在移动互联网时代,数据成为了这个时代的关键词,无论是国家、企业还是个人,数据都是一笔宝贵的财富,在SaaS企业中,数据尤为重要。所以如何保障企业的数据安全成为企业思考的重点。
2018年11月8日-9日 由国内影响和连接企业服务决策人、B2B领域创始人社群-崔牛会,主办的“回归 · 突破”2018中国企业互联网CEO峰会,在北京辽宁大厦隆重举行,国外大型投资机构Emergence Capital 的5位投资人莅临会场,国内投资机构与企服领域300多名CEO共同出席本次盛会,共话企服SaaS、数字化转型。
安华金和创始人兼CEO刘晓韬出席了本次大会,并就《SaaS企业数据安全赋能》进行了精彩的演讲。
安华金和创始人兼CEO刘晓韬
以下为演讲实录:
刘晓稻:今天我演讲的题目是“SaaS企业数据安全赋能”。为什么演讲这个主题?跟我的个人经历有关系。我过去做了14年开发,10年内核开发,9年数据安全创业,因为我只会做数据和数据安全。
他在会议上指出,SaaS企业在数据安全领域存在的问题,主要原因是SaaS企业目前对于数据安全的风险不重视。
2017年,我国陆续发生多起小规模数据交易事件引起的刑事诉讼。事实上,关于在数据安全上的立法,在2016年、2017年进入高峰期。最典型的是欧盟法案,这个法案里有两个非常惊人的数字,最高的罚款2000万欧,第二是4%的营业额。我们国家对于数据安全的条例,最高实施的是刑事诉讼。
我们国家在2017年6月份,相继推出了多项法律条款,逐渐使我们中国在数据上安全的共享使用上有了一个框架和边界,同时也是对于SaaS企业发展的规范,因为SaaS企业本质是数据性企业。
我们可以看一下,在SaaS圈最牛的企业salesforce,salesforce为了有效的规避它的法律责任,首先是做了一个个人隐私和安全性的隐私声明。它做的第一件事。向客户说明为什么收集用户数据,以及会跟用户表明数据的使用方式,所有的数据使用都是保证在客户同意的前提下。
第二件事情,这些客户说明未来这些数据会与哪些企业共享。未来我们国家数据的使用,也需要跟入户方清晰阐述数据的使用。
第三件事情,个人数据的国际传输。其中有一个数据存储所在地的要求,我们国家后来由网信办牵头出台《数据管理办法》,上述条款规定我国数据必须保留在中国境内。
第四件事情,企业自身数据的相关权利,包括企业对数据的自己的索取权、遗忘权、时间权等,这是国际性巨头在应对这些安全问题的时候,采用的相关措施。
企业用户在SaaS领域中存在一些担忧,数据不在自己的手里怎么办?送到云上了,这个数据归谁管?数据所有权在谁手上?万一数据泄露了,谁来承担相关责任?以及目前供应商安全措施是否足够保证应对黑客攻击。
SaaS企业面临的数据泄露的途径非常多,这些泄露里包含:
- 第一,外部黑客入侵。
- 第二,内部运营人员对数据有直接的访问权。
- 第三,不断迭代的系统,开发测试直接访问生产数据。
- 第四,第三方共享。
- 第五,云平台供应商。
- 第六,业务管理人员通过业务系统也可以批量性的获得企业情报。
- 第七,大型的业务系统存在着潜在的缺陷。
SaaS服务商面临的数据安全困境,我认为有四点:
- 第一点, 用户信任危机阻碍了业务的发展。
- 今天早上崔牛分享的SaaS调查发现,有14%的用户会因为这一块担心启用SaaS服务。
- 第二点,法律的风险成为隐藏的炸弹。
- 对行业安全政策法律了解不深,在安全合规等问题上难免出现疏漏。
- 第三点,核心的数据资产缺乏防护的手段。
- SaaS服务商数据存储在第三方云平台上,内部访问无法控制。
- 第四点,缺乏系统化的解决方案,这个主要是由于IT结构复杂性和接触数据人员的复杂性,缺乏专业的应对能力。
原文地址:https://www.cnblogs.com/chuangyezixun/p/10021780.html