【51CTO.com快译】众所周知,软件即服务(SaaS)业务的神奇之处在于,它不会受到地域的限制。任何拥有互联网连接的人都可以成为其用户,因此任何国家/地区都可能成为SaaS产品的潜在市场。
不过,我们常说,机遇与挑战并存。其实,SaaS也面临着一个庞大而复杂的市场环境。当新冠病毒将全球大部分人的生活范围转至线上之后,已有超过132个国家制定了自己的数据领域相关法律和法规。面对纷繁复杂的数据新政,我们在此为您整理了一套SaaS检查清单,以便您开启隐私合规之旅。
什么是全球合规性?
“合规性”是指您的企业或产品,符合某个认证性组织的一系列规定。而此类组织往往取决于您和您的用户所在的地理位置。
在传统的本地环境中,成为数据隐私合规企业相对比较简单。但是,如果您的业务突破了本区域的地理范围,甚至涵盖全球,那么合规的难度则会大幅增加。例如,如果您会在不同地区的多个市场进行交易服务,则可能需要根据您和用户所在的位置,遵守许多不同的法律、法规和政策。
而在SaaS行业,此类要求更为显著。各国的数据隐私法规,会规范服务提供方,如何与现有和潜在的用户、及其数据打交道,如何处理他们的敏感信息,并维护他们的隐私权。
合规的重要性
全球格局
每天,数以百万计的用户与全球企业,都通过各种SaaS应用,以订阅或捕获帐户服务信息等方式,分享着用户的个人详细信息。
而在捕获数据的过程中,服务提供方必须确保其用户的个人数据,得到了安全的存储和处理,并保持适当的隐私级别。否则,此类信息将很容易受到安全漏洞的威胁、以及黑客的攻击。为此,服务提供方还会招致法律的问责,以及用户信任的缺失。
用户期望
正如Cisco于2019年发布的一项调查所表明,用户对于数据安全的意识已大幅增强,有32%的受访者非常关心自己的隐私。用户一旦不满意某项服务中的安全态势,就会“用脚投票”,直接更换服务提供商。这直接造成了SaaS应用需要满足各种严格的法规的压力增加。
不合规的风险
如果在服务端过程中,不遵守特定国家或特定行业的隐私政策和法规,则往往会导致其产品在某些地区、司法管辖区内,被禁止使用或遭遇业务下架,同时会招致巨额的罚款、冗长的诉讼、甚至是企业主的牢狱之灾。
实现业务合规性的5个步骤
1. 了解不同的法规
如果您希望将业务扩展到其他国家、地区或特定行业,鉴于各地法规的巨大差异性,了解并遵守当地最新的数据隐私法规,显得尤为重要。下面,我将和您讨论各种针对SaaS的、最常见的数据隐私法规与标准示例。
→ 服务组织控制 2(Service Organizational Control,SOC 2)
SOC 2是基于美国注册会计师协会(American Institute of Certified Public Accountants,AICPA)的“信任服务标准”的审计过程。各个公司可以使用它,来检查其信息系统是否符合SOC 2的相关原则。
由于SOC 2是专为将用户数据存储在云端的组织而设计的,因此它几乎适用于所有的SaaS应用,也是最常见的合规性框架之一。若要符合SOC 2标准,您的企业需要建立并遵守严格的数据政策。其中包括:存储在云端的数据安全性、可用性、处理过程中的完整性和机密性。
→ 欧盟通用数据保护条例(General Data Protection Regulation,GDPR)
GDPR是一个面向欧盟的全面立法,为境内的个人提供了数据权利,并增加组织和企业的合规责任。GDPR不但阻止了公司的越权,而且要求企业提供正确处理公民数据的保证。GDPR的核心功能就是让公民能够更好地掌控自己的数据。同时,它也赋予了监管机构更大的权力,以针对处理违反该法律的组织开具罚单。
根据GDPR,欧盟公民可以访问他们的数据、纠正错误记录、删除其数据、反对擅自处理他们的数据、以及能够导出其数据。此外,GDPR也要求持有数据的公司(无论公司注册在何处,只要在欧盟境内开展业务),提供处置数据的目的、性质和存储期限等信息。
因此,遵循GDPR框架的运营公司,还必须在安全泄露事件发生后,立即通知相关用户,以及必须采取保护措施,来防范此类违规行为。否则,该公司可能面临着巨额的罚款。
→ 支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI-DSS)
