[[427611]]

【51CTO.com快譯】眾所周知，軟件即服務(wù)(SaaS)業(yè)務(wù)的神奇之處在于，它不會受到地域的限制。任何擁有互聯(lián)網(wǎng)連接的人都可以成為其用戶，因此任何國家/地區(qū)都可能成為SaaS產(chǎn)品的潛在市場。

不過，我們常說，機(jī)遇與挑戰(zhàn)并存。其實(shí)，SaaS也面臨著一個龐大而復(fù)雜的市場環(huán)境。當(dāng)新冠病毒將全球大部分人的生活范圍轉(zhuǎn)至線上之后，已有超過132個國家制定了自己的數(shù)據(jù)領(lǐng)域相關(guān)法律和法規(guī)。面對紛繁復(fù)雜的數(shù)據(jù)新政，我們在此為您整理了一套SaaS檢查清單，以便您開啟隱私合規(guī)之旅。

什么是全球合規(guī)性?

“合規(guī)性”是指您的企業(yè)或產(chǎn)品，符合某個認(rèn)證性組織的一系列規(guī)定。而此類組織往往取決于您和您的用戶所在的地理位置。

在傳統(tǒng)的本地環(huán)境中，成為數(shù)據(jù)隱私合規(guī)企業(yè)相對比較簡單。但是，如果您的業(yè)務(wù)突破了本區(qū)域的地理范圍，甚至涵蓋全球，那么合規(guī)的難度則會大幅增加。例如，如果您會在不同地區(qū)的多個市場進(jìn)行交易服務(wù)，則可能需要根據(jù)您和用戶所在的位置，遵守許多不同的法律、法規(guī)和政策。

而在SaaS行業(yè)，此類要求更為顯著。各國的數(shù)據(jù)隱私法規(guī)，會規(guī)范服務(wù)提供方，如何與現(xiàn)有和潛在的用戶、及其數(shù)據(jù)打交道，如何處理他們的敏感信息，并維護(hù)他們的隱私權(quán)。

合規(guī)的重要性

全球格局

每天，數(shù)以百萬計的用戶與全球企業(yè)，都通過各種SaaS應(yīng)用，以訂閱或捕獲帳戶服務(wù)信息等方式，分享著用戶的個人詳細(xì)信息。

而在捕獲數(shù)據(jù)的過程中，服務(wù)提供方必須確保其用戶的個人數(shù)據(jù)，得到了安全的存儲和處理，并保持適當(dāng)?shù)碾[私級別。否則，此類信息將很容易受到安全漏洞的威脅、以及黑客的攻擊。為此，服務(wù)提供方還會招致法律的問責(zé)，以及用戶信任的缺失。

用戶期望

正如Cisco于2019年發(fā)布的一項(xiàng)調(diào)查所表明，用戶對于數(shù)據(jù)安全的意識已大幅增強(qiáng)，有32%的受訪者非常關(guān)心自己的隱私。用戶一旦不滿意某項(xiàng)服務(wù)中的安全態(tài)勢，就會“用腳投票”，直接更換服務(wù)提供商。這直接造成了SaaS應(yīng)用需要滿足各種嚴(yán)格的法規(guī)的壓力增加。

不合規(guī)的風(fēng)險

如果在服務(wù)端過程中，不遵守特定國家或特定行業(yè)的隱私政策和法規(guī)，則往往會導(dǎo)致其產(chǎn)品在某些地區(qū)、司法管轄區(qū)內(nèi)，被禁止使用或遭遇業(yè)務(wù)下架，同時會招致巨額的罰款、冗長的訴訟、甚至是企業(yè)主的牢獄之災(zāi)。

實(shí)現(xiàn)業(yè)務(wù)合規(guī)性的5個步驟

1. 了解不同的法規(guī)

如果您希望將業(yè)務(wù)擴(kuò)展到其他國家、地區(qū)或特定行業(yè)，鑒于各地法規(guī)的巨大差異性，了解并遵守當(dāng)?shù)刈钚碌臄?shù)據(jù)隱私法規(guī)，顯得尤為重要。下面，我將和您討論各種針對SaaS的、最常見的數(shù)據(jù)隱私法規(guī)與標(biāo)準(zhǔn)示例。

→ 服務(wù)組織控制 2(Service Organizational Control，SOC 2)

SOC 2是基于美國注冊會計師協(xié)會(American Institute of Certified Public Accountants，AICPA)的“信任服務(wù)標(biāo)準(zhǔn)”的審計過程。各個公司可以使用它，來檢查其信息系統(tǒng)是否符合SOC 2的相關(guān)原則。

