關的數據處理協議。因此,SaaS服務提供商不但應該采用標準化的文本協議,而且應當選擇那些能夠嚴格遵守本行業和地區標準的、可信賴的第三方服務。
→ 數據保護官(Data Protection Officers)
根據GDPR的相關規定,SaaS服務提供商應任命一名數據保護官,去專門處置與個人數據保護相關的所有問題。在不同企業中,該角色的職責范圍可能有所不同,但是他們的工作都應該免受企業內其他部門或人員的干擾,并能夠按需向最高管理層報告。因此,該角色必須具備法律和技術的專業知識,方能理解和實施隱私政策和評估。
5. 隱私權
妥善處置好用戶的隱私權,也是SaaS全球合規性檢查列表的重要組成部分。
→ 保護用戶隱私的流程
請確保該流程是以用戶為中心。這不但可以保證用戶對于安全地存儲個人信息的滿意度,還能夠通過其本身的透明度,以消減各種擔憂與猜疑。
→ 允許用戶訪問有關其個人數據的信息
用戶往往需要知曉SaaS服務提供商、及其合作處理的第三方,持有其哪些個人信息,進而修正那些不準確的數據,或是要求刪除不適合的數據。
同時,用戶也需要知道其信息在SaaS服務提供商處會存儲多長時間,以及為什么要保留那么長久。此類信息非但是免費提供的(至少在第一次被請求時應當如此),而且需要在用戶提出請求后的一個月內被提供出來。
SaaS合規小貼士
- 確保合規部門和IT團隊之間的協作
跨部門之間的密切合作,是SaaS合規的理想狀態。例如,人力資源部門可以協助合規部門為新員工安排培訓,以提高他們在日常工作中的合規意識。
- 制定行為準則
通過為特定的合規計劃制定相關行為準則,不但可以明確定義各項行為的目的,而且能夠確保服務團隊的行為符合相關的隱私政策。
- 遵循CIS基準
應確保數據基礎架構能夠遵循互聯網安全中心(Center for Internet Security,CIS)的基準。這是一套預防各種可能性網絡威脅的指南。
- 緊跟法規的動態變化
如今,各國政府都已開始日漸重視對于本國公民的數據隱私保護。為了加強針對數據處理的控制,各國頻繁地出臺了相關法律。因此,SaaS服務提供商應當及時了解其業務所在管轄范圍內,新頒布或修訂的法律、法規,以免措手不及。
SaaS全球合規性總結
如今,SaaS平臺已經突破了地域的限制,在全球范圍內開展服務與協作。不過,我們也會時常看到,由于未能遵守當地的法規,而帶來負面的后果,甚至被吃罰單的新聞。可見,我們只有心存敬畏,切實保持業務發展與合規并重,才能讓自己的SaaS解決方案真正健康穩健地實現全球化。
原文標題:Global SaaS Compliance: A Complete Audit Checklist,作者:Hanna Barabakh
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
