由于COVID-19的大流行導致了大規模的向遠程工作的轉移,對SaaS產品的采用在今年也加快了。這一趨勢增加了企業所面臨的網絡威脅,并使組織在協商SaaS合同時需要考慮的安全和風險因素也得到了更大的關注。
Gartner預計,整體的公共云服務市場今年將增長6.3%,從去年的2,427億美元增長至2,579億美元。SaaS領域本身也預計將達到1046億美元,高于去年的1020億美元,至少部分原因是在于大流行期間對新協作工具的需求增加。
隨著SaaS服務采用的增加,人們對潛在安全問題的擔憂也隨之增加了。在最近AppOmni對200名IT專業人士的調查中,66%的受訪者表示,盡管他們認為企業SaaS環境使他們面臨了業務中斷的最大風險,但他們也沒有太多時間來保護他們的SaaS應用程序。
“從安全角度來看,大多數都是圍繞數據保護以及當發生可用性或數據遭到破壞的事件時會發生什么的討論,”451集團的分析師Daniel Kennedy說。
Kennedy和其他人認為,在協商SaaS合同時,要記住以下5個關鍵考慮因素,以確保風險和安全因素能夠得到充分解決。
1.創建與你的組織相關的風險列表
在協商SaaS協議中的安全條款時,沒有一種放之四海而皆準的方法。你需要(和能夠)做的很多事情都取決于當下的環境。組織的規模和SaaS提供商的規模是至關重要的。一般來說,你的規模越大,計劃的服務采購規模越大,你的杠桿作用就越好。
在與SaaS供應商協商之前--甚至是在RFP階段--就可以考慮系統的預期用途。例如,如果你計劃使用SaaS系統來管理你組織的客戶關系,那么你需要關注SaaS供應商將如何保護客戶數據,以及他們如何確保系統的穩定性和可靠性,Gartner的高級研究總監Luke Ellery說。另一方面,如果你計劃使用的SaaS系統更側重于內部,比如學習型管理系統,那么數據就不那么敏感,服務也不太可能是業務關鍵型的,他說。
“最好的做法是有一個主要的風險清單,如安全、隱私、地理、監管、業務連續性和災難恢復,”Ellery說。“然后采取分門別類的方法,讓供應商去解決適用于他們服務的風險。”
2.與利益相關者溝通什么是不可協商的
在許多組織中,只有在談判過程結束時,幾乎沒有空間或時間來引入實質性的變化時,安全小組才會被召集進來。因此,重要的是確保采購團隊在談判開始時了解并至少能夠涵蓋圍繞數據保護的根本性的、不可協商的安全問題。
CISO也應該與IT和業務領導協作,考慮組織的風險承受能力。在確定SaaS協議中哪些內容不可協商時,他們還需要考慮所有的監管和行業需求,Ellery說。“這些都可以作為供應商的資格預審標準。”
例如,一個良好的資格預審標準可以是所有數據在傳輸和靜止時都應該被加密,或者所有數據都需要被存儲在特定的國家或地理區域之內。把這些標準提前包括進去可以讓供應商清楚地了解你的期望,Ellery說。
德勤網絡與風險業務負責人Vikram Kunchala補充稱,一般來說,與數據的可用性、彈性和保密性有關的任何事情都是不容商量的。這在很大程度上取決于你打算使用SaaS供應商來做什么,他說。風險的增加取決于所涉及數據的重要性。因此,目標應該是確保供應商有足夠的能力來保護你的數據。
像SOC 2 Type II、ISO 27001、ISO 22301和CSA CCM這樣的認證是公認的SaaS供應商可以遵守的安全最佳實踐的相對可靠的指標。在選擇供應商時,請驗證你的供應商是否符合這些標準。
“SaaS是一個非常廣泛的領域。我可以有客戶關系管理的SaaS,人力資本類工作的SaaS,或者安全方面的SaaS,”Kunchala說。“如果你的供應商沒有正確的控制措施,你的整個組織都可能會暴露出來”
3.協商額外的保護
通過額外的安全保護來協商你所能做出的讓步。請記住,有些問題可能是不容易協商,甚至是無法協商的。
SaaS是一項基于標準產品所提供的規模化業務,Ellery說。因此,有些更改(如系統可用性或數據存儲位置)可能是不可協商的。“每個供應商都是不同的,重大的讓步通常取決于SaaS供應商可以做出讓步的能力,以及你的影響力--或者說你所希望的讓步是否與監管要求相關,”他說。涉及違約和數據泄露的責任條款往往是最難談判的條款。因此,可以考慮其他選項,如供應商的網絡保險條款。
Kunchala建議,如果你的SaaS供應商被收購,請確保包含了能夠保護你的條款。請解決如下問題:如果另一個SaaS供應商收購了你的供應商,你正在進行的合同會發生什么情況,或者你該如何續簽合同。新的供應商會尊重你現有的價格協議,還是會有完全不同的價格?
