[[427611]]

【51CTO.com快譯】眾所周知，軟件即服務(wù)(SaaS)業(yè)務(wù)的神奇之處在于，它不會(huì)受到地域的限制。任何擁有互聯(lián)網(wǎng)連接的人都可以成為其用戶，因此任何國(guó)家/地區(qū)都可能成為SaaS產(chǎn)品的潛在市場(chǎng)。

不過(guò)，我們常說(shuō)，機(jī)遇與挑戰(zhàn)并存。其實(shí)，SaaS也面臨著一個(gè)龐大而復(fù)雜的市場(chǎng)環(huán)境。當(dāng)新冠病毒將全球大部分人的生活范圍轉(zhuǎn)至線上之后，已有超過(guò)132個(gè)國(guó)家制定了自己的數(shù)據(jù)領(lǐng)域相關(guān)法律和法規(guī)。面對(duì)紛繁復(fù)雜的數(shù)據(jù)新政，我們?cè)诖藶槟砹艘惶譙aaS檢查清單，以便您開(kāi)啟隱私合規(guī)之旅。

什么是全球合規(guī)性?

“合規(guī)性”是指您的企業(yè)或產(chǎn)品，符合某個(gè)認(rèn)證性組織的一系列規(guī)定。而此類組織往往取決于您和您的用戶所在的地理位置。

在傳統(tǒng)的本地環(huán)境中，成為數(shù)據(jù)隱私合規(guī)企業(yè)相對(duì)比較簡(jiǎn)單。但是，如果您的業(yè)務(wù)突破了本區(qū)域的地理范圍，甚至涵蓋全球，那么合規(guī)的難度則會(huì)大幅增加。例如，如果您會(huì)在不同地區(qū)的多個(gè)市場(chǎng)進(jìn)行交易服務(wù)，則可能需要根據(jù)您和用戶所在的位置，遵守許多不同的法律、法規(guī)和政策。

而在SaaS行業(yè)，此類要求更為顯著。各國(guó)的數(shù)據(jù)隱私法規(guī)，會(huì)規(guī)范服務(wù)提供方，如何與現(xiàn)有和潛在的用戶、及其數(shù)據(jù)打交道，如何處理他們的敏感信息，并維護(hù)他們的隱私權(quán)。

合規(guī)的重要性

全球格局

每天，數(shù)以百萬(wàn)計(jì)的用戶與全球企業(yè)，都通過(guò)各種SaaS應(yīng)用，以訂閱或捕獲帳戶服務(wù)信息等方式，分享著用戶的個(gè)人詳細(xì)信息。

而在捕獲數(shù)據(jù)的過(guò)程中，服務(wù)提供方必須確保其用戶的個(gè)人數(shù)據(jù)，得到了安全的存儲(chǔ)和處理，并保持適當(dāng)?shù)碾[私級(jí)別。否則，此類信息將很容易受到安全漏洞的威脅、以及黑客的攻擊。為此，服務(wù)提供方還會(huì)招致法律的問(wèn)責(zé)，以及用戶信任的缺失。

用戶期望

正如Cisco于2019年發(fā)布的一項(xiàng)調(diào)查所表明，用戶對(duì)于數(shù)據(jù)安全的意識(shí)已大幅增強(qiáng)，有32%的受訪者非常關(guān)心自己的隱私。用戶一旦不滿意某項(xiàng)服務(wù)中的安全態(tài)勢(shì)，就會(huì)“用腳投票”，直接更換服務(wù)提供商。這直接造成了SaaS應(yīng)用需要滿足各種嚴(yán)格的法規(guī)的壓力增加。

不合規(guī)的風(fēng)險(xiǎn)

如果在服務(wù)端過(guò)程中，不遵守特定國(guó)家或特定行業(yè)的隱私政策和法規(guī)，則往往會(huì)導(dǎo)致其產(chǎn)品在某些地區(qū)、司法管轄區(qū)內(nèi)，被禁止使用或遭遇業(yè)務(wù)下架，同時(shí)會(huì)招致巨額的罰款、冗長(zhǎng)的訴訟、甚至是企業(yè)主的牢獄之災(zāi)。

