【51CTO.com快译】众所周知,软件是服务(SaaS)业务的魔力在于它不受地域限制。任何有互联网连接的人都可以成为他们的用户,所以任何国家/地区都可以成为他们SaaS潜在的产品市场。
但我们常说,机遇与挑战并存。事实上,SaaS它也面临着巨大而复杂的市场环境。当新冠肺炎将世界上大多数人的生活范围转移到网上时,132多个国家制定了自己的数据领域相关法律法规。面对复杂的新数据政策,我们在这里为您整理了一套SaaS以便您开始隐私合规之旅。
什么是全球合规?
“合规性”是指您的企业或产品,符合某个认证性组织的一系列规定。而此类组织往往取决于您和您的用户所在的地理位置。
在传统的本地环境中,成为数据隐私合规企业相对简单。然而,如果您的业务突破了该地区的地理范围,甚至覆盖了世界,那么合规的难度就会显著增加。例如,如果您将在不同地区的多个市场提供交易服务,您可能需要遵守许多不同的法律、法规和政策,根据您和用户的位置。
而在SaaS行业,这些要求更为明显。各国的数据隐私法规将规范服务提供商如何处理现有和潜在用户及其数据,如何处理他们的敏感信息,并保护他们的隐私权。
合规的重要性
全球格局
每天,数百万用户和全球企业通过各种方式SaaS应用程序通过订阅或捕获帐户服务信息来共享用户的个人细节。
在数据捕获过程中,服务提供商必须确保用户的个人数据安全存储和处理,并保持适当的隐私水平。否则,这些信息将很容易受到安全漏洞和黑客攻击的威胁。因此,服务提供商也将导致法律问责和缺乏用户信任。
用户期望
正如Cisco根据2019年发布的一项调查,用户对数据安全的意识大大提高,32%的受访者非常关心自己的隐私。一旦用户对服务中的安全状况不满意,他们就会“用脚投票”,直接更换服务提供商。这直接导致了SaaS应用程序需要满足各种严格法规的压力。
不合规的风险
如果在服务端过程中不遵守特定国家或行业的隐私政策法规,往往会导致其产品在某些地区和司法管辖范围内被禁止使用或下架,导致巨额罚款、冗长诉讼甚至企业主监禁。
实现业务合规的五个步骤
1. 了解不同的法规
如果您想将业务扩展到其他国家、地区或特定行业,鉴于当地法律法规的巨大差异,了解和遵守当地最新的数据隐私法规尤为重要。下面,我将与您讨论各种问题SaaS最常见的数据隐私法规和标准示例。
→ 控制服务组织2(Service Organizational Control,SOC 2)
SOC 2是基于美国注册会计师协会(American Institute of Certified Public Accountants,AICPA)的“信任服务标准”审计过程。各公司可使用它来检查其信息系统是否符合要求SOC 2的相关原则。
由于SOC 2是专门为云中存储用户数据的组织而设计的,因此它几乎适用于所有用户数据SaaS应用程序也是最常见的合规框架之一。如果合要求SOC 2标准,您的企业需要建立并遵守严格的数据政策。它包括:云中存储的数据安全性、可用性、处理过程中的完整性和机密性。
→ 欧盟通用数据保护条例(General Data Protection Regulation,GDPR)
GDPR是欧盟的综合立法,为国内个人提供数据权,增加组织和企业的合规责任。GDPR不仅阻止了公司的越权,还要求企业提供正确处理公民数据的保证。GDPR其核心功能是让公民更好地控制自己的数据。同时,它还赋予监管机构更大的权力,对违反法律的组织开具罚单。
根据GDPR,欧盟公民可以访问他们的数据,纠正错误记录,删除他们的数据,反对擅自处理他们的数据,并导出他们的数据。GDPR还要求持有数据的公司(无论公司在哪里注册,只要在欧盟开展业务)提供处置数据的目的、性质和存储期限。
因此,遵循GDPR框架运营公司还必须在安全泄漏后立即通知相关用户,并采取保护措施防止此类违规行为。否则,该公司可能会面临巨额罚款。
→ 支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI-DSS)
于2006年推出的PCI-DSS,这是一套需求集。它旨在确保所有处理、存储或传输信用卡信息的公司都能保持一个安全的环境。这是一个严格的安全标准,可以加强对持卡人数据的控制,提高账户的安全性,减少信用卡欺诈。
PCI DSS是由PCI安全标准委员会(Security Standards Council,SSC)管理。委员会由Visa、Mastercard、American Express、Discover和JCB独立组织。无论其规模或交易量如何,PCI DSS适用于任何接受、存储或传输持卡人信息的组织。
目前,行业有四种不同PCI合规级,每个级别都是针对企业日常处理的不同交易。PCI DSS包括12个明确的条件,每个条件都有许多特定的子要求。由于合规需要采用和遵守一些特定的信息安全策略,企业在满足过程中需要具备一定的技术实现能力。
→ (California Consumer Privacy Act,CCPA)
从2018年开始,CCPA开始为加州消费者提供更强的隐私权和消费保护。该法规不仅可以指导隐私权的实施,还可以更好地控制消费者信息的收集、使用和存储。
同时,CCPA它还为消费者提供了删除收集到的个人信息、选择不出售个人信息、行使此类权利时不受歧视、获得解释相关隐私政策的通知的权利。
→ 国际标准化组织(International Organization for Standardization,ISO)
ISO国际电工委员会(International Electrotechnical Commission,IEC)为信息安全管理系统开展各种电工标准化合作(ISMS)提供相关标准。这些标准主要集中在各种信息风险上,以及如何公司识别和管理风险。
值得注意的是,ISO/IEC它本身不是一项法律法规,而是一组可用于管理安全风险的合规标准。您可以通过提交信息安全政策、风险评估流程和安全监控证据,将此类标准集作为正式评估的起点,获得认证审计师的正式认可。总的来说,ISO/IEC标准不仅合适SaaS公司也可以应用于任何行业、规模和市场。
→ 美国行业的具体法律法规
除上述常见法律法规和标准外,您还需要熟悉适用于运营地点的SaaS各种具体规则的应用。以美国为例,您需要考虑以下几个方面:
- 健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPAA)
- 纽约网络安全条例(New York Cybersecurity Regulation)
- 联邦金融机构检查委员会(Federal Financial Institutions Examination Council)
2. 法律和数据处理
如前所述,SaaS公司在处理用户数据时需要遵守相关法律,以避免可能的诉讼风险。在这方面,服务提供商需要清楚地知道他们为什么要处理用户信息,以及使用数据的目的。让我们进一步了解一下。
→ 数据保护影响评估(Data Protection Impact Assessments,DPIA)
DPIA评估:数据类型、处理目的、组织内外的访问者、保护用户信息的方、何时删除信息等。信息专员办公室作为监管机构(Information Commissioners Office,ICO)以各种示例模板的形式创建DIPA所需的各种信息。
→ 法律依据和内容的隐私政策
隐私政策是SaaS在采用用户数据之前,服务提供商与用户沟通的重要途径也是获得用户同意的必要途径。因此,他们需要简单而清楚地列出所有内容,如处理数据的原因、处理方法、访问信息的人员和权限以及如何保护数据。
3. 数据安全
→ 数据保护政策
SaaS为了反映数据的安全性和合规性,服务提供商需要始终在其数据保护策略中明确说明以下两个方面:
- 设计数据保护(Data Protection by Design)
这意味着他们已经在任何新的系统、服务、流程、以及产品的设计阶段,考虑到了隐私和数据安全。也就是说,服务产品已从设计源头上,确保了整个生命周期的数据安全。
- 默认数据保护(Data Protection by Default)
这意味着他们只处理为实现特定目的而收集的数据,并在整个处理过程开始前通知用户,并在以后的处理过程中实践数据安全保护措施。
→ 内部安全政策
为避免萧墙的灾难,SaaS服务提供商还需要为团队成员创建必要的内部安全策略,以确保每个人都了解公司的数据隐私和安全流程和优先事项。
→ 数据泄露
此外,为了防止萌芽状态,他们还需要制定一套程序来规范如何处理各种数据泄露(或潜在泄露)事件。该过程包括:如何书面通知当地监管机构和数据主体。
4. 问责制和治理
在SaaS我们还需要考虑全球合规检查清单:
→ 首席合规官
所有SaaS服务提供商应任命内部首席合规官(Chief Compliance Officer)。这个角色熟悉评估过程,并通过制定政策来保护用户数据的必要权利和责任。同时,他们还有责任跟种不断更新和变化的法律法规。
→ 数据处理协议
接着,SaaS服务提供商需要识别任何帮助他们处理用户个人数据的第三方。例如:电子邮件服务平台、云服务器和各种分析软件。作为数据控制器,SaaS服务提供商应与他们签订相关的数据处理协议。SaaS服务提供商不仅要采用标准化的文本协议,还要选择选择严格遵守行业和地区标准的可靠的第三方服务。
→ 数据保护官(Data Protection Officers)
根据GDPR有关规定,SaaS服务提供商应任命一名数据保护官来处理所有与个人数据保护相关的问题。在不同的企业中,这个角色可能有不同的职责范围,但他们的工作应该不受企业其他部门或人员的干扰,并可以根据需要向最高管理层报告。因此,在理解和实施隐私政策和评估之前,这个角色必须具备法律和技术的专业知识。
5. 隐私权
妥善处置用户隐私权也是如此SaaS全球合规检查清单的重要组成部分。
→ 保护用户隐私的过程
请确保这个过程以用户为中心。这不仅可以保证用户对安全存储个人信息的满意度,还可以通过自身的透明度减少各种担忧和疑虑。
→ 允许用户访问其个人数据信息
用户通常需要知道SaaS服务提供商及其合作处理的第三方持有哪些个人信息,然后修改不准确的数据,或要求删除不合适的数据。
同时,用户也需要知道其信息SaaS服务提供商将存储多长时间,以及为什么要保留这么长时间。这些信息不仅是免费的(至少在第一次被要求时),而且需要在用户提出要求后一个月内提供。
SaaS合规小贴士
- 确保合规部门和IT团队合作
跨部门之间的密切合作,是SaaS理想的合规状态。例如,人力资源部可以协助合规部门为新员工安排培训,以提高他们在日常工作中的合规意识。
- 制定行为准则
为特定的合规计划制定相关的行为准则,既能明确各种行为的目的,又能保证服务团队的行为符合相关的隐私政策。
- 遵循CIS基准
确保数据基础设施能够遵循互联网安全中心(Center for Internet Security,CIS)基准。这是一套防止各种可能网络威胁的指南。
- 跟上法律法规的动态变化
如今,各国政府越来越重视保护自己公民的数据隐私。为了加强对数据处理的控制,各国频繁出台相关法律。SaaS服务提供商应及时了解新颁布或修订的法律法规,以免措手不及。
SaaS全球合规性总结
如今,SaaS该平台突破了区域限制,在全球范围内开展服务和合作。然而,我们经常看到,由于未能遵守当地法律法规,负面后果,甚至被罚款的消息。可以看出,只有敬畏,认真保持业务发展和合规,我们才能让自己SaaS解决方案真正健康稳定地实现全球化。
原文标题:Global SaaS Compliance: A Complete Audit Checklist,作者:Hanna Barabakh
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】