Html code will be here

03.08.21

Конфиденциальность в SaaS-решениях

Компании по всему миру активно внедряют облачные решения, стремясь повысить гибкость бизнеса и сократить затраты на IT-инфраструктуру. Особенно привлекательны они для стартапов: по данным Microsoft Office 365, 82% малых и средних предприятий смогли снизить расходы после перехода на облачные технологии, а 70% — начали реинвестировать сэкономленные деньги обратно в бизнес. Эксперты называют SaaS технологией №1 для инвестирования в цифровую трансформацию бизнес-процессов. Однако для