Dodržování předpisů a zabezpečení SaaS

  • 5 min

Při přechodu z tradičního transakčního obchodního modelu na SaaS máte větší zodpovědnost za ochranu dat vašich zákazníků. Musíte zajistit, aby vaše řešení bylo aktuální se standardy zabezpečení a požadovanými předpisy dodržování předpisů.

Kompatibilita

Tady je několik nařízení, o kterých je potřeba vědět, v závislosti na oblastech, kde se nacházejí vaši zákazníci a kde poskytujete služby.

  • Obecné nařízení o ochraně osobních údajů (GDPR) pro společnosti, jejichž zákazníci se nacházejí v EU
  • California Consumer Privacy Act (CCPA)
  • Brazilský Lei Geral de Proteçao de Dados (LGPD)
  • Akt o implementaci kanadské digitální charty
  • Zákon o ochraně osobních informací (PIPL) v Číně

V závislosti na oblasti existuje mnoho dalších předpisů.

Zabezpečení

Kromě toho, že je nutné dodržovat předpisy, je důležité implementovat požadované bezpečnostní kontroly a postupy. Společnosti SaaS, jako jsou jiné softwarové společnosti, by měly dodržovat metodologie, jako je SDL (Security Development Lifecycle), aby se zajistilo, že zabezpečení je součástí probíhajícího procesu vývoje produktů.

SDL se skládá ze sady postupů, které podporují požadavky na zajištění zabezpečení a dodržování předpisů. SDL pomáhá vývojářům vytvářet bezpečnější software snížením počtu a závažnosti ohrožení zabezpečení softwaru a snížením nákladů na vývoj. Další informace o postupech, které Společnost Microsoft definuje jako součást SDL, naleznete v tématu Postupy životního cyklu vývoje zabezpečení společnosti Microsoft.

Pokud pro své řešení používáte Microsoft Azure jako poskytovatele cloudu, můžete využít práce, kterou Microsoft už dělá za účelem ochrany vašich dat a dat vašich zákazníků a dodržování nejnovějších předpisů. Další informace o ochraně dat, ochraně osobních údajů a GDPR najdete v Centru zabezpečení Microsoftu.

Azure nabízí řadu předefinovaných služeb pro ochranu úloh. Další informace o možnostech zabezpečení Azure najdete v tématu Posílení stavu zabezpečení pomocí Azure.

Scénář společnosti Contoso

Společnost Contoso musí dodržovat nařízení GDPR spojeného království, protože se rozhodla zaměřit se na trh Spojeného království. Když se společnost Contoso rozrůstá a začne poskytovat služby v jiných oblastech, musí zajistit dodržování všech požadovaných regionálních předpisů.