这个跟保障客户数据安全死磕到底的人,在销售易是一名解决方案架构师,主要负责客户系统安全方面的设计,通过一轮轮的沟通反馈,让客户全面了解到销售易在安全体系、安全能力以及安全技术上是如何来保障租户数据安全。
雨哥曾经对接过一个客户,让他印象极为深刻。
这个客户是一家行业头部外资企业,他们对于SaaS厂商的安全性审查异常严格,必须按照国际上的安全规范标准进行。
在开始审核的第一天,客户就向雨哥抛来一份庞大的审核文档,20多个维度,几百个问题,全部都是跟安全相关。从密码管理、数据备份安全、公司内部设备安全,再到安全管控、安全事件响应,事无巨细面面俱到。
客户发来的安全审查问题
雨哥要做的,就是要用他20年多年的行业经验,配合客户的审查,去回复一系列细致入微的安全问题。反复的沟通,不断的答疑,为客户绘制安全方面的流程图,满足客户的各种安全需求。
最终,在经过5-7轮安全审查及第三方公司深度测试后,雨哥终于取得了客户的信任。
数据安全是SaaS厂商的立身之本,SaaS厂商只有不断提升在数据存储安全、数据传输安全、数据隐私保护安全和数据处理安全的能力,才能获取更多客户的信任。
在保障客户数据安全上,如果说雨哥是冲锋者,那负责aPaaS平台产品设计的达哥就是实践者。
面对客户的个性化需求,SaaS厂商要想快速持续交付出产品,就需要具备高生产率低代码的aPaaS开发平台,而aPaaS开发平台的整体安全性也成为重中之重。
在产品设计上,达哥早已把数据安全这个理念嵌入到平台的每一个产品能力中。
比如用户登录系统,就必须要有密码有效期、复杂度、多因素认知、登录时间、IP控制等强悍的安全策略,在保障用户登录安全的同时满足客户的个性化需要;对于多租户架构,必须要保障租户间的数据隔离,避免租户间的数据流动;从服务器端传输到浏览器上的信息,必须要有加密协议,确保信息是以加密的状态传输;另外对于存储在数据中心的数据,采取加密存储措施,避免因黑客攻击而导致数据直接暴露。
随着一些大客户对安全合规方面的要求越来越高,以及国家在法规层面对信息安全的要求越来越细,达哥也在不断更新完善产品设计,以此来提升平台安全方面的能力。
除此之外,为了能让平台系统达到GDPR法规要求,安全团队专门请来了咨询公司来做GDPR合规性考量,达哥也会根据咨询结果,找到现存差异,完善产品,最终完成落地,确保产品符合隐私合规。
达哥的系统设计页面
在保障客户数据安全的这场保卫战中,有人冲锋在前,就有人在背后默默付出,而田龙就是这个人。
在销售易,田龙主要负责公司安全资质的维系,比如信息安全等级保护测评、ISO信息安全体系认证等。
近几年,保护数据隐私安全已经成为全球共识,我国也先后颁布了《数据安全法》和《个人信息保护法》。
作为数据采集者的企业来说,主动承担起建设数据隐私保护体系的责任尤为重要。
而销售易就一直把数据隐私和信息安全作为重点长期投入,积极响应国家信息安全号召,为满足行业、市场合规性要求,主动寻求第三方权威检测认定机构,对公司安全体系、产品安全等诸多方面进行严格审查。
在安全团队和产研团队的全力配合下,顺利通过了评测并取得了对应领域的6、7个信息安全相关资质证书。
在田龙的电脑中,专门有一个文件夹,里面放着40多个文档,全都是在申请ISO27701认证时所需的审查资料。
说到ISO27701认证,它是业内权威性的隐私管理体系建设指导标准,也是目前国际上最权威、最被广泛接受的隐私保护标准之一。
田龙电脑中关于安全合规的资料文件夹
田龙清楚的记得当时在申请ISO27701认证时的一些画面:提前准备好相关审核文档资料,提交给第三方认证机构进行独立评估,接着等待专业审查人员前来公司,经过文档制度审查、不同职能部门访谈、技术安全测试等一系列严格的现场审核后,作出最终评估。
田龙说,企业对数据安全和数据合规体系的构建,并不是一蹴而就的,除了取得相关的安全资质外,更重要的是在各种资质的认证过程中,能不断完善公司在安全方面的制度、体系、流程建设,甚至能提高公司各个部门同事的安全意识,只有这样才能夯实公司在信息安全领域的实力。
其实,保障数据隐私安全,从来就不是一个人或一个团队要做的事情,而是要渗透到企业的方方面面,从人员组织、流程制度、产品技术、长效机制等方面都需要企业进行长期的建设积累,不断提高产品的隐私合规性。
信任,是SaaS生意的底层逻辑,安全,是SaaS厂商的底线,销售易将在数据隐私和信息安全方面继续探索追求更高标准,为保护客户数据隐私和信息安全不断努力。