你還需要了解供應商可能列出了哪些潛在的不可預見的情況,這些情況可能會阻止他們提供產品或服務。確保供應商列出的不可抗力的情況是合理的。如果網絡安全事件被列在了你認為不屬于這些事件的清單上,你就要抵制這些事件,Kennedy說。
4.堅持提前發出違約通知
歐盟的一般數據保護條例(GDPR)和支付卡行業(PCI)標準等法規要求組織機構必須通過合同來確保第三方采取合理措施來保護敏感數據。在SaaS提供商發生了影響覆蓋數據的安全事件時,這些規定可以對違規通知有特定的要求和時間限制。
在與SaaS供應商談判時,一定要包括及時發出違約通知的條款,451集團的Kennedy說。這樣的條款在談判中可能會引起爭議,因為SaaS提供商不會希望被限制在一個特定的時間軸上。通常,他們最大的反對意見與這樣一個事實有關,即不知道何時會發現漏洞。
“盡管如此,如果客戶的數據受到了安全數據泄露的影響,你就必須堅持能夠立即接到通知,”Kennedy說。“SaaS提供商不能坐在那里決定給你提供信息的最佳方式,或者在這種情況下按照他們自己的時間表工作,因為他們本質上是你的第三方供應商。”
5.特別注意合同終止條件
在訂立SaaS契約時,你需要考慮的最重要的事情之一是明確說明在契約結束時會發生什么。雖然成熟的SaaS供應商可能會有一個正式的返回和刪除數據的過程,但就這個過程的具體內容達成明確的協議是很重要的。
你需要考慮的問題包括你的組織在協議結束時取回其數據的能力,以及供應商刪除數據的流程和確保沒有第三方能夠訪問數據。“SaaS協議的首要任務是確保你有權取回自己的數據,而不管是否終止了協議,”Ellery表示。許多CISO會定期測試從SaaS供應商獲取的數據,或者提供將關鍵數據備份到本地或云存儲的服務,以確保他們有這種能力,他說。
如果你的組織對關鍵操作使用了SaaS服務,就請考慮申請過渡協助。過渡協助條款會在合同結束后的一段時間內延長合同期限,這樣你就有時間以一種安全的方式過渡到另一家供應商了,Ellery說。“許多金融服務機構會為其關鍵系統尋求至少18個月的過渡援助,”他說。終止和過渡條款通常是可協商的,因為供應商的服務仍在獲得報酬。
德勤的Kunchala建議,對于數據刪除和數據傳輸的索賠,企業也應該從供應商那里得到一定程度的保證。SaaS提供商的基礎設施上可能存在著組織數據的多個副本,或者數據的一部分或部分,他們有責任刪除這些副本,他說。
“他們需要提供一定程度的保證,因為這樣你可能擁有的任何責任條款都將能夠生效,”他說。在某種程度上,你也不得不選擇相信你的供應商,并希望你的數據不會在將來出現漏洞,他說。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號