由于SOC 2是專為將用戶數(shù)據(jù)存儲在云端的組織而設(shè)計的，因此它幾乎適用于所有的SaaS應(yīng)用，也是最常見的合規(guī)性框架之一。若要符合SOC 2標(biāo)準(zhǔn)，您的企業(yè)需要建立并遵守嚴(yán)格的數(shù)據(jù)政策。其中包括：存儲在云端的數(shù)據(jù)安全性、可用性、處理過程中的完整性和機(jī)密性。

→ 歐盟通用數(shù)據(jù)保護(hù)條例(General Data Protection Regulation，GDPR)

GDPR是一個面向歐盟的全面立法，為境內(nèi)的個人提供了數(shù)據(jù)權(quán)利，并增加組織和企業(yè)的合規(guī)責(zé)任。GDPR不但阻止了公司的越權(quán)，而且要求企業(yè)提供正確處理公民數(shù)據(jù)的保證。GDPR的核心功能就是讓公民能夠更好地掌控自己的數(shù)據(jù)。同時，它也賦予了監(jiān)管機(jī)構(gòu)更大的權(quán)力，以針對處理違反該法律的組織開具罰單。

根據(jù)GDPR，歐盟公民可以訪問他們的數(shù)據(jù)、糾正錯誤記錄、刪除其數(shù)據(jù)、反對擅自處理他們的數(shù)據(jù)、以及能夠?qū)С銎鋽?shù)據(jù)。此外，GDPR也要求持有數(shù)據(jù)的公司(無論公司注冊在何處，只要在歐盟境內(nèi)開展業(yè)務(wù))，提供處置數(shù)據(jù)的目的、性質(zhì)和存儲期限等信息。

因此，遵循GDPR框架的運(yùn)營公司，還必須在安全泄露事件發(fā)生后，立即通知相關(guān)用戶，以及必須采取保護(hù)措施，來防范此類違規(guī)行為。否則，該公司可能面臨著巨額的罰款。

→ 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard，PCI-DSS)

于2006年推出的PCI-DSS，是一套要求集合。它旨在確保所有處理、存儲或傳輸信用卡信息的公司，都能夠維護(hù)一套安全環(huán)境。這是一個嚴(yán)格的安全標(biāo)準(zhǔn)，可以在整個交易過程中，加強(qiáng)對持卡人數(shù)據(jù)的控制，提高賬戶的安全性，進(jìn)而減少信用卡的欺詐。

PCI DSS是由PCI安全標(biāo)準(zhǔn)委員會(Security Standards Council，SSC)管理的。該委員會是由Visa、Mastercard、American Express、Discover和JCB所組成的獨(dú)立機(jī)構(gòu)。無論其規(guī)?；蛱幚淼慕灰琢咳绾?，PCI DSS適用于任何接受、存儲或傳輸持卡人信息的組織。

目前，業(yè)界有四種不同的PCI合規(guī)性級別，每個級別都對標(biāo)的是企業(yè)日常處理的不同交易。其中，PCI DSS包括12個明確的條件，每個條件都帶有許多特定的子要求。由于該合規(guī)需要采用和遵守某些特定的信息安全策略，因此企業(yè)在滿足過程中需要有一定的技術(shù)實(shí)現(xiàn)能力。

→ 加州消費(fèi)者隱私法案(California Consumer Privacy Act，CCPA)

從2018年開始，CCPA開始為加州消費(fèi)者提供增強(qiáng)的隱私權(quán)限和消費(fèi)保護(hù)。該法規(guī)不但能夠?yàn)閷?shí)施隱私權(quán)利提供指導(dǎo)，而且可以更好地控制公司收集、使用和存儲消費(fèi)者的信息。

同時，CCPA也為消費(fèi)者提供了刪除被收集到的個人信息的權(quán)利，選擇不出售其個人信息的權(quán)利，行使此類權(quán)利時不受歧視的權(quán)利，以及獲得解釋其相關(guān)隱私政策的通知權(quán)。

→ 國際標(biāo)準(zhǔn)化組織(International Organization for Standardization，ISO)

ISO委員會與國際電工委員會(International Electrotechnical Commission，IEC)針對各種電工標(biāo)準(zhǔn)化的事宜開展合作，并為信息安全管理系統(tǒng)(ISMS)提供了相關(guān)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)主要著眼于各類信息風(fēng)險，以及如何協(xié)助公司識別和管理風(fēng)險。

