由于COVID-19的大流行导致了大规模的向远程工作的转移,对SaaS产品的采用在今年也加快了。这一趋势增加了企业所面临的网络威胁,并使组织在协商SaaS合同时需要考虑的安全和风险因素也得到了更大的关注。
Gartner预计,整体的公共云服务市场今年将增长6.3%,从去年的2,427亿美元增长至2,579亿美元。SaaS领域本身也预计将达到1046亿美元,高于去年的1020亿美元,至少部分原因是在于大流行期间对新协作工具的需求增加。
随着SaaS服务采用的增加,人们对潜在安全问题的担忧也随之增加了。在最近AppOmni对200名IT专业人士的调查中,66%的受访者表示,尽管他们认为企业SaaS环境使他们面临了业务中断的最大风险,但他们也没有太多时间来保护他们的SaaS应用程序。
“从安全角度来看,大多数都是围绕数据保护以及当发生可用性或数据遭到破坏的事件时会发生什么的讨论,”451集团的分析师Daniel Kennedy说。
Kennedy和其他人认为,在协商SaaS合同时,要记住以下5个关键考虑因素,以确保风险和安全因素能够得到充分解决。
1.创建与你的组织相关的风险列表
在协商SaaS协议中的安全条款时,没有一种放之四海而皆准的方法。你需要(和能够)做的很多事情都取决于当下的环境。组织的规模和SaaS提供商的规模是至关重要的。一般来说,你的规模越大,计划的服务采购规模越大,你的杠杆作用就越好。
在与SaaS供应商协商之前--甚至是在RFP阶段--就可以考虑系统的预期用途。例如,如果你计划使用SaaS系统来管理你组织的客户关系,那么你需要关注SaaS供应商将如何保护客户数据,以及他们如何确保系统的稳定性和可靠性,Gartner的高级研究总监Luke Ellery说。另一方面,如果你计划使用的SaaS系统更侧重于内部,比如学习型管理系统,那么数据就不那么敏感,服务也不太可能是业务关键型的,他说。
“最好的做法是有一个主要的风险清单,如安全、隐私、地理、监管、业务连续性和灾难恢复,”Ellery说。“然后采取分门别类的方法,让供应商去解决适用于他们服务的风险。”
2.与利益相关者沟通什么是不可协商的
在许多组织中,只有在谈判过程结束时,几乎没有空间或时间来引入实质性的变化时,安全小组才会被召集进来。因此,重要的是确保采购团队在谈判开始时了解并至少能够涵盖围绕数据保护的根本性的、不可协商的安全问题。
CISO也应该与IT和业务领导协作,考虑组织的风险承受能力。在确定SaaS协议中哪些内容不可协商时,他们还需要考虑所有的监管和行业需求,Ellery说。“这些都可以作为供应商的资格预审标准。”
例如,一个良好的资格预审标准可以是所有数据在传输和静止时都应该被加密,或者所有数据都需要被存储在特定的国家或地理区域之内。把这些标准提前包括进去可以让供应商清楚地了解你的期望,Ellery说。
德勤网络与风险业务负责人Vikram Kunchala补充称,一般来说,与数据的可用性、弹性和保密性有关的任何事情都是不容商量的。这在很大程度上取决于你打算使用SaaS供应商来做什么,他说。风险的增加取决于所涉及数据的重要性。因此,目标应该是确保供应商有足够的能力来保护你的数据。
像SOC 2 Type II、ISO 27001、ISO 22301和CSA CCM这样的认证是公认的SaaS供应商可以遵守的安全最佳实践的相对可靠的指标。在选择供应商时,请验证你的供应商是否符合这些标准。
“SaaS是一个非常广泛的领域。我可以有客户关系管理的SaaS,人力资本类工作的SaaS,或者安全方面的SaaS,”Kunchala说。“如果你的供应商没有正确的控制措施,你的整个组织都可能会暴露出来”
3.协商额外的保护
通过额外的安全保护来协商你所能做出的让步。请记住,有些问题可能是不容易协商,甚至是无法协商的。
SaaS是一项基于标准产品所提供的规模化业务,Ellery说。因此,有些更改(如系统可用性或数据存储位置)可能是不可协商的。“每个供应商都是不同的,重大的让步通常取决于SaaS供应商可以做出让步的能力,以及你的影响力--或者说你所希望的让步是否与监管要求相关,”他说。涉及违约和数据泄露的责任条款往往是最难谈判的条款。因此,可以考虑其他选项,如供应商的网络保险条款。
Kunchala建议,如果你的SaaS供应商被收购,请确保包含了能够保护你的条款。请解决如下问题:如果另一个SaaS供应商收购了你的供应商,你正在进行的合同会发生什么情况,或者你该如何续签合同。新的供应商会尊重你现有的价格协议,还是会有完全不同的价格?
你还需要了解供应商可能列出了哪些潜在的不可预见的情况,这些情况可能会阻止他们提供产品或服务。确保供应商列出的不可抗力的情况是合理的。如果网络安全事件被列在了你认为不属于这些事件的清单上,你就要抵制这些事件,Kennedy说。
4.坚持提前发出违约通知
欧盟的一般数据保护条例(GDPR)和支付卡行业(PCI)标准等法规要求组织机构必须通过合同来确保第三方采取合理措施来保护敏感数据。在SaaS提供商发生了影响覆盖数据的安全事件时,这些规定可以对违规通知有特定的要求和时间限制。
在与SaaS供应商谈判时,一定要包括及时发出违约通知的条款,451集团的Kennedy说。这样的条款在谈判中可能会引起争议,因为SaaS提供商不会希望被限制在一个特定的时间轴上。通常,他们最大的反对意见与这样一个事实有关,即不知道何时会发现漏洞。
“尽管如此,如果客户的数据受到了安全数据泄露的影响,你就必须坚持能够立即接到通知,”Kennedy说。“SaaS提供商不能坐在那里决定给你提供信息的最佳方式,或者在这种情况下按照他们自己的时间表工作,因为他们本质上是你的第三方供应商。”
5.特别注意合同终止条件
在订立SaaS契约时,你需要考虑的最重要的事情之一是明确说明在契约结束时会发生什么。虽然成熟的SaaS供应商可能会有一个正式的返回和删除数据的过程,但就这个过程的具体内容达成明确的协议是很重要的。
你需要考虑的问题包括你的组织在协议结束时取回其数据的能力,以及供应商删除数据的流程和确保没有第三方能够访问数据。“SaaS协议的首要任务是确保你有权取回自己的数据,而不管是否终止了协议,”Ellery表示。许多CISO会定期测试从SaaS供应商获取的数据,或者提供将关键数据备份到本地或云存储的服务,以确保他们有这种能力,他说。
如果你的组织对关键操作使用了SaaS服务,就请考虑申请过渡协助。过渡协助条款会在合同结束后的一段时间内延长合同期限,这样你就有时间以一种安全的方式过渡到另一家供应商了,Ellery说。“许多金融服务机构会为其关键系统寻求至少18个月的过渡援助,”他说。终止和过渡条款通常是可协商的,因为供应商的服务仍在获得报酬。
德勤的Kunchala建议,对于数据删除和数据传输的索赔,企业也应该从供应商那里得到一定程度的保证。SaaS提供商的基础设施上可能存在着组织数据的多个副本,或者数据的一部分或部分,他们有责任删除这些副本,他说。
“他们需要提供一定程度的保证,因为这样你可能拥有的任何责任条款都将能够生效,”他说。在某种程度上,你也不得不选择相信你的供应商,并希望你的数据不会在将来出现漏洞,他说。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号