SaaS (Software as a Service) solutions on ollut viime vuosina kovassa kasvussa. Tämä suuntaus ei näytä pysähtyvän toistaiseksi. Päinvastoin, Gartnerin raportin mukaan SaaS-markkinat kasvavat tulevina vuosina. Yrityksessänne on todennäköisesti jo otettu käyttöön SaaS solutions , mutta voin taata, että tulevaisuudessa SaaS solutions tulee lisääntymään entisestään. Syystäkin, sillä saat käyttöösi nopean, vakaan, innovatiivisen ja kustannustehokkaan teknologian ja sovellusinfrastruktuurin.
Yrityksesi on otettava huomioon useita tekijöitä ennen kuin päätät investoida SaaS-ratkaisuun. Dorthe, yksi osaavista konsulteistamme, on aiemmin kirjoittanut artikkelin ehdoista, jotka auttavat varmistamaan SaaS-ratkaisun onnistuneen käyttöönoton. On varmasti tärkeää tutkia, miten ohjelmisto toteutetaan, mutta yhtä tärkeitä ovat tekijät; toiminnallisuus, taloudellisuus ja tietoturva. Mitä tarpeita ratkaisun on oltava support, miltä talous näyttää ja käsittelevätkö toimittajat tietoja turvallisesti?
Tarkastelen tässä artikkelissa erityisesti turvallisuusnäkökohtia. Siitä voi tulla nopeasti huono ja kallis kokemus, jos valittu toimittaja ei ole tehtäviensä tasalla eikä täytä tietoturvaan liittyviä velvollisuuksiaan.
Uudet teknologiat, enemmän tietoa, lisääntyneet riskit
Tanskalaiset yritykset ottavat laajamittaisesti käyttöön uutta teknologiaa ja solutions . Niiden myötä yhä suurempi tietomäärä kulkee solutions. Suuret tietomäärät aiheuttavat myös suuremman haasteen tietojen suojaamiselle Dell Technologiesin raportin "Global Data Protection Index" mukaan.
71 prosenttia raportissa haastatelluista IT-päättäjistä sanoo, että uudet teknologiat, kuten tekoäly, 5G ja edge-infrastruktuuri, monimutkaistavat tietosuojaa. He myös vastaavat, että uudet teknologiat saattavat muodostaa todellisen uhan tietoturvalle.
Tämä auttaa korostamaan blogikirjoituksen oikeutusta; ole perusteellinen tutkiessasi, miten SaaS-toimittajat käsittelevät tietojasi.
Kuka on vastuussa tietoturvasta?
Tietoturva on laaja käsite, ja se kattaa kaiken palomuureista, salasanojen valvonnasta, ohjelmistopäivityksistä, varmuuskopioinnista, henkilötiedoista jne. lähtien. Tässä blogikirjoituksessa käsittelen ensisijaisesti niiden tietojen suojaamista, jotka kulkevat kyseisen SaaS-ratkaisun kautta.
Eri järjestelmät hallinnoivat erityyppisiä tietoja. Esimerkiksi CRM-järjestelmät hallinnoivat asiakastietoja, kun taas palkkajärjestelmät hallinnoivat palkka- ja henkilöstötietoja. Me Acubizissa hallinnoimme luottokorttitietoja, laskutustietoja ja työntekijöiden ajankäyttöä koskevia tietoja, jos käytössä on digitaalisen ajan rekisteröintiin tarkoitettu ratkaisumme Acubiz Time.
Olen maininnut tämän lauseen joissakin aiemmissa blogikirjoituksissani. Mutta se on tärkeä, ja siksi toistan sen aina, kun minulla on siihen tilaisuus: Sinä ja SaaS-toimittajasi jaatte vastuun tietoturvasta. Myyjä huolehtii kaikesta taustalla olevaan infrastruktuuriin liittyvästä, kun taas sinä olet vastuussa sovelluksen asianmukaisesta, turvallisesta ja varmasta käytöstä.