實(shí)現(xiàn)業(yè)務(wù)合規(guī)性的5個(gè)步驟

1. 了解不同的法規(guī)

如果您希望將業(yè)務(wù)擴(kuò)展到其他國(guó)家、地區(qū)或特定行業(yè)，鑒于各地法規(guī)的巨大差異性，了解并遵守當(dāng)?shù)刈钚碌臄?shù)據(jù)隱私法規(guī)，顯得尤為重要。下面，我將和您討論各種針對(duì)SaaS的、最常見(jiàn)的數(shù)據(jù)隱私法規(guī)與標(biāo)準(zhǔn)示例。

→ 服務(wù)組織控制 2(Service Organizational Control，SOC 2)

SOC 2是基于美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(American Institute of Certified Public Accountants，AICPA)的“信任服務(wù)標(biāo)準(zhǔn)”的審計(jì)過(guò)程。各個(gè)公司可以使用它，來(lái)檢查其信息系統(tǒng)是否符合SOC 2的相關(guān)原則。

由于SOC 2是專為將用戶數(shù)據(jù)存儲(chǔ)在云端的組織而設(shè)計(jì)的，因此它幾乎適用于所有的SaaS應(yīng)用，也是最常見(jiàn)的合規(guī)性框架之一。若要符合SOC 2標(biāo)準(zhǔn)，您的企業(yè)需要建立并遵守嚴(yán)格的數(shù)據(jù)政策。其中包括：存儲(chǔ)在云端的數(shù)據(jù)安全性、可用性、處理過(guò)程中的完整性和機(jī)密性。

→ 歐盟通用數(shù)據(jù)保護(hù)條例(General Data Protection Regulation，GDPR)

GDPR是一個(gè)面向歐盟的全面立法，為境內(nèi)的個(gè)人提供了數(shù)據(jù)權(quán)利，并增加組織和企業(yè)的合規(guī)責(zé)任。GDPR不但阻止了公司的越權(quán)，而且要求企業(yè)提供正確處理公民數(shù)據(jù)的保證。GDPR的核心功能就是讓公民能夠更好地掌控自己的數(shù)據(jù)。同時(shí)，它也賦予了監(jiān)管機(jī)構(gòu)更大的權(quán)力，以針對(duì)處理違反該法律的組織開(kāi)具罰單。

根據(jù)GDPR，歐盟公民可以訪問(wèn)他們的數(shù)據(jù)、糾正錯(cuò)誤記錄、刪除其數(shù)據(jù)、反對(duì)擅自處理他們的數(shù)據(jù)、以及能夠?qū)С銎鋽?shù)據(jù)。此外，GDPR也要求持有數(shù)據(jù)的公司(無(wú)論公司注冊(cè)在何處，只要在歐盟境內(nèi)開(kāi)展業(yè)務(wù))，提供處置數(shù)據(jù)的目的、性質(zhì)和存儲(chǔ)期限等信息。

因此，遵循GDPR框架的運(yùn)營(yíng)公司，還必須在安全泄露事件發(fā)生后，立即通知相關(guān)用戶，以及必須采取保護(hù)措施，來(lái)防范此類違規(guī)行為。否則，該公司可能面臨著巨額的罰款。

→ 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard，PCI-DSS)

于2006年推出的PCI-DSS，是一套要求集合。它旨在確保所有處理、存儲(chǔ)或傳輸信用卡信息的公司，都能夠維護(hù)一套安全環(huán)境。這是一個(gè)嚴(yán)格的安全標(biāo)準(zhǔn)，可以在整個(gè)交易過(guò)程中，加強(qiáng)對(duì)持卡人數(shù)據(jù)的控制，提高賬戶的安全性，進(jìn)而減少信用卡的欺詐。

PCI DSS是由PCI安全標(biāo)準(zhǔn)委員會(huì)(Security Standards Council，SSC)管理的。該委員會(huì)是由Visa、Mastercard、American Express、Discover和JCB所組成的獨(dú)立機(jī)構(gòu)。無(wú)論其規(guī)?；蛱幚淼慕灰琢咳绾?，PCI DSS適用于任何接受、存儲(chǔ)或傳輸持卡人信息的組織。