于2006年推出的PCI-DSS,是一套要求集合。它旨在确保所有处理、存储或传输信用卡信息的公司,都能够维护一套安全环境。这是一个严格的安全标准,可以在整个交易过程中,加强对持卡人数据的控制,提高账户的安全性,进而减少信用卡的欺诈。
PCI DSS是由PCI安全标准委员会(Security Standards Council,SSC)管理的。该委员会是由Visa、Mastercard、American Express、Discover和JCB所组成的独立机构。无论其规模或处理的交易量如何,PCI DSS适用于任何接受、存储或传输持卡人信息的组织。
目前,业界有四种不同的PCI合规性级别,每个级别都对标的是企业日常处理的不同交易。其中,PCI DSS包括12个明确的条件,每个条件都带有许多特定的子要求。由于该合规需要采用和遵守某些特定的信息安全策略,因此企业在满足过程中需要有一定的技术实现能力。
→ 加州消费者隐私法案(California Consumer Privacy Act,CCPA)
从2018年开始,CCPA开始为加州消费者提供增强的隐私权限和消费保护。该法规不但能够为实施隐私权利提供指导,而且可以更好地控制公司收集、使用和存储消费者的信息。
同时,CCPA也为消费者提供了删除被收集到的个人信息的权利,选择不出售其个人信息的权利,行使此类权利时不受歧视的权利,以及获得解释其相关隐私政策的通知权。
→ 国际标准化组织(International Organization for Standardization,ISO)
ISO委员会与国际电工委员会(International Electrotechnical Commission,IEC)针对各种电工标准化的事宜开展合作,并为信息安全管理系统(ISMS)提供了相关标准。这些标准主要着眼于各类信息风险,以及如何协助公司识别和管理风险。
值得注意到是,ISO/IEC本身并非一项法规,而是一组可用于管理安全风险的合规性标准。您可以将此类标准集,用作正式评估的起点,通过提交信息安全政策、风险评估流程、以及安全监控证据,以获得认证审计员的正式认可。总的说来,ISO/IEC标准不仅适合SaaS公司,也可以被应用于任何行业、规模与市场。
→ 美国行业特定法规
除了上面提到的常见法规和标准,您还需要熟悉适用于运营所在地的、针对SaaS应用的各种特定规则。以美国为例,您需要考虑如下方面:
- 健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPAA)
- 纽约网络安全条例(New York Cybersecurity Regulation)
- 联邦金融机构检查委员会(Federal Financial Institutions Examination Council)
2. 法律和数据处理
如前所述,SaaS公司需要在处理用户数据时遵守相关法律,以避免可能面临的诉讼风险。对此,服务提供商需要清晰地知晓自己为何要处理用户信息,以及使用数据的目的。下面让我们对此作进一步了解。
→ 数据保护影响评估(Data Protection Impact Assessments,DPIA)
DPIA需要评估:数据类型、处理目的、组织内外的访问者、保护用户信息的方式、以及何时删除信息等。作为监管机构,信息专员办公室(Information Commissioners Office,ICO)以各种示例模板的形式,提供了创建DIPA所需的各类信息。
→ 隐私政策的法律依据和内容
隐私政策是SaaS服务提供商在采取用户数据之前,与用户交流的重要途径,也是获取用户同意的必要方式。因此,他们需要在隐私政策中,简单且清楚地罗列出:处理数据的原因、处理的方式、访问信息的人员与权限、以及如何保护数据等所有内容。
3. 数据安全
→ 数据保护政策
SaaS服务提供商需要始终在其数据保护策略中明确说明如下两个方面,以体现数据的安全性与合规性:
- 设计数据保护(Data Protection by Design)