Tämä tarkoittaa, että SaaS-toimittajat ottavat luonnollisesti vastuun asiakkaan tietojen säilyttämisestä turvallisessa ympäristössä. Tämä tarkoittaa sitä, että varmistetaan, että palvelimen asetukset ovat turvalliset, että palomuurit on asennettu, että tiedot on salattu, että varmuuskopiointi- ja palautusmenettelyt ovat käytössä, että ohjelmistoja päivitetään jatkuvasti, että tietojenkäsittelyn sisäiset prosessit ovat kunnossa jne. Yrityksen on varmistettava, että käyttäjät eivät käytä salasanoja uudelleen tai kirjoita niitä helposti saatavilla oleviin paikkoihin. Sen sijaan sen on varmistettava, että käyttäjät ovat tietoisia siitä, miten he voivat suojata itsensä, henkilöllisyytensä, käyttäjätunnuksensa ja salasanansa.
Mitä turvallisuusnäkökohtia sinun on otettava huomioon?
SaaS solutions voi sisältää suuren määrän liiketoiminta- ja henkilötietoja. Ja koska monet käyttäjät voivat käyttää niitä millä tahansa laitteella samanaikaisesti, ne voivat muodostaa merkittävän turvallisuusriskin. Siksi on tärkeää, että muistat tehdä valmistelutyötä ja tutkia SaaS-palveluntarjoajan lähestymistapaa tietoturvaan. En voi korostaa tätä tarpeeksi. Totuus on, että tietoturvaloukkauksen välttäminen on toivottavaa - sekä SaaS-toimittajan että sinun yrityksesi kannalta.
SaaS-toimittajat ovat hyvin tietoisia tästä. Siksi suurimmalla osalla niistä on käytössään vankat ja vahvat turvatoimenpiteet, ja ne keskittyvät voimakkaasti tietoturvaan. Ne käyttävät usein kehittyneitä ja turvallisia pilvi-infrastruktuureja, joita seurataan ja valvotaan yötä päivää. Käydäänpä läpi joitakin näkökohtia, joita voit ottaa huomioon, kun olet etsimässä uutta SaaS-ratkaisua.
1. Millaisia ovat myyjän sisäiset tietojenkäsittelyprosessit?
Useimmat voivat olla samaa mieltä siitä, että asiakas- tai henkilöstötietoja sisältäviä sähköpostiviestejä ei pitäisi lähettää edestakaisin työntekijöiden tai yhteistyökumppaneiden välillä ilman turvatoimia. SaaS-toimittajien on jatkuvasti testattava ja validoitava omia prosessejaan varmistaakseen, että tiedot käsitellään oikein. Ja samalla niiden on esitettävä vaatimuksia hosting-kumppaneille, liikekumppaneille ja muille myyjille, joiden kanssa ne voivat tehdä yhteistyötä. On tärkeää määritellä, kenellä ja kuinka monella henkilöllä on pääsy tiettyihin asiakastietoihin. Samoin on tärkeää, että käytössä on dokumentoidut tiedonhallintaprosessit oikean tietoturvan takaamiseksi.
Sitten saatat miettiä: "Miten saamme sen selville?". Se on hyvä kysymys, ja yksinkertainen vastaus on kysyä myyjältä tämän sisäisistä prosesseista. Tai tutkia, onko myyjä suorittanut menettelyjensä ulkoisia tarkastuksia ja voiko hän siksi esittää sertifiointeja, jotka dokumentoivat turvallisen lähestymistavan tietojenkäsittelyyn. Sertifiointi voi olla esimerkiksi ISAE 3402 Type II, ISAE 3000 tai ISO 27001 -sertifiointi. Ensin mainittu on sertifiointi, jonka Acubiz on saanut vuodesta 2016 lähtien. Sertifiointi on kansainvälinen standardi, jota IT-palveluntarjoajat käyttävät, kun vaaditaan korkeaa tietoturvaa ja valvontaa.
2. Tee tietojenkäsittelysopimukset SaaS-toimittajan kanssa.
Tämä näkökohta liittyy edelliseen näkökohtaan, joka koskee sen tarkastelua, noudattaako SaaS-toimittaja nykyisiä turvallisuusvaatimuksia ja -standardeja - mukaan lukien henkilötietojen tallennusta ja käsittelyä koskevat vaatimukset, ks. EU:n yleinen tietosuoja-asetus.
Suosittelen lämpimästi, että varmistat tietojenkäsittelysopimukset SaaS-toimittajiesi kanssa. Tietojenkäsittelysopimus on kahden yrityksen välinen sopimus, jossa kuvataan, miten tietoja käsittelevän yrityksen tulisi käsitellä tietoja. Muista, että tietojenkäsittelysopimuksen on täytettävä eri vaatimukset ja tulkinnat, joita sovelletaan niissä maissa, joissa harjoitat liiketoimintaa. Tietojen käsittelijä voi tehdä tietojenkäsittelysopimuksia myös alihankkijoiden kanssa.
Ilman tietojenkäsittelysopimusta saatat joutua vaikeaan tilanteeseen, jos myyjän tietoturvaa rikotaan. Rikkomuksista ja tietoturvaloukkauksista on ilmoitettava Tanskan tietosuojavirastolle. Tietoturvaloukkauksen seuraukset asianosaisille riippuvat tietysti siitä, minkä tyyppisestä loukkauksesta on kyse. Se voi mahdollisesti johtaa identiteettivarkauteen, taloudellisiin menetyksiin, pseudoanonymisoinnin poistamiseen, luottamuksellisuuden menettämiseen jne.
Tietojenkäsittelysopimus ei tietenkään estä tietoturvaloukkauksen tapahtumista, mutta sillä varmistetaan, että käytössä on prosessi, jolla siitä huolehditaan, ja kuvaus siitä, miten tietoja käsitellään.
3. Mitä turvallisuutta lisääviä lisätoimenpiteitä SaaS-toimittaja tarjoaa?
Tutki, tarjoaako SaaS-toimittaja palveluita, jotka voivat vahvistaa tietoturvaa entisestään. Pääsynvalvonta kertakirjautumisen avulla on esimerkki palvelusta, joka auttaa pitämään tiedot turvassa.
Single Sign-On on useiden toisiinsa liittyvien mutta toisistaan riippumattomien IT-järjestelmien ja -sovellusten pääsynvalvonta. Yritys voi antaa käyttäjälle pääsyn useisiin järjestelmiin yhdellä kirjautumisella. Se lisää tietoturvaa, koska identiteettiä ja käyttöoikeuksien hallintaa voidaan valvoa sekä keskitetysti että sisäisesti. Samalla Single Sign-On vähentää käyttäjien erilaisten käyttäjätunnusten ja salasanojen määrää, kirjautumistietojen syöttämiseen kuluvaa aikaa ja vähentää tietotekniikkaosastolle tehtäviä kyselyjä unohtuneista salasanoista. Acubizissa voimme tarjota sekä Single Sign-On -palvelua verkko- että mobiilisovelluksiimme, mikä tuo etuja sekä käyttäjillemme että asiakkaillemme.
Single Sign-On -määritys edellyttää pääsyä Active Directory Federation Services (ADFS) -infrastruktuuriin. Single Sign-On ei itsessään ole kattava tietoturvatoimenpide, joka kerralla lisää tietoturvaa merkittävästi. Mutta yhdessä muiden turvatoimien kanssa se auttaa päivittämään ja parantamaan yleistä tietoturvaa.
Suosittelen, että etsit SaaS-toimittajia, jotka voivat tarjota lisäturvatoimia sen lisäksi, mitä on vain "pakko olla". Se voi olla esimerkiksi Single Sign-On, mutta se voi olla myös ratkaisu digitaaliseen arkistointiin.
Seuraavassa kerrotaan, mitä kannattaa pitää mielessä
Jos voit merkitä rastin tämän kohdan viereen, olet hyvässä vauhdissa löytämässä SaaS-toimittajaa, joka ottaa tietoturvavastuunsa vakavasti:
- SaaS-toimittaja valvoo sisäisiä tietojenkäsittelyprosesseja, ja sillä voi olla ISAE 3402 Type II -sertifiointi tai vastaava.
- SaaS-toimittaja tarjoutuu etukäteen tekemään täysin kattavan tietojenkäsittelysopimuksen.
- SaaS-toimittaja voi tarjota lisäturvatoimia, jotka ylittävät sen, mitä "on pakko olla".
Edellä mainittujen seikkojen lisäksi on edellytyksenä, että SaaS-toimittaja hallitsee "perusasiat", kuten palomuurin asennukset, tietojen salauksen, ohjelmistopäivitykset jne. Ja tämä on valtaosalla. Me Acubizilla olemme hyvin tietoisia vastuustamme asiakkaidemme tietoturvan suhteen. Uskomme, että vahvat tietoturva-asetukset suojaavat luottamusta ja investointia, jonka asiakkaamme ovat tehneet kulujenhallintapalveluumme.