26.07.21
Конфіденційність у SaaS-рішеннях
Компанії всього світу активно впроваджують хмарні рішення, прагнучи підвищити гнучкість бізнесу і скоротити витрати на IT-інфраструктуру. Особливо привабливі вони для стартапів: за даними Microsoft Office 365, 82% малих і середніх підприємств змогли знизити витрати після переходу на хмарні технології, а 70% — почали реінвестувати зекономлені гроші назад у бізнес. Експерти називають SaaS технологією №1 для інвестування в цифрову трансформацію бізнес-процесів. Однак для багатьох потенційних клієнтів бар'єром стає питання безпеки даних. Що ж являє собою модель і чи є в ній проблеми з конфіденційністю?
Про модель SaaS простими словами
Розібратися в специфіці SaaS не так складно, як здається на перший погляд, головне — розуміти, що ж в цілому являють собою хмарні обчислення. Якщо у двох словах, це спосіб отримання дистанційного доступу до обчислювальних ресурсів через Інтернет. І основна його перевага — зручність, адже всі дані зберігаються в хмарі, а не на ПК, планшеті або смартфоні. Там автоматично відбувається і обслуговування, і установка оновлень ПО, за що несе відповідальність провайдер. Так користувач отримує повну свободу доступу до даних і додатків з різних пристроїв, що мають інтернет-з'єднання.
SaaS — одна з моделей хмарних сервісів. Її суть прихована в назві: Software-as-a-Service, або ПЗ як послуга. У цьому випадку мова йде про використання клієнтом сервісу, розгорнутого на сторонній платформі. З SaaS-рішеннями ми постійно стикаємося в повсякденному житті, використовуючи електронну пошту, онлайн-сервіси для перегляду фільмів, хмарні диски для зберігання файлів. Соцмережі та месенджери теж можна віднести до даної моделі.
Додатки SaaS широко застосовуються в корпоративних цілях для вирішення завдань всередині компанії. Це сервіси для проведення відеоконференцій, програми для планування завдань та автоматизації процесів і т.д. Крім того, на такій моделі будуються сайти: постачальник надає клієнту необхідне ПЗ для розробки сайту і надалі допомагає в його розміщенні на хостингу.
Існують інші популярні варіанти хмарних сервісів: IaaS і PaaS. Відмінність SaaS від них Gartner пояснює за принципом, що отримує клієнт від співпраці з постачальником хмарних послуг:
SaaS — одна з моделей хмарних сервісів. Її суть прихована в назві: Software-as-a-Service, або ПЗ як послуга. У цьому випадку мова йде про використання клієнтом сервісу, розгорнутого на сторонній платформі. З SaaS-рішеннями ми постійно стикаємося в повсякденному житті, використовуючи електронну пошту, онлайн-сервіси для перегляду фільмів, хмарні диски для зберігання файлів. Соцмережі та месенджери теж можна віднести до даної моделі.
Додатки SaaS широко застосовуються в корпоративних цілях для вирішення завдань всередині компанії. Це сервіси для проведення відеоконференцій, програми для планування завдань та автоматизації процесів і т.д. Крім того, на такій моделі будуються сайти: постачальник надає клієнту необхідне ПЗ для розробки сайту і надалі допомагає в його розміщенні на хостингу.
Існують інші популярні варіанти хмарних сервісів: IaaS і PaaS. Відмінність SaaS від них Gartner пояснює за принципом, що отримує клієнт від співпраці з постачальником хмарних послуг:
IaaS — інфраструктура (наприклад, «віртуальний сервер» від ISPserver)
PaaS — інфраструктура плюс ПЗ для створення додатків (наприклад, інтегроване середовище розробки Codenvy, БД від Oracle та ін).
SaaS — готовий додаток, розгорнутий у хмарі.
Ці терміни об'єднуються в одне широке поняття XaaS (Anything-as-a-service, все як послуга), де X — змінна, яка, відповідно, змінюється в залежності від специфіки послуги. Тут слід уточнити, що у SaaS є й інша друга назва: On-demand, що означає «софт на вимогу». Його протилежністю є модель On-Premise. Розглянемо ці дві моделі в контексті зручності та безпеки даних користувачів.
Моделі On-Demand і On-Premise
On-Demand — це послуга, що надається за класичною моделлю SaaS, коли хостинг знаходиться в хмарі. При цьому нема потреби у встановленні програми на ПК або мобільний пристрій та покупці повної версії ПЗ. Рішення можна використовувати як за передплатою, так і в міру необхідності з оплатою за обсяг операцій або взагалі безкоштовно.
