开发者的SaaS合规性指南
本文回顾了存在哪些类型的合规认证和法规,它们对开发者意味着什么,以及如何开始认证过程。
由于SaaS应用程序通常会收集和处理敏感的用户信息,保持这些信息的安全是建立用户信任和确保长期业务成功的关键。对于SaaS供应商来说,沟通他们的用户数据到底是如何保持安全的方法之一是通过遵守安全和隐私标准。合规性认证是一种有效的沟通方式,表明你符合行业标准,并按照客户的期望处理用户数据,所有这些都是通过客户知道如何阅读的标准化报告。
这篇文章是关于开发人员在为他们的应用程序整理安全和合规性时需要记住的内容的系列文章中的第二篇。本系列的第一篇文章涉及如何建立用户通信的安全性,在这篇文章中,我们将回顾SaaS应用存在哪些种类的合规性认证和规定,这些认证对开发者意味着什么,以及如何开始合规性标准的认证过程。
为什么合规标准和认证是有用的?
合规标准意味着你的SaaS应用遵守了某些安全标准,这些标准是由一个有信誉的外部组织认可和验证的。这些标准可能是基于法律规定或行业最佳实践。例如,在数据管理领域的合规性认证,表明你在处理用户数据时遵循了最佳实践,而客户也因此更有可能将他们的数据信任给你。
对于许多SaaS公司来说,合规性认证是向潜在客户传达其安全立场和可信度的有效方式。如果潜在客户可以看到一套标准化的检查已经成功运行并由合格的独立方报告,他们就不需要对你的基础设施进行自己的安全审计。你可以制作一次报告,然后在一段时间内与任何数量的潜在客户分享,而不需要额外的时间投入。
除了自愿遵守,如果你的服务在某些地区提供或收集特定类型的数据--例如医疗记录,也有法律要求需要遵循。不遵守法律规定或合同要求,会给你的公司带来经济处罚和其他潜在后果。
SaaS应用的常见认证
在本节中,我们将介绍一些与SaaS公司有关的现有合规标准。认证过程通常在一段时间内完成,并涉及公司方面的大量时间和资源的投入。
SOC 2
SOC(服务组织控制)审计是由美国注册会计师协会(AICPA)开发的,作为检查一个组织的风险管理的一种方式。SOC1审计主要是针对财务报告控制,而与SaaS应用最相关的SOC2则审计一个组织在多个领域的风险,包括组织治理、运营、网络安全和流程一致性。该审计由外部审计师执行,他必须是注册会计师(CPA)。
SOC认证的产出是SOC审计员的一份报告,描述了被审计公司在SOC标准方面的表现。在SOC 2级别,有两种类型的报告。第1类是对公司政策、程序和内部控制设计的审查,而第2类则要求公司证明其政策、程序和内部控制在特定时期内有效运行。截至2022年,我们完成了他们的SOC 2类型。
对于SaaS公司来说,一份成功的SOC报告提供了证据,证明该应用程序确实遵守了它声称要遵循的安全措施,而且这些措施在保护客户的敏感信息方面是有效的。具有安全意识的客户更有可能从符合SOC的供应商那里购买软件。
ISO/IEC 27001
[ISO/IEC 2700]1是一个国际数据管理标准,它通过建立一个信息安全管理系统(ISMS)来组织安全控制。SaaS供应商必须执行他们自己的审计,以衡量他们是否符合ISO标准,只有这样他们才能要求进行外部审计。外部审计是彻底的,包括文件审查、实际流程的支持性证据以及管理政策的审查。该认证必须每三年更新一次。
ISO/IEC 27001认证的好处包括一个强大的安全控制系统,并再次提高商业机会和声誉。此外,由于ISO/IEC 27001是一个领先的国际标准,它遵循类似的要求,并与SOC 2审计的信息安全要求重合。
ISO还有其他标准,如ISO 27018和27701,这些标准与隐私有关,并与GDPR等隐私法律和法规重叠,我们将在下文介绍。
FedRAMP
联邦风险和授权管理计划(FedRAMP)是一个合规标准,验证你的应用基础设施是否遵守符合美国联邦政府要求的慈悲数据管理。
美国政府处理着大量微妙的数据;任何安全漏洞都会产生深远的后果,包括财务损失或对国家安全的威胁。在FedRAMP中,根据所管理的数据是保密的还是非保密的,以及发生漏洞时的影响程度,有不同级别的授权。FedRAMP是基于国家标准和技术研究所(NIST)800-53综合安全控制,因此,如果你的目标是联邦合同,符合FedRAMP的应用程序将需要遵循这一范式。
对于SaaS、 基础设施即服务 (IaaS)或平台即服务 (PaaS)组织来说,遵守FedRAMP标准的好处是非常有利可图的,特别是如果他们是竞争对手中唯一拥有这种认证的公司,因为这种授权扩大了与美国联邦机构签订大型合同的商业机会。
遵守法律要求
除了自愿的合规性认证,如果任何SaaS供应商选择在特定地区开展业务或处理特定的私人信息,就必须遵循一些法律要求。
一般数据保护条例
