【.com快译】众所周知,软件即服务(SaaS)业务的神奇之处在于它不受地域限制。任何有互联网连接的人都可以成为用户,因此任何国家都可以成为SaaS产品的潜在市场。但是,我们常说机遇与挑战并存。事实上,SaaS也面临着巨大而复杂的市场环境。新冠病毒将全球大多数人的生活转移到网上后,超过132个国家制定了自己的数据领域相关法律法规。面对复杂的新数据政策,我们为您整理了一套SaaS清单,让您开启您的隐私合规之旅。什么是全球合规?“合规”是指您的企业或产品符合认证机构的一套规定。该组织通常取决于您和您的用户所在的位置。在传统的本地环境中,成为数据隐私合规企业相对简单。但是,如果你的业务突破了地域的地理范围,甚至覆盖了全球,那么合规难度就会大大增加。例如,如果您在不同地区的多个市场交易您的服务,您可能需要遵守许多不同的法律、法规和政策,具体取决于您和您的用户所在的位置。在SaaS行业中,这样的要求更为重要。各国的数据隐私法规将规范服务提供商如何处理现有和潜在用户及其数据,如何处理他们的敏感信息,以及如何维护他们的隐私。合规的重要性全球格局每天,数以百万计的用户和全球企业通过各种SaaS应用程序共享用户的个人详细信息,例如订阅或捕获帐户服务信息。在捕获数据时,服务提供商必须确保其用户的个人数据得到安全存储和处理,并保持适当的隐私级别。否则,此类信息将容易受到安全漏洞和黑客的攻击。为此,服务商也会招致法律责任和用户信任缺失。用户期望思科在2019年发布的一项调查显示,用户对数据安全的意识显着增强,32%的受访者非常关注他们的隐私。一旦用户对某项服务的安全状况不满意,就会“用脚投票”,直接更换服务商。这直接导致SaaS应用程序满足各种严格法规的压力增加。不合规风险如果您在服务器过程中不遵守特定国家或特定行业的隐私政策和法规,往往会导致其产品在某些地区和司法管辖区被禁止使用或被下架.它还可能导致企业主面临巨额罚款、冗长的诉讼,甚至入狱。实现业务合规的5个步骤1.了解不同的法规如果您想将业务扩展到其他国家、地区或特定行业,鉴于当地的巨大差异,了解并遵守当地最新的数据隐私法规尤为重要规定重要。下面,我将与您讨论SaaS最常见的数据隐私法规和标准的各种示例。→服务组织控制2(ServiceOrganizationalControl,SOC2)SOC2是一种基于美国注册会计师协会(AICPA)“可信服务标准”的审计流程。企业可以用它来检查自己的信息系统是否符合SOC2的相关原则。由于SOC2是为将用户数据存储在云端的组织设计的,它适用于几乎所有的SaaS应用程序,是最常见的合规框架之一.要符合SOC2,您的企业需要建立并遵守严格的数据策略。这些包括:存储在云中时处理过程中的数据安全性、可用性、完整性和机密性。→欧盟通用数据保护条例(GDPR)GDPR是一项面向欧盟的综合性立法,为区域内的个人提供数据权利,并增加组织和企业的合规责任。GDPR不仅防止公司过度扩张,还要求公司保证公民的数据得到正确处理。GDPR的核心功能是让公民更好地控制他们的数据。它还赋予监管机构更大的权力,可以对违法的组织处以罚款。根据GDPR,欧盟公民可以访问他们的数据、更正错误记录、删除他们的数据、反对未经授权处理他们的数据,并能够导出他们的数据。此外,GDPR还要求持有数据的公司(无论公司在哪里注册,只要在欧盟境内开展业务)提供数据的目的、性质和存储期限等信息。因此,遵循GDPR框架的运营公司也必须在发生安全漏洞后立即通知相关用户,并采取保护措施来防止此类漏洞的发生。否则,该公司可能面临巨额罚款。→支付卡行业数据安全标准(PCI-DSS)PCI-DSS于2006年推出,是一套要求。它旨在确保所有处理、存储或传输信用卡信息的公司都保持安全的环境。这是一项严格的安全标准,可以在整个交易过程中加强对持卡人数据的控制,提高账户安全性,减少信用卡欺诈。PCIDSS由PCI安全标准委员会(SSC)管理。该委员会是一个独立机构,由Visa、Mastercard、AmericanExpress、Discover和JCB组成。PCIDSS适用于接受、存储或传输持卡人信息的任何组织,无论其规模或处理的交易量如何。目前,业内有四个不同级别的PCI合规性,每个级别针对企业每天处理的不同交易。其中,PCIDSS包括了12条明确的条件,每条条件下都有很多具体的子要求。由于这种合规需要采用和遵守某些特定的信息安全策略,因此企业在合规过程中需要具备一定的技术实施能力。→加州消费者隐私法案(CCPA)始于2018年。CCPA开始为加州消费者提供增强的隐私权和消费者保护。该法规不仅为执行隐私权提供了指导,而且还对公司收集、使用和存储消费者信息的方式提供了更大的控制。同时,CCPA还赋予消费者删除收集到的个人信息的权利、不出售其个人信息的权利、行使该等权利时不受歧视的权利,以及获得解释其相关隐私权的通知的权利政策。→国际标准化组织(ISO)的ISO委员会与国际电工委员会(IEC)就各种电工标准化事宜进行合作,并为信息安全管理系统(ISMS)提供相关标准。这些标准侧重于各种类型的信息风险以及它们如何帮助公司识别和管理这些风险。值得注意的是,ISO/IEC本身并不是法规,而是一套可用于管理安全风险的合规标准。您可以将这套标准作为正式评估的起点,通过提交信息安全政策、风险评估流程和安全监控证据以供认证审计员正式认可。总的来说,ISO/IEC标准不仅适用于SaaS公司,也适用于任何行业、规模和市场。→美国行业特定法规除了上面提到的通用法规和标准外,您还需要熟悉适用于您运营所在地的SaaS应用程序的各种特定规则。以美国为例,您需要考虑以下内容:健康保险流通与责任法案(HIPAA)纽约网络安全条例联邦金融机构检查委员会2。法律与数据处理如前所述,SaaS企业在处理用户数据时需要遵守相关法律,避免可能的诉讼风险。对此,服务提供商需要清楚地了解他们处理用户信息的原因和使用数据的目的。让我们仔细看看这个。→数据保护影响评估(DPIA)DPIA需要评估:数据类型、处理目的、组织内外的访问者、保护用户信息的方式、何时删除信息等。作为监管者,信息专员办公室(ICO)以各种示例模板的形式提供创建DIPA所需的信息。→隐私政策的法律依据和内容隐私政策是SaaS服务提供商在收集用户数据前与用户沟通的重要方式,也是征得用户同意的必要方式。因此,他们需要在隐私政策中简单明了地列出:处理数据的原因、处理方式、访问信息的人员和权限、如何保护数据等。3.数据安全→数据保护政策SaaS服务提供商需要始终在其数据保护政策中明确说明以下两个方面,以反映数据安全性和合规性:数据保护设计(DataProtectionbyDesign),即他们在任何服务的设计阶段就已经考虑了隐私和数据安全。新系统、服务、流程和产品。也就是说,服务产品从设计的源头就保证了数据全生命周期的安全。默认数据保护(DataProtectionbyDefault)是指他们只会对为特定目的而收集的数据进行处理,并会在整个处理过程开始前通知用户,并在后期处理过程中,实行各种数据安全保护措施。→内部安全策略为了避免失败,SaaS服务提供商还需要为其团队成员创建必要的内部安全策略,以确保每个人都了解公司在数据隐私和安全方面的流程和优先事项。→数据泄露此外,为了防患于未然,他们还需要制定一套流程来规范如何处理各种数据泄露(或潜在泄露)事件。该流程需要涵盖如何以书面形式通知当地监管机构和数据主体。4.问责制和治理在SaaS的全球合规检查清单上,我们还需要考虑:→首席合规官所有SaaS服务提供商都应任命一名内部首席合规官(ChiefComplianceOfficer)。该角色熟悉评估流程,并具有通过制定政策保护用户数据的必要权利和责任。同时,他们还负责跟上不断更新和变化的各种法律法规。→数据处理协议接下来,SaaS服务提供商需要确定任何协助他们处理用户个人数据的第三方。例如:邮件服务平台、云服务器、各种分析软件等。SaaS服务提供商作为数据控制者,应与其签订相关的数据处理协议。因此,SaaS服务提供商不仅要采用标准化的文本协议,还要选择能够严格遵守行业和地区标准的可靠第三方服务。→数据保护官(DataProtectionOfficers)根据GDPR的相关规定,SaaS服务提供商应指定一名数据保护官来处理与个人数据保护相关的所有问题。该角色的职责可能因公司而异,但他们都应该在不受其他部门或公司内部人员干扰的情况下工作,并能够根据需要向最高管理层报告。因此,该角色必须具备法律和技术专业知识,才能理解和实施隐私政策和评估。5.隐私妥善处理用户隐私也是SaaS全球合规检查清单的重要组成部分。→保护用户隐私的流程请确保流程以用户为中心。这既保证了用户对个人信息安全存储的满意度,又通过自身的透明性减少了各种担忧和猜疑。→允许用户访问有关其个人数据的信息用户往往需要知道SaaS服务提供商及其合作的第三方持有哪些个人信息,然后更正那些不准确的数据,或者要求删除不合适的数据。同时,用户也需要知道自己的信息会在SaaS服务商处保存多久,为什么会保存这么久。此类信息不是免费提供的(至少在第一次请求时是这样),但必须在用户请求后的一个月内提供。SaaS合规性提示确保合规性和IT团队之间的协作跨部门的密切协作是SaaS合规性的理想状态。例如,人力资源部可以协助合规部门对新员工进行培训,提高他们在日常工作中的合规意识。制定行为准则通过针对具体的合规计划制定行为准则,不仅可以明确定义每一种行为的目的,还可以确保服务团队的行为与相关隐私政策相一致。遵守CIS基准应确保数据基础设施遵循互联网安全中心(CIS)基准。这是一套用于防止各种可能的网络威胁的指南。跟上法规的动态变化如今,世界各国政府已经开始越来越重视公民的数据隐私保护。各国经常出台法律来加强对数据处理的控制。因此,SaaS服务商应及时了解业务所在辖区新颁布或修订的法律法规,以免措手不及。SaaS全球合规概述如今,SaaS平台已经突破地域限制,在全球范围内提供服务和协作。然而,我们也经常看到因不遵守当地法规而导致负面后果甚至罚款的消息。可见,唯有心存敬畏,业务发展与合规并重,才能让我们的SaaS解决方案健康稳定地真正全球化。原标题:GlobalSaaSCompliance:ACompleteAuditChecklist,作者:HannaBarabakh