On-Premise — не альтернатива On-Demand, оскільки має зовсім іншу специфіку: для розміщення рішення компанією обирається власна інфраструктура або ж потужності свого хостинг-провайдера. По суті, це локальне ПЗ, яке встановлюється на самому підприємстві, а не на віддаленому об'єкті. Модель вигідно застосовувати, коли мова йде про виконання нестандартних завдань, що вимагають індивідуального підходу, і задоволенні унікальних потреб підприємства.
З визначень зрозуміло, що в On-Premise за цілісність і збереження даних, своєчасність їх резервного копіювання відповідає сама компанія. З On-Demand не все так просто — відповідальність за контроль і управління даними, які зберігаються в хмарі, переходить до постачальника програмного забезпечення. Попри таку явну різницю між моделями, багато експертів вважають хмарне зберігання навіть більш безпечним, ніж локальне. У великого постачальника набагато більше можливостей для інвестування в захист даних, ніж у звичайних підприємств, які «самі по собі».
Для побудови довірчих відносин з клієнтами SaaS-компанії розробляють власні Політики конфіденційності.
On-Premise — не альтернатива On-Demand, оскільки має зовсім іншу специфіку: для розміщення рішення компанією обирається власна інфраструктура або ж потужності свого хостинг-провайдера. По суті, це локальне ПЗ, яке встановлюється на самому підприємстві, а не на віддаленому об'єкті. Модель вигідно застосовувати, коли мова йде про виконання нестандартних завдань, що вимагають індивідуального підходу, і задоволенні унікальних потреб підприємства.
З визначень зрозуміло, що в On-Premise за цілісність і збереження даних, своєчасність їх резервного копіювання відповідає сама компанія. З On-Demand не все так просто — відповідальність за контроль і управління даними, які зберігаються в хмарі, переходить до постачальника програмного забезпечення. Попри таку явну різницю між моделями, багато експертів вважають хмарне зберігання навіть більш безпечним, ніж локальне. У великого постачальника набагато більше можливостей для інвестування в захист даних, ніж у звичайних підприємств, які «самі по собі».
Для побудови довірчих відносин з клієнтами SaaS-компанії розробляють власні Політики конфіденційності.
Важливі нюанси Політики конфіденційності SaaS
1. Типи даних, що збираються
Перше, що вимагається від постачальника хмарних послуг — повідомляти користувачів про те, яка інформація про них збирається, в тому числі автоматично на сервері. Річ у тім, що SaaS-компанії в принципі не можуть функціонувати без збору даних про ел. пошту і платежі. Це необхідно для настройки підписки та планів облікового запису. Багато хто глибше вдається в подробиці, щоб отримати доступ до особистих уподобань і розташування користувачів з метою поліпшення якості обслуговування.
Автоматично можуть збиратися такі типи даних: ім'я, адреса електронної пошти, IP-адреса та місцеперебування, інформація про пристрій, браузер і ПЗ, користувацькі налаштування, дата та час активності. Приклад серйозного підходу до розробки Політики конфіденційності — компанія Pandora, яка використовує інформацію про музичні переваги для створення персональних рекомендацій. В її документі детально описано, які дані збираються автоматично.
Автоматично можуть збиратися такі типи даних: ім'я, адреса електронної пошти, IP-адреса та місцеперебування, інформація про пристрій, браузер і ПЗ, користувацькі налаштування, дата та час активності. Приклад серйозного підходу до розробки Політики конфіденційності — компанія Pandora, яка використовує інформацію про музичні переваги для створення персональних рекомендацій. В її документі детально описано, які дані збираються автоматично.
Способи та цілі збору даних
Описати ЩО збирається недостатньо, важливо уточнити, ЯК це робиться і навіщо.Так, Amazon ясно дає зрозуміти, яким чином він збирає кожен тип інформації: через прямі форми та електронну пошту, автоматично, з мобільних пристроїв або зовсім через сторонні джерела. PBS Kids розкриває всі карти, пояснюючи, як використовується ця інформація.
Cookies
Cookie — звичний інструмент для SaaS-компаній, що застосовується для відстеження взаємодії користувачів з сайтами та додатками. Однак це несе потенційний ризик для конфіденційності, тому що деякі файли продовжують відстежувати місцеперебування користувача сайту навіть після того, як він вийшов з нього. Саме тому постачальники хмарних послуг створюють окрему цільову сторінку, присвячену Політиці щодо файлів Cookie, де розповідають про способи збору такої інформації та її важливості. Хороший приклад — Cookie Police LinkedIn, де у всіх подробицях описується, навіщо і як використовуються файли.
Доступ для третіх осіб
Часто компанії SaaS використовують стороннє ПЗ і вдаються до допомоги перевірених партнерів для якісного надання послуг на сайтах і в додатках. Так афілійовані особи отримують доступ до даних, що створює перешкоди для забезпечення повної конфіденційності. Щоб уникнути проблем і гарантувати клієнтам збереження даних, Умови та положення кожної з третіх сторін ретельно перевіряються. Попри наявність у цих афілійованих осіб своїх Політик конфіденційності, провайдери також інформують клієнтів про те, що деякі їх дані потрапляють до рук третіх осіб через специфіку надання послуг. Як приклад можна привести Dropbox.
Зберігання даних
Якщо справа стосується підписки на послуги, цей пункт стає обов'язковим. Він знайомить користувачів з їх правами щодо управління особистою інформацією, зокрема — як отримувати до неї доступ, щоб переглядати та вносити зміни, і чи можна самостійно видаляти будь-які відомості. Тут також мова йде про права самого постачальника, в тому числі щодо видалення облікових записів у разі невиконання клієнтами прописаних вимог. В докладній Політиці конфіденційності Tesco чесно вказуються терміни зберігання інформації.
Крім перерахованих вище пунктів, Політика конфіденційності SaaS може містити інформацію про способи зв'язку компанії з клієнтами в разі потреби. Є ще один важливий нюанс: в обов'язковому порядку клієнт інформується про те, що станеться з його даними, якщо бізнес буде проданий. Наприклад, Amazon повідомляє, що призначені для користувача дані хоч і стануть одним з переданих новим власникам бізнес-активів, але раніше прийняті умови не зміняться.
У своїй роботі SaaS-компанії керуються загальними правилами захисту даних, прописаними в GDRP. Європейська компанія Shufti Pro — відмінний приклад відповідального виконання цих правил: ціла сторінка в їх Політиці конфіденційності відведена під Настанову щодо дотримання GDRP.
Як бачимо, найбільші постачальники хмарних послуг суворо дотримуються вимог, що висуваються для захисту конфіденційності даних клієнтів. Це допомагає їм підтримувати гарну репутацію на SaaS-ринку. Крім того, вони мають всі ресурси для протистояння кібератакам і постійного посилення захисних заходів, що неможливо для багатьох підприємств, що використовують рішення On-premise. Так, впровадження SaaS є не тільки економічно вигідним для бізнесу, а й безпечним. Головне — співпрацювати з перевіреними компаніями, які мають всі необхідні документи, що підтверджують законність збору, обробки, зберігання та використання клієнтських даних.
У своїй роботі SaaS-компанії керуються загальними правилами захисту даних, прописаними в GDRP. Європейська компанія Shufti Pro — відмінний приклад відповідального виконання цих правил: ціла сторінка в їх Політиці конфіденційності відведена під Настанову щодо дотримання GDRP.
Як бачимо, найбільші постачальники хмарних послуг суворо дотримуються вимог, що висуваються для захисту конфіденційності даних клієнтів. Це допомагає їм підтримувати гарну репутацію на SaaS-ринку. Крім того, вони мають всі ресурси для протистояння кібератакам і постійного посилення захисних заходів, що неможливо для багатьох підприємств, що використовують рішення On-premise. Так, впровадження SaaS є не тільки економічно вигідним для бізнесу, а й безпечним. Головне — співпрацювати з перевіреними компаніями, які мають всі необхідні документи, що підтверджують законність збору, обробки, зберігання та використання клієнтських даних.
Готуючи цей матеріал, ми використовували, зокрема, такі джерела інформації:
https://www.privacypolicies.com/blog/privacy-policy-saas/
https://www.privacypolicies.com/blog/gdpr-compliance-saas/
https://www.privacypolicies.com/blog/privacy-policy-saas/
https://www.privacypolicies.com/blog/gdpr-compliance-saas/
ПІДПИСАТИСЯ НА РОЗСИЛКУ
Маркетплейс є інтернет-сервісом, спеціальні дії по установці ПО на боці користувача не потрібні.
© 2021
Content Oriented Web
Make great presentations, longreads, and landing pages, as well as photo stories, blogs, lookbooks, and all other kinds of content oriented projects.
Зв'яжіться з нами
Будь ласка, заповніть форму нижче, і наша команда відповість вам найближчим часом.