值得注意到是，ISO/IEC本身并非一項(xiàng)法規(guī)，而是一組可用于管理安全風(fēng)險的合規(guī)性標(biāo)準(zhǔn)。您可以將此類標(biāo)準(zhǔn)集，用作正式評估的起點(diǎn)，通過提交信息安全政策、風(fēng)險評估流程、以及安全監(jiān)控證據(jù)，以獲得認(rèn)證審計員的正式認(rèn)可。總的說來，ISO/IEC標(biāo)準(zhǔn)不僅適合SaaS公司，也可以被應(yīng)用于任何行業(yè)、規(guī)模與市場。

→ 美國行業(yè)特定法規(guī)

除了上面提到的常見法規(guī)和標(biāo)準(zhǔn)，您還需要熟悉適用于運(yùn)營所在地的、針對SaaS應(yīng)用的各種特定規(guī)則。以美國為例，您需要考慮如下方面：

• 健康保險流通與責(zé)任法案(Health Insurance Portability and Accountability Act，HIPAA)
• 紐約網(wǎng)絡(luò)安全條例(New York Cybersecurity Regulation)
• 聯(lián)邦金融機(jī)構(gòu)檢查委員會(Federal Financial Institutions Examination Council)

2. 法律和數(shù)據(jù)處理

如前所述，SaaS公司需要在處理用戶數(shù)據(jù)時遵守相關(guān)法律，以避免可能面臨的訴訟風(fēng)險。對此，服務(wù)提供商需要清晰地知曉自己為何要處理用戶信息，以及使用數(shù)據(jù)的目的。下面讓我們對此作進(jìn)一步了解。

→ 數(shù)據(jù)保護(hù)影響評估(Data Protection Impact Assessments，DPIA)

DPIA需要評估：數(shù)據(jù)類型、處理目的、組織內(nèi)外的訪問者、保護(hù)用戶信息的方式、以及何時刪除信息等。作為監(jiān)管機(jī)構(gòu)，信息專員辦公室(Information Commissioners Office，ICO)以各種示例模板的形式，提供了創(chuàng)建DIPA所需的各類信息。

→ 隱私政策的法律依據(jù)和內(nèi)容

隱私政策是SaaS服務(wù)提供商在采取用戶數(shù)據(jù)之前，與用戶交流的重要途徑，也是獲取用戶同意的必要方式。因此，他們需要在隱私政策中，簡單且清楚地羅列出：處理數(shù)據(jù)的原因、處理的方式、訪問信息的人員與權(quán)限、以及如何保護(hù)數(shù)據(jù)等所有內(nèi)容。

3. 數(shù)據(jù)安全

→ 數(shù)據(jù)保護(hù)政策

SaaS服務(wù)提供商需要始終在其數(shù)據(jù)保護(hù)策略中明確說明如下兩個方面，以體現(xiàn)數(shù)據(jù)的安全性與合規(guī)性：

• 設(shè)計數(shù)據(jù)保護(hù)(Data Protection by Design)

這意味著他們已經(jīng)在任何新的系統(tǒng)、服務(wù)、流程、以及產(chǎn)品的設(shè)計階段，考慮到了隱私和數(shù)據(jù)安全。也就是說，服務(wù)產(chǎn)品已從設(shè)計源頭上，確保了整個生命周期的數(shù)據(jù)安全。

• 默認(rèn)數(shù)據(jù)保護(hù)(Data Protection by Default)

這意味著他們只會去處理那些為實(shí)現(xiàn)特定目的而收集來的數(shù)據(jù)，并且會在整個處理流程開始之前，做到用戶通知，并在后期的處理流程中，實(shí)踐各項(xiàng)數(shù)據(jù)安全保護(hù)的措施。

→ 內(nèi)部安全政策

為了避免禍起蕭墻，SaaS服務(wù)提供商也需要為其團(tuán)隊成員，創(chuàng)建必要的內(nèi)部安全策略，以確保每個人都了解本公司在數(shù)據(jù)隱私和安全方面的流程和優(yōu)先事項(xiàng)。

→ 數(shù)據(jù)泄露

此外，為了防范未然，他們還需要制定一套流程，來規(guī)范該如何處理各類數(shù)據(jù)泄露(或潛在的泄露)事件。該流程需涵蓋：如何采用書面的形式，通知當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體。

4. 問責(zé)制和治理

在SaaS的全球合規(guī)性檢查列表中，我們還需要考慮到：

→ 首席合規(guī)官

所有SaaS服務(wù)提供商都應(yīng)任命一名內(nèi)部首席合規(guī)官(Chief Compliance Officer)。該角色熟悉評估流程，并通過制定政策，以保護(hù)用戶數(shù)據(jù)的必要權(quán)利和責(zé)任。同時，他們還有責(zé)任跟進(jìn)各種不斷更新和變化的法律和法規(guī)。