这意味着他们已经在任何新的系统、服务、流程、以及产品的设计阶段,考虑到了隐私和数据安全。也就是说,服务产品已从设计源头上,确保了整个生命周期的数据安全。
- 默认数据保护(Data Protection by Default)
这意味着他们只会去处理那些为实现特定目的而收集来的数据,并且会在整个处理流程开始之前,做到用户通知,并在后期的处理流程中,实践各项数据安全保护的措施。
→ 内部安全政策
为了避免祸起萧墙,SaaS服务提供商也需要为其团队成员,创建必要的内部安全策略,以确保每个人都了解本公司在数据隐私和安全方面的流程和优先事项。
→ 数据泄露
此外,为了防范未然,他们还需要制定一套流程,来规范该如何处理各类数据泄露(或潜在的泄露)事件。该流程需涵盖:如何采用书面的形式,通知当地监管机构和数据主体。
4. 问责制和治理
在SaaS的全球合规性检查列表中,我们还需要考虑到:
→ 首席合规官
所有SaaS服务提供商都应任命一名内部首席合规官(Chief Compliance Officer)。该角色熟悉评估流程,并通过制定政策,以保护用户数据的必要权利和责任。同时,他们还有责任跟进各种不断更新和变化的法律和法规。
→ 数据处理协议
接着,SaaS服务提供商需要识别那些,协助他们处理用户个人数据的任何第三方。例如:电子邮件服务平台、云服务器、以及各类分析软件等。作为数据控制者,SaaS服务提供商应当与他们签署相关的数据处理协议。因此,SaaS服务提供商不但应该采用标准化的文本协议,而且应当选择那些能够严格遵守本行业和地区标准的、可信赖的第三方服务。
→ 数据保护官(Data Protection Officers)
根据GDPR的相关规定,SaaS服务提供商应任命一名数据保护官,去专门处置与个人数据保护相关的所有问题。在不同企业中,该角色的职责范围可能有所不同,但是他们的工作都应该免受企业内其他部门或人员的干扰,并能够按需向最高管理层报告。因此,该角色必须具备法律和技术的专业知识,方能理解和实施隐私政策和评估。
5. 隐私权
妥善处置好用户的隐私权,也是SaaS全球合规性检查列表的重要组成部分。
→ 保护用户隐私的流程
请确保该流程是以用户为中心。这不但可以保证用户对于安全地存储个人信息的满意度,还能够通过其本身的透明度,以消减各种担忧与猜疑。
→ 允许用户访问有关其个人数据的信息
用户往往需要知晓SaaS服务提供商、及其合作处理的第三方,持有其哪些个人信息,进而修正那些不准确的数据,或是要求删除不适合的数据。
同时,用户也需要知道其信息在SaaS服务提供商处会存储多长时间,以及为什么要保留那么长久。此类信息非但是免费提供的(至少在第一次被请求时应当如此),而且需要在用户提出请求后的一个月内被提供出来。
SaaS合规小贴士
- 确保合规部门和IT团队之间的协作
跨部门之间的密切合作,是SaaS合规的理想状态。例如,人力资源部门可以协助合规部门为新员工安排培训,以提高他们在日常工作中的合规意识。
- 制定行为准则
通过为特定的合规计划制定相关行为准则,不但可以明确定义各项行为的目的,而且能够确保服务团队的行为符合相关的隐私政策。
- 遵循CIS基准
应确保数据基础架构能够遵循互联网安全中心(Center for Internet Security,CIS)的基准。这是一套预防各种可能性网络威胁的指南。
- 紧跟法规的动态变化
如今,各国政府都已开始日渐重视对于本国公民的数据隐私保护。为了加强针对数据处理的控制,各国频繁地出台了相关法律。因此,SaaS服务提供商应当及时了解其业务所在管辖范围内,新颁布或修订的法律、法规,以免措手不及。
SaaS全球合规性总结
如今,SaaS平台已经突破了地域的限制,在全球范围内开展服务与协作。不过,我们也会时常看到,由于未能遵守当地的法规,而带来负面的后果,甚至被吃罚单的新闻。可见,我们只有心存敬畏,切实保持业务发展与合规并重,才能让自己的SaaS解决方案真正健康稳健地实现全球化。
原文标题:Global SaaS Compliance: A Complete Audit Checklist,作者:Hanna Barabakh
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】