目前，業(yè)界有四種不同的PCI合規(guī)性級(jí)別，每個(gè)級(jí)別都對(duì)標(biāo)的是企業(yè)日常處理的不同交易。其中，PCI DSS包括12個(gè)明確的條件，每個(gè)條件都帶有許多特定的子要求。由于該合規(guī)需要采用和遵守某些特定的信息安全策略，因此企業(yè)在滿足過(guò)程中需要有一定的技術(shù)實(shí)現(xiàn)能力。

→ 加州消費(fèi)者隱私法案(California Consumer Privacy Act，CCPA)

從2018年開(kāi)始，CCPA開(kāi)始為加州消費(fèi)者提供增強(qiáng)的隱私權(quán)限和消費(fèi)保護(hù)。該法規(guī)不但能夠?yàn)閷?shí)施隱私權(quán)利提供指導(dǎo)，而且可以更好地控制公司收集、使用和存儲(chǔ)消費(fèi)者的信息。

同時(shí)，CCPA也為消費(fèi)者提供了刪除被收集到的個(gè)人信息的權(quán)利，選擇不出售其個(gè)人信息的權(quán)利，行使此類權(quán)利時(shí)不受歧視的權(quán)利，以及獲得解釋其相關(guān)隱私政策的通知權(quán)。

→ 國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization，ISO)

ISO委員會(huì)與國(guó)際電工委員會(huì)(International Electrotechnical Commission，IEC)針對(duì)各種電工標(biāo)準(zhǔn)化的事宜開(kāi)展合作，并為信息安全管理系統(tǒng)(ISMS)提供了相關(guān)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)主要著眼于各類信息風(fēng)險(xiǎn)，以及如何協(xié)助公司識(shí)別和管理風(fēng)險(xiǎn)。

值得注意到是，ISO/IEC本身并非一項(xiàng)法規(guī)，而是一組可用于管理安全風(fēng)險(xiǎn)的合規(guī)性標(biāo)準(zhǔn)。您可以將此類標(biāo)準(zhǔn)集，用作正式評(píng)估的起點(diǎn)，通過(guò)提交信息安全政策、風(fēng)險(xiǎn)評(píng)估流程、以及安全監(jiān)控證據(jù)，以獲得認(rèn)證審計(jì)員的正式認(rèn)可。總的說(shuō)來(lái)，ISO/IEC標(biāo)準(zhǔn)不僅適合SaaS公司，也可以被應(yīng)用于任何行業(yè)、規(guī)模與市場(chǎng)。

→ 美國(guó)行業(yè)特定法規(guī)

除了上面提到的常見(jiàn)法規(guī)和標(biāo)準(zhǔn)，您還需要熟悉適用于運(yùn)營(yíng)所在地的、針對(duì)SaaS應(yīng)用的各種特定規(guī)則。以美國(guó)為例，您需要考慮如下方面：

• 健康保險(xiǎn)流通與責(zé)任法案(Health Insurance Portability and Accountability Act，HIPAA)
• 紐約網(wǎng)絡(luò)安全條例(New York Cybersecurity Regulation)
• 聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(Federal Financial Institutions Examination Council)

2. 法律和數(shù)據(jù)處理

如前所述，SaaS公司需要在處理用戶數(shù)據(jù)時(shí)遵守相關(guān)法律，以避免可能面臨的訴訟風(fēng)險(xiǎn)。對(duì)此，服務(wù)提供商需要清晰地知曉自己為何要處理用戶信息，以及使用數(shù)據(jù)的目的。下面讓我們對(duì)此作進(jìn)一步了解。

→ 數(shù)據(jù)保護(hù)影響評(píng)估(Data Protection Impact Assessments，DPIA)

DPIA需要評(píng)估：數(shù)據(jù)類型、處理目的、組織內(nèi)外的訪問(wèn)者、保護(hù)用戶信息的方式、以及何時(shí)刪除信息等。作為監(jiān)管機(jī)構(gòu)，信息專員辦公室(Information Commissioners Office，ICO)以各種示例模板的形式，提供了創(chuàng)建DIPA所需的各類信息。

