Software as a Service (SaaS) solutions hat in den letzten Jahren einen Boom erlebt. Dieser Trend scheint vorerst nicht zu stoppen. Ganz im Gegenteil, der SaaS-Markt wird laut einem Bericht von Gartner in den kommenden Jahren wachsen. Ihr Unternehmen hat wahrscheinlich bereits SaaS solutions implementiert, aber ich kann Ihnen garantieren, dass Sie in Zukunft noch mehr SaaS solutions bekommen werden. Und das aus gutem Grund, denn Sie erhalten Zugang zu schneller, stabiler, innovativer und kosteneffizienter Technologie und Anwendungsinfrastruktur.
Ihr Unternehmen muss mehrere Faktoren berücksichtigen, bevor es sich für die Investition in eine SaaS-Lösung entscheidet. Dorthe, eine unserer erfahrenen Beraterinnen, hat bereits einen Artikel über die Bedingungen geschrieben , die zu einer erfolgreichen Implementierung einer SaaS-Lösung beitragen. Es ist sicherlich wichtig zu prüfen, wie die Software implementiert wird, aber die Faktoren Funktionalität, Wirtschaftlichkeit und Datensicherheit sind ebenso wichtig. Welche Anforderungen muss die Lösung support erfüllen, wie sieht es mit der Wirtschaftlichkeit aus und werden die Daten vom Anbieter sicher verarbeitet?
In diesem Artikel gehe ich speziell auf den Sicherheitsaspekt ein. Es kann schnell zu einer schlechten und teuren Erfahrung werden, wenn der gewählte Anbieter der Aufgabe nicht gewachsen ist und seiner Verantwortung hinsichtlich der Datensicherheit nicht gerecht wird.
Neue Technologien, mehr Daten, höheres Risiko
Dänische Unternehmen setzen in großem Umfang auf neue Technologien und solutions . Mit ihnen fließen immer größere Datenmengen durch die solutions. Die großen Datenmengen stellen laut dem Bericht "Global Data Protection Index" von Dell Technologies auch eine größere Herausforderung für die Datensicherheit dar.
71 % der in dem Bericht befragten IT-Entscheider sagen, dass neue Technologien wie künstliche Intelligenz, 5G und Edge-Infrastrukturen den Datenschutz komplexer machen. Sie antworten auch, dass die neuen Technologien potenziell eine echte Bedrohung für die Datensicherheit darstellen.
Dies trägt dazu bei, die Legitimität des Blogbeitrags zu unterstreichen; recherchieren Sie gründlich, wie SaaS-Anbieter Ihre Daten verarbeiten.
Wer ist für die Datensicherheit verantwortlich?
Datensicherheit ist ein weit gefasster Begriff und umfasst alles von Firewalls, Passwortkontrolle, Software-Updates, Backup, persönliche Daten usw. In diesem Blogbeitrag werde ich vor allem auf den Schutz der Daten eingehen, die über die jeweilige SaaS-Lösung laufen.
Verschiedene Systeme verwalten unterschiedliche Arten von Daten. Zum Beispiel verwalten CRM-Systeme Kundendaten, während Gehaltssysteme Gehalts- und Personaldaten verwalten. Bei Acubiz verwalten wir Kreditkartendaten, Rechnungsdaten und Daten über den Zeitverbrauch der Mitarbeiter, wenn unsere Lösung für die digitale Zeiterfassung, Acubiz Time, verwendet wird.
Ich habe diesen Satz bereits in einigen meiner früheren Blogbeiträge erwähnt. Aber er ist wichtig und deshalb wiederhole ich ihn jedes Mal, wenn ich die Gelegenheit dazu habe: Sie und Ihr SaaS-Anbieter teilen sich die Verantwortung für die Datensicherheit. Der Anbieter kümmert sich um alles, was mit der zugrundeliegenden Infrastruktur zusammenhängt, während Sie für die ordnungsgemäße, sichere Nutzung der Anwendung verantwortlich sind.