欧盟 通用数据保护条例(GDPR)是欧洲一项严格的数据隐私和安全法律。它于2018年颁布,并对不遵守规定的行为进行严厉的经济处罚。该条例适用于全球任何组织,如果它处理属于欧盟居民的任何个人数据。根据你的SaaS业务模式,你可能或可能不属于GDPR的要求。
GDPR试图尽量减少网站和应用程序收集的用户数据的类型和数量。它还规定了安全控制措施,如双因素认证(2FA)和任何存储敏感信息的账户的访问控制,端到端加密,培训员工的数据保护意识,以及数据隐私政策。在发生安全漏洞的情况下,一个组织有72小时的时间来披露漏洞,否则将面临严厉的处罚。自2018年以来,Facebook、谷歌和亚马逊已经因为违反GDPR的隐私和安全法律要求而被处以巨额罚款。违反GDPR的处罚很高,以确保科技公司做出改变,而不是仅仅接受处罚作为经营的成本。
美国各州的法律要求
美国各州已经开始效仿GDPR的做法,对收集和存储个人信息制定了自己的法律要求。2020年1月,加州颁布了《加州消费者隐私法案》(CCPA),该法案遵循与GDPR类似的要求,但适用于加州居民。排在第二位的是,2021年,弗吉尼亚州通过了《弗吉尼亚消费者数据保护法》(CDPA),适用于任何在弗吉尼亚州开展业务或针对弗吉尼亚州居民的组织。
健康保险可携性和责任法案
1996年的《健康保险可携性和责任法案》(HIPAA)是一部美国联邦法律,它保护病人的敏感健康信息在未经他们同意的情况下被披露。这项法律只适用于可识别的健康信息。如果SaaS供应商以任何方式处理属于 "受保护健康信息"的数据,该供应商在法律上必须遵守所有HIPAA措施。
根据HIPAA,与美国医疗服务提供者或管理者有合法合同的SaaS供应商需要签署一份商业伙伴协议,该协议规定了各方的责任,并概述了在发生漏洞时应遵循的具体步骤。HIPAA合规性是能够与医疗机构合作的要求,缺乏合规性将使在医疗保健领域寻求商业机会变得更加困难,甚至不可能。
合规对开发者意味着什么?
从这些合规性标准中得到的重要启示是,良好的安全控制、数据隐私和数据管理从一开始就应该是SaaS应用的基本组成部分。
像SOC 2这样的认证着重于内部流程的一致性,包括软件设计和开发流程。确保你有计划、设计、开发、测试和部署软件的文件化流程,并始终如一地遵循这些流程,将使你更容易获得认证。对于SOC 2 Type 2报告,你的组织还需要提供证据,证明这些流程正在被遵循,因此各种流程步骤的自动化和审计日志将是必不可少的。
信息化的指南可以解释如何建立一个具有强大和安全基础的应用程序,如AWS良好架构框架指南,特别是如果你使用AWS作为基础设施的一部分。我们还推荐互联网安全中心(CIS)的控制和基准,它建立了当代网络安全的最佳实践。
如果你想获得认证,你应该怎么做?
我们请Geels Norton的Nick Norton(一家专门为高增长的SaaS公司提供合规性审计和咨询的公司)为希望获得合规性认证的SaaS公司提供一些提示。以下是他的首要建议。
1.建立一个内部团队并确定责任
大多数认证需要公司方面的操作和技术工作,你将需要确保你有可用的资源,在认证的时间框架内实现这些工作。尼克强烈建议至少有一个C-suite赞助者作为合规团队的一部分,以确保必要的工作项目及时得到优先处理。
内部团队应该包括工程和商业利益相关者。大多数SaaS公司没有意识到,大约一半的合规工作将落在业务运营方面,而不是纯粹的软件开发和技术安全。
2.2.使用自动化工具
即使你的组织已经有了相关的实践,你仍然需要花时间维护和收集合规性的证据。因此,投资于自动化软件工具,如Vanta或Drata,可以加快证据收集过程,是很有好处的。这些工具通过对应用程序的基础设施和业务流程的持续监控,帮助管理和记录合规性实践的证据。当使用软件来持续监控内部控制活动和收集证据时,重要的是企业要充分了解软件的能力和局限性--在合规举措中总会有重要的人为因素。
3.与外部专家交谈
一个具有相关经验的顾问将能够通过提前带领你的公司完成这一过程来节省你的时间和资源。他们将确定适当的控制活动,以适应贵公司的风险状况,并与相关的合规要求保持一致。为了获得最佳效果,确保顾问过去曾与与你类似的公司合作过。
合规之路
合规可能是一个昂贵的过程,但它也可以开辟有利可图的商业机会和新的扩张市场。如果作为一个SaaS供应商,你的服务需要为有严格数据保护需求的受众提供服务,那么遵循合规标准也会挽救你的组织的声誉,提高你的竞争地位。
从根本上说,合规性是任何SaaS供应商的一种风险管理形式。没有办法让你的应用程序对安全漏洞保持100%的万无一失。尽管如此,本文所概述的标准将帮助你将用户的风险降到最低,因此,对你的业务也是如此。