→ 隱私政策的法律依據(jù)和內(nèi)容

隱私政策是SaaS服務(wù)提供商在采取用戶數(shù)據(jù)之前，與用戶交流的重要途徑，也是獲取用戶同意的必要方式。因此，他們需要在隱私政策中，簡(jiǎn)單且清楚地羅列出：處理數(shù)據(jù)的原因、處理的方式、訪問(wèn)信息的人員與權(quán)限、以及如何保護(hù)數(shù)據(jù)等所有內(nèi)容。

3. 數(shù)據(jù)安全

→ 數(shù)據(jù)保護(hù)政策

SaaS服務(wù)提供商需要始終在其數(shù)據(jù)保護(hù)策略中明確說(shuō)明如下兩個(gè)方面，以體現(xiàn)數(shù)據(jù)的安全性與合規(guī)性：

• 設(shè)計(jì)數(shù)據(jù)保護(hù)(Data Protection by Design)

這意味著他們已經(jīng)在任何新的系統(tǒng)、服務(wù)、流程、以及產(chǎn)品的設(shè)計(jì)階段，考慮到了隱私和數(shù)據(jù)安全。也就是說(shuō)，服務(wù)產(chǎn)品已從設(shè)計(jì)源頭上，確保了整個(gè)生命周期的數(shù)據(jù)安全。

• 默認(rèn)數(shù)據(jù)保護(hù)(Data Protection by Default)

這意味著他們只會(huì)去處理那些為實(shí)現(xiàn)特定目的而收集來(lái)的數(shù)據(jù)，并且會(huì)在整個(gè)處理流程開(kāi)始之前，做到用戶通知，并在后期的處理流程中，實(shí)踐各項(xiàng)數(shù)據(jù)安全保護(hù)的措施。

→ 內(nèi)部安全政策

為了避免禍起蕭墻，SaaS服務(wù)提供商也需要為其團(tuán)隊(duì)成員，創(chuàng)建必要的內(nèi)部安全策略，以確保每個(gè)人都了解本公司在數(shù)據(jù)隱私和安全方面的流程和優(yōu)先事項(xiàng)。

→ 數(shù)據(jù)泄露

此外，為了防范未然，他們還需要制定一套流程，來(lái)規(guī)范該如何處理各類數(shù)據(jù)泄露(或潛在的泄露)事件。該流程需涵蓋：如何采用書面的形式，通知當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體。

4. 問(wèn)責(zé)制和治理

在SaaS的全球合規(guī)性檢查列表中，我們還需要考慮到：

→ 首席合規(guī)官

所有SaaS服務(wù)提供商都應(yīng)任命一名內(nèi)部首席合規(guī)官(Chief Compliance Officer)。該角色熟悉評(píng)估流程，并通過(guò)制定政策，以保護(hù)用戶數(shù)據(jù)的必要權(quán)利和責(zé)任。同時(shí)，他們還有責(zé)任跟進(jìn)各種不斷更新和變化的法律和法規(guī)。

→ 數(shù)據(jù)處理協(xié)議

接著，SaaS服務(wù)提供商需要識(shí)別那些，協(xié)助他們處理用戶個(gè)人數(shù)據(jù)的任何第三方。例如：電子郵件服務(wù)平臺(tái)、云服務(wù)器、以及各類分析軟件等。作為數(shù)據(jù)控制者，SaaS服務(wù)提供商應(yīng)當(dāng)與他們簽署相關(guān)的數(shù)據(jù)處理協(xié)議。因此，SaaS服務(wù)提供商不但應(yīng)該采用標(biāo)準(zhǔn)化的文本協(xié)議，而且應(yīng)當(dāng)選擇那些能夠嚴(yán)格遵守本行業(yè)和地區(qū)標(biāo)準(zhǔn)的、可信賴的第三方服務(wù)。

→ 數(shù)據(jù)保護(hù)官(Data Protection Officers)

根據(jù)GDPR的相關(guān)規(guī)定，SaaS服務(wù)提供商應(yīng)任命一名數(shù)據(jù)保護(hù)官，去專門處置與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的所有問(wèn)題。在不同企業(yè)中，該角色的職責(zé)范圍可能有所不同，但是他們的工作都應(yīng)該免受企業(yè)內(nèi)其他部門或人員的干擾，并能夠按需向最高管理層報(bào)告。因此，該角色必須具備法律和技術(shù)的專業(yè)知識(shí)，方能理解和實(shí)施隱私政策和評(píng)估。

5. 隱私權(quán)

妥善處置好用戶的隱私權(quán)，也是SaaS全球合規(guī)性檢查列表的重要組成部分。

→ 保護(hù)用戶隱私的流程

請(qǐng)確保該流程是以用戶為中心。這不但可以保證用戶對(duì)于安全地存儲(chǔ)個(gè)人信息的滿意度，還能夠通過(guò)其本身的透明度，以消減各種擔(dān)憂與猜疑。

→ 允許用戶訪問(wèn)有關(guān)其個(gè)人數(shù)據(jù)的信息

用戶往往需要知曉SaaS服務(wù)提供商、及其合作處理的第三方，持有其哪些個(gè)人信息，進(jìn)而修正那些不準(zhǔn)確的數(shù)據(jù)，或是要求刪除不適合的數(shù)據(jù)。

同時(shí)，用戶也需要知道其信息在SaaS服務(wù)提供商處會(huì)存儲(chǔ)多長(zhǎng)時(shí)間，以及為什么要保留那么長(zhǎng)久。此類信息非但是免費(fèi)提供的(至少在第一次被請(qǐng)求時(shí)應(yīng)當(dāng)如此)，而且需要在用戶提出請(qǐng)求后的一個(gè)月內(nèi)被提供出來(lái)。

SaaS合規(guī)小貼士

• 確保合規(guī)部門和IT團(tuán)隊(duì)之間的協(xié)作

跨部門之間的密切合作，是SaaS合規(guī)的理想狀態(tài)。例如，人力資源部門可以協(xié)助合規(guī)部門為新員工安排培訓(xùn)，以提高他們?cè)谌粘９ぷ髦械暮弦?guī)意識(shí)。

• 制定行為準(zhǔn)則

通過(guò)為特定的合規(guī)計(jì)劃制定相關(guān)行為準(zhǔn)則，不但可以明確定義各項(xiàng)行為的目的，而且能夠確保服務(wù)團(tuán)隊(duì)的行為符合相關(guān)的隱私政策。

• 遵循CIS基準(zhǔn)

應(yīng)確保數(shù)據(jù)基礎(chǔ)架構(gòu)能夠遵循互聯(lián)網(wǎng)安全中心(Center for Internet Security，CIS)的基準(zhǔn)。這是一套預(yù)防各種可能性網(wǎng)絡(luò)威脅的指南。

• 緊跟法規(guī)的動(dòng)態(tài)變化

如今，各國(guó)政府都已開(kāi)始日漸重視對(duì)于本國(guó)公民的數(shù)據(jù)隱私保護(hù)。為了加強(qiáng)針對(duì)數(shù)據(jù)處理的控制，各國(guó)頻繁地出臺(tái)了相關(guān)法律。因此，SaaS服務(wù)提供商應(yīng)當(dāng)及時(shí)了解其業(yè)務(wù)所在管轄范圍內(nèi)，新頒布或修訂的法律、法規(guī)，以免措手不及。

SaaS全球合規(guī)性總結(jié)

如今，SaaS平臺(tái)已經(jīng)突破了地域的限制，在全球范圍內(nèi)開(kāi)展服務(wù)與協(xié)作。不過(guò)，我們也會(huì)時(shí)常看到，由于未能遵守當(dāng)?shù)氐姆ㄒ?guī)，而帶來(lái)負(fù)面的后果，甚至被吃罰單的新聞?？梢?jiàn)，我們只有心存敬畏，切實(shí)保持業(yè)務(wù)發(fā)展與合規(guī)并重，才能讓自己的SaaS解決方案真正健康穩(wěn)健地實(shí)現(xiàn)全球化。

原文標(biāo)題：Global SaaS Compliance: A Complete Audit Checklist，作者：Hanna Barabakh

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】