SaaS (Software as a Service) solutions har blomstrat under de senaste många åren. Denna trend ser inte ut att avstanna för tillfället. Tvärtom kommer SaaS-marknaden att växa under de kommande åren enligt en rapport från Gartner. Ditt företag har förmodligen redan SaaS solutions implementerat, men jag kan garantera att du kommer att få ännu mer SaaS solutions i framtiden. Med goda skäl, eftersom du får tillgång till snabb, stabil, innovativ och kostnadseffektiv teknik och applikationsinfrastruktur.
Ditt företag behöver ta hänsyn till flera faktorer innan ni bestämmer er för att investera i en SaaS-lösning. Dorthe, en av våra duktiga konsulter, har tidigare skrivit en artikel om förutsättningar som bidrar till en lyckad implementering av en SaaS-lösning. Visst är det viktigt att undersöka hur programvaran implementeras men faktorerna; funktionalitet, ekonomi och datasäkerhet är lika viktiga. Vilka behov måste lösningen support uppfylla, hur ser ekonomin ut och behandlas data på ett säkert sätt av leverantören?
I den här artikeln tittar jag särskilt på säkerhetsaspekten. Det kan snabbt bli en dålig och dyr upplevelse om den valda leverantören inte klarar av uppgiften och inte lever upp till sitt ansvar när det gäller datasäkerhet.
Ny teknik, mer data, ökad risk
Danska företag anammar ny teknik och solutions i stor skala. Med dem strömmar en allt större mängd data genom solutions. De stora datamängderna innebär också en större utmaning när det gäller att säkra data enligt rapporten " Global Data Protection Index" från Dell Technologies.
71 % av de IT-beslutsfattare som tillfrågades i rapporten säger att ny teknik som artificiell intelligens, 5G och edge-infrastruktur gör dataskyddet mer komplext. De svarar också att den nya tekniken potentiellt utgör ett verkligt hot mot datasäkerheten.
Detta hjälper till att betona blogginläggets legitimitet; var noggrann när du undersöker hur SaaS-leverantörer behandlar dina data.
Vem ansvarar för datasäkerheten?
Datasäkerhet är ett brett begrepp och omfattar allt från brandväggar, lösenordskontroll, programuppdateringar, backup, personuppgifter etc. I det här blogginlägget kommer jag främst att ta upp skyddet av de data som körs genom den relevanta SaaS-lösningen.
Olika system hanterar olika typer av data. Till exempel hanterar CRM-system kunddata medan lönesystem hanterar löne- och personaldata. På Acubiz hanterar vi kreditkortsdata, fakturadata och data om medarbetarnas tidsåtgång om vår lösning för digital tidrapportering, Acubiz Time, används.
Jag har nämnt denna fras i några av mina tidigare blogginlägg. Men det är viktigt och därför upprepar jag det varje gång jag får chansen att göra det: Du och din SaaS-leverantör delar på ansvaret för datasäkerheten. Leverantören tar hand om allt som rör den underliggande infrastrukturen, medan du är ansvarig för korrekt, säker och trygg användning av applikationen.
Det innebär att SaaS-leverantörerna naturligtvis tar på sig ansvaret för att hålla kundens data i en säker miljö. Det vill säga att se till att serverinstallationen är säker, att brandväggar är installerade, att data krypteras, att det finns rutiner för säkerhetskopiering och återställning, att programvaran uppdateras kontinuerligt, att interna processer för databehandling är i ordning etc. Företaget måste se till att användarna inte återanvänder lösenord eller skriver ner dem på tillgängliga platser. Istället måste de se till att användarna är medvetna om hur de ska skydda sig själva, sin identitet, sitt användarnamn och sitt lösenord.
Vilka säkerhetsaspekter behöver du ta hänsyn till?
SaaS solutions kan innehålla en stor mängd affärs- och personuppgifter. Och eftersom de kan nås från vilken enhet som helst av många användare samtidigt, kan de potentiellt utgöra en betydande säkerhetsrisk. Därför är det viktigt att du kommer ihåg att göra ditt förberedande arbete och undersöka SaaS-leverantörens inställning till datasäkerhet. Jag kan inte nog understryka detta. Sanningen är att det är önskvärt att undvika en säkerhetsöverträdelse - både för SaaS-leverantören och för dig som företag.
SaaS-leverantörerna är väl medvetna om detta. Det är därför de allra flesta har både solida och starka säkerhetsåtgärder på plats och ett enormt fokus på datasäkerhet. De använder ofta sofistikerade och säkra molninfrastrukturer som övervakas och kontrolleras dag och natt. Låt oss gå igenom några aspekter som du kan tänka på när du är på jakt efter en ny SaaS-lösning.
1. Hur ser leverantörernas interna processer för databehandling ut?
De flesta kan hålla med om att e-post som innehåller kund- eller personaldata inte bör skickas fram och tillbaka mellan anställda eller partners utan säkerhetsåtgärder. SaaS-leverantörer måste kontinuerligt testa och validera sina egna processer för att säkerställa korrekt hantering av dina data. Samtidigt måste de ställa krav på hostingpartners, affärspartners och andra leverantörer som de kan komma att samarbeta med. Det är viktigt att definiera vem och hur många som har tillgång till specifika kunddata. På samma sätt är det viktigt att ha dokumenterade processer för datahantering på plats för att kunna erbjuda rätt datasäkerhet.
Då kanske du tänker: "Hur tar vi reda på det?". Och det är en bra fråga, där det enkla svaret är att fråga leverantören om deras interna processer. Eller att undersöka om leverantören har genomfört externa revisioner av sina rutiner, och därför kan presentera certifieringar som dokumenterar ett säkert tillvägagångssätt för databehandling. Certifieringen kan till exempel vara en ISAE 3402 Typ II, ISAE 3000 eller en ISO 27001-certifiering. Den förstnämnda är en certifiering som Acubiz har erhållit sedan 2016. Certifieringen är en internationell standard som används av IT-tjänsteleverantörer, där en hög grad av säkerhet och kontroll krävs.
2. Gör databehandlingsavtal med SaaS-leverantören
Denna aspekt är kopplad till den tidigare i förhållande till att undersöka om SaaS-leverantören uppfyller gällande säkerhetskrav och standarder - inklusive krav på lagring och behandling av personuppgifter, jfr EU:s allmänna dataskyddsförordning.
Jag rekommenderar starkt att du ser till att ingå databehandlingsavtal med dina SaaS-leverantörer. Ett personuppgiftsbiträdesavtal är ett avtal mellan två företag som beskriver hur företaget, som behandlar uppgifterna, ska behandla uppgifterna. Kom ihåg att personuppgiftsbiträdesavtalet måste uppfylla de olika krav och tolkningar som gäller i de länder där ni gör affärer. Personuppgiftsbiträdet kan också ingå personuppgiftsbiträdesavtal med underleverantörer.
Utan ett personuppgiftsbiträdesavtal kan du hamna i en svår situation om leverantörens datasäkerhet kränks. Överträdelser och brott måste rapporteras till den danska dataskyddsmyndigheten. Konsekvenserna av ett brott mot datasäkerheten för de inblandade beror naturligtvis på vilken typ av brott det rör sig om. Det kan potentiellt leda till identitetsstöld, ekonomisk förlust, borttagande av pseudo-anonymisering, förlust av konfidentialitet etc.
Ett personuppgiftsbiträdesavtal förhindrar naturligtvis inte att en överträdelse inträffar, men det säkerställer att det finns en process på plats för att ta hand om den och en beskrivning av hur uppgifterna behandlas.
3. Vad erbjuder SaaS-leverantören i form av ytterligare säkerhetshöjande åtgärder?
Undersök om SaaS-leverantören erbjuder tjänster som kan stärka säkerheten ytterligare. Åtkomstkontroll genom Single Sign-On är ett exempel på en tjänst som hjälper till att hålla data säkra.
Single Sign-On är åtkomstkontroll av flera relaterade, men oberoende, IT-system och applikationer. Företaget kan ge användaren tillgång till flera system med bara en inloggning. Det ökar datasäkerheten, eftersom identitets- och åtkomstkontroll kan styras både centralt och internt. Samtidigt minskar Single Sign-On antalet olika användarnamn och lösenord bland användarna, tidsåtgången för att ange inloggningsuppgifter och färre förfrågningar till IT-avdelningen om bortglömda lösenord. I Acubiz kan vi erbjuda både Single Sign-On för vår webb- och mobilapplikation, vilket skapar fördelar för både våra användare och kunder.
Konfigurationen av Single Sign-On kräver åtkomst till infrastrukturen för Active Directory Federation Services (ADFS). Single Sign-On är i sig inte en heltäckande säkerhetsåtgärd som på en gång ökar datasäkerheten avsevärt. Men tillsammans med andra säkerhetsåtgärder bidrar den till att uppgradera och förbättra din övergripande datasäkerhet.
Jag rekommenderar att du letar efter SaaS-leverantörer som kan erbjuda ytterligare säkerhetsåtgärder än vad som bara är "nödvändigt att ha". Det kan vara Single Sign-On men det kan också vara en lösning för digital arkivering till exempel.
Här är vad du bör tänka på
Du är på god väg att hitta en SaaS-leverantör som tar sitt ansvar för datasäkerheten på allvar, om du kan sätta en bock bredvid detta:
- SaaS-leverantören har kontroll över interna databehandlingsprocesser och kan ha en ISAE 3402 typ II-certifiering eller liknande
- SaaS-leverantören erbjuder sig att på förhand ingå ett heltäckande databehandlingsavtal
- SaaS-leverantören kan erbjuda ytterligare säkerhetsåtgärder utöver vad som är "nödvändigt att ha"
Förutom ovanstående är det en förutsättning att SaaS-leverantören har kontroll över "grunderna" som brandväggsinstallationer, datakryptering, programuppdateringar etc. Och detta har de allra flesta. På Acubiz är vi mycket medvetna om vårt ansvar när det gäller våra kunders datasäkerhet. Vi anser att en stark datasäkerhetsinstallation tjänar syftet att skydda det förtroende och den investering som våra kunder har gjort i vår tjänst för kostnadshantering.