Das bedeutet, dass die SaaS-Anbieter natürlich die Verantwortung dafür übernehmen, dass die Daten des Kunden in einer sicheren Umgebung aufbewahrt werden. Das heißt, er muss dafür sorgen, dass die Servereinrichtung sicher ist, dass Firewall-Maßnahmen installiert sind, dass die Daten verschlüsselt sind, dass Sicherungs- und Wiederherstellungsverfahren vorhanden sind, dass die Software ständig aktualisiert wird, dass die internen Prozesse für die Datenverarbeitung in Ordnung sind usw. Das Unternehmen muss dafür sorgen, dass die Benutzer ihre Passwörter nicht wiederverwenden oder an zugänglichen Stellen aufschreiben. Stattdessen müssen sie dafür sorgen, dass die Nutzer wissen, wie sie sich selbst, ihre Identität, ihren Benutzernamen und ihr Passwort schützen können.
Welche Sicherheitsaspekte müssen Sie beachten?
SaaS solutions kann eine große Menge an Geschäfts- und persönlichen Daten enthalten. Und da sie von jedem Gerät aus von vielen Nutzern gleichzeitig abgerufen werden können, stellen sie potenziell ein erhebliches Sicherheitsrisiko dar. Daher ist es wichtig, dass Sie Ihre Vorbereitungen treffen und den Ansatz des SaaS-Anbieters in Bezug auf die Datensicherheit prüfen. Ich kann das nicht genug betonen. In Wahrheit ist es wünschenswert, eine Sicherheitsverletzung zu vermeiden - sowohl für den SaaS-Anbieter als auch für Sie als Unternehmen.
SaaS-Anbieter sind sich dessen wohl bewusst. Deshalb verfügt die große Mehrheit über solide und starke Sicherheitsmaßnahmen und legt großen Wert auf die Datensicherheit. Sie nutzen oft hoch entwickelte und sichere Cloud-Infrastrukturen, die Tag und Nacht überwacht und kontrolliert werden. Gehen wir einige Aspekte durch, die Sie berücksichtigen können, wenn Sie auf dem Markt für eine neue SaaS-Lösung sind.
1. Wie sind die internen Prozesse des Anbieters für die Datenverarbeitung?
Die meisten sind sich einig, dass E-Mails mit Kunden- oder Personaldaten nicht ohne Sicherheitsmaßnahmen zwischen Mitarbeitern oder Partnern hin- und herfliegen sollten. SaaS-Anbieter müssen ihre eigenen Prozesse kontinuierlich testen und validieren, um den korrekten Umgang mit Ihren Daten zu gewährleisten. Gleichzeitig müssen sie Anforderungen an Hosting-Partner, Geschäftspartner und andere Anbieter stellen, mit denen sie möglicherweise zusammenarbeiten. Es ist wichtig, festzulegen, wer und wie viele Personen Zugang zu bestimmten Kundendaten haben. Ebenso wichtig ist es, über dokumentierte Datenverwaltungsprozesse zu verfügen, um die richtige Datensicherheit zu gewährleisten.
Dann denken Sie vielleicht: "Wie finden wir das heraus?Und das ist eine gute Frage, wobei die einfache Antwort darin besteht, den Anbieter nach seinen internen Verfahren zu fragen. Oder Sie erkundigen sich, ob der Anbieter externe Audits seiner Verfahren durchführen lässt und daher Zertifizierungen vorlegen kann, die einen sicheren Ansatz bei der Datenverarbeitung dokumentieren. Bei der Zertifizierung kann es sich zum Beispiel um eine ISAE 3402 Typ II, ISAE 3000 oder eine ISO 27001 Zertifizierung handeln. Ersteres ist eine Zertifizierung, die Acubiz seit 2016 erhalten hat. Die Zertifizierung ist ein internationaler Standard, der von IT-Dienstleistern verwendet wird, bei denen ein hohes Maß an Sicherheit und Kontrolle erforderlich ist.
2. Datenverarbeitungsverträge mit dem SaaS-Anbieter abschließen
Dieser Aspekt ist mit dem vorhergehenden verknüpft, bei dem es darum ging, zu prüfen, ob der SaaS-Anbieter die aktuellen Sicherheitsanforderungen und -standards erfüllt - einschließlich der Anforderungen an die Speicherung und Verarbeitung personenbezogener Daten, vgl. die EU-Datenschutzgrundverordnung.
Ich empfehle Ihnen dringend, mit Ihren SaaS-Anbietern Datenverarbeitungsverträge abzuschließen. Eine Datenverarbeitungsvereinbarung ist eine Vereinbarung zwischen zwei Unternehmen, in der beschrieben wird, wie das Unternehmen, das die Daten verarbeitet, die Daten verarbeiten soll. Denken Sie daran, dass die Datenverarbeitungsvereinbarung den verschiedenen Anforderungen und Auslegungen genügen muss, die in den Ländern gelten, in denen Sie geschäftlich tätig sind. Der Datenverarbeiter kann auch Datenverarbeitungsverträge mit Unterauftragnehmern abschließen.
Ohne eine Datenverarbeitungsvereinbarung könnten Sie in eine schwierige Situation geraten, wenn die Datensicherheit des Anbieters verletzt wird. Verstöße und Verletzungen müssen der dänischen Datenschutzbehörde gemeldet werden. Natürlich hängen die Folgen einer Verletzung der Datensicherheit für die Betroffenen von der Art der Verletzung ab. Sie kann möglicherweise zu Identitätsdiebstahl, finanziellen Verlusten, Aufhebung der Pseudoanonymisierung, Verlust der Vertraulichkeit usw. führen.
Eine Datenverarbeitungsvereinbarung verhindert natürlich nicht, dass es zu einem Verstoß kommt, aber sie stellt sicher, dass es ein Verfahren gibt, das sich darum kümmert, und beschreibt, wie die Daten verarbeitet werden.
3. Was bietet der SaaS-Anbieter an zusätzlichen Maßnahmen zur Erhöhung der Sicherheit?
Untersuchen Sie, ob der SaaS-Anbieter Dienste anbietet, die die Sicherheit weiter erhöhen können. Die Zugangskontrolle durch Single Sign-On ist ein Beispiel für einen Dienst, der zur Datensicherheit beiträgt.
Single Sign-On ist die Zugangskontrolle von mehreren zusammenhängenden, aber unabhängigen IT-Systemen und Anwendungen. Das Unternehmen kann dem Benutzer mit nur einer Anmeldung Zugang zu mehreren Systemen geben. Es erhöht die Datensicherheit, da Identität und Zugriffskontrolle sowohl zentral als auch intern gesteuert werden können. Gleichzeitig reduziert Single Sign-On die Anzahl unterschiedlicher Benutzernamen und Passwörter bei den Nutzern, den Zeitaufwand für die Eingabe von Anmeldeinformationen und weniger Anfragen an die IT-Abteilung wegen vergessener Passwörter. In Acubiz können wir Single Sign-On sowohl für unsere Web- als auch für unsere mobile Anwendung anbieten, was sowohl für unsere Benutzer als auch für unsere Kunden Vorteile bringt.
Die Konfiguration von Single Sign-On erfordert den Zugriff auf Ihre Active Directory Federation Services (ADFS) Infrastruktur. Single Sign-On ist für sich genommen keine umfassende Sicherheitsmaßnahme, die Ihre Datensicherheit auf einmal deutlich erhöht. Aber zusammen mit anderen Sicherheitsmaßnahmen trägt es dazu bei, Ihre Datensicherheit insgesamt zu erhöhen und zu verbessern.
Ich empfehle Ihnen, nach SaaS-Anbietern Ausschau zu halten, die zusätzliche Sicherheitsmaßnahmen anbieten können, die über das hinausgehen, was lediglich "erforderlich" ist. Das könnte Single Sign-On sein, aber auch eine Lösung für die digitale Archivierung zum Beispiel.
Folgendes ist zu beachten
Sie sind auf dem besten Weg, einen SaaS-Anbieter zu finden, der seine Verantwortung für die Datensicherheit ernst nimmt, wenn Sie dies ankreuzen können:
- Der SaaS-Anbieter hat die Kontrolle über die internen Datenverarbeitungsprozesse und verfügt möglicherweise über eine ISAE 3402 Typ II-Zertifizierung oder ähnliches.
- Der SaaS-Anbieter bietet im Voraus an, einen Vertrag über die Datenverarbeitung abzuschließen.
- Der SaaS-Anbieter kann zusätzliche Sicherheitsmaßnahmen anbieten, die über das hinausgehen, was "notwendig" ist
Außerdem ist es eine Voraussetzung, dass der SaaS-Anbieter die "Grundlagen" wie Firewall-Installationen, Datenverschlüsselung, Software-Updates usw. beherrscht. Und das hat die große Mehrheit. Bei Acubiz sind wir uns unserer Verantwortung für die Datensicherheit unserer Kunden sehr bewusst. Wir glauben, dass eine starke Datensicherheitseinrichtung dazu dient, das Vertrauen und die Investition zu schützen, die unsere Kunden in unseren Service für das Ausgabenmanagement getätigt haben.