→ 數(shù)據(jù)處理協(xié)議

接著，SaaS服務(wù)提供商需要識別那些，協(xié)助他們處理用戶個人數(shù)據(jù)的任何第三方。例如：電子郵件服務(wù)平臺、云服務(wù)器、以及各類分析軟件等。作為數(shù)據(jù)控制者，SaaS服務(wù)提供商應(yīng)當(dāng)與他們簽署相關(guān)的數(shù)據(jù)處理協(xié)議。因此，SaaS服務(wù)提供商不但應(yīng)該采用標(biāo)準(zhǔn)化的文本協(xié)議，而且應(yīng)當(dāng)選擇那些能夠嚴(yán)格遵守本行業(yè)和地區(qū)標(biāo)準(zhǔn)的、可信賴的第三方服務(wù)。

→ 數(shù)據(jù)保護(hù)官(Data Protection Officers)

根據(jù)GDPR的相關(guān)規(guī)定，SaaS服務(wù)提供商應(yīng)任命一名數(shù)據(jù)保護(hù)官，去專門處置與個人數(shù)據(jù)保護(hù)相關(guān)的所有問題。在不同企業(yè)中，該角色的職責(zé)范圍可能有所不同，但是他們的工作都應(yīng)該免受企業(yè)內(nèi)其他部門或人員的干擾，并能夠按需向最高管理層報告。因此，該角色必須具備法律和技術(shù)的專業(yè)知識，方能理解和實(shí)施隱私政策和評估。

5. 隱私權(quán)

妥善處置好用戶的隱私權(quán)，也是SaaS全球合規(guī)性檢查列表的重要組成部分。

→ 保護(hù)用戶隱私的流程

請確保該流程是以用戶為中心。這不但可以保證用戶對于安全地存儲個人信息的滿意度，還能夠通過其本身的透明度，以消減各種擔(dān)憂與猜疑。

→ 允許用戶訪問有關(guān)其個人數(shù)據(jù)的信息

用戶往往需要知曉SaaS服務(wù)提供商、及其合作處理的第三方，持有其哪些個人信息，進(jìn)而修正那些不準(zhǔn)確的數(shù)據(jù)，或是要求刪除不適合的數(shù)據(jù)。

同時，用戶也需要知道其信息在SaaS服務(wù)提供商處會存儲多長時間，以及為什么要保留那么長久。此類信息非但是免費(fèi)提供的(至少在第一次被請求時應(yīng)當(dāng)如此)，而且需要在用戶提出請求后的一個月內(nèi)被提供出來。

SaaS合規(guī)小貼士

• 確保合規(guī)部門和IT團(tuán)隊之間的協(xié)作

跨部門之間的密切合作，是SaaS合規(guī)的理想狀態(tài)。例如，人力資源部門可以協(xié)助合規(guī)部門為新員工安排培訓(xùn)，以提高他們在日常工作中的合規(guī)意識。

• 制定行為準(zhǔn)則

通過為特定的合規(guī)計劃制定相關(guān)行為準(zhǔn)則，不但可以明確定義各項(xiàng)行為的目的，而且能夠確保服務(wù)團(tuán)隊的行為符合相關(guān)的隱私政策。

• 遵循CIS基準(zhǔn)

應(yīng)確保數(shù)據(jù)基礎(chǔ)架構(gòu)能夠遵循互聯(lián)網(wǎng)安全中心(Center for Internet Security，CIS)的基準(zhǔn)。這是一套預(yù)防各種可能性網(wǎng)絡(luò)威脅的指南。

• 緊跟法規(guī)的動態(tài)變化

如今，各國政府都已開始日漸重視對于本國公民的數(shù)據(jù)隱私保護(hù)。為了加強(qiáng)針對數(shù)據(jù)處理的控制，各國頻繁地出臺了相關(guān)法律。因此，SaaS服務(wù)提供商應(yīng)當(dāng)及時了解其業(yè)務(wù)所在管轄范圍內(nèi)，新頒布或修訂的法律、法規(guī)，以免措手不及。

SaaS全球合規(guī)性總結(jié)

如今，SaaS平臺已經(jīng)突破了地域的限制，在全球范圍內(nèi)開展服務(wù)與協(xié)作。不過，我們也會時?？吹?，由于未能遵守當(dāng)?shù)氐姆ㄒ?guī)，而帶來負(fù)面的后果，甚至被吃罰單的新聞?？梢姡覀冎挥行拇婢次?，切實(shí)保持業(yè)務(wù)發(fā)展與合規(guī)并重，才能讓自己的SaaS解決方案真正健康穩(wěn)健地實(shí)現(xiàn)全球化。

原文標(biāo)題：Global SaaS Compliance: A Complete Audit Checklist，作者：Hanna Barabakh

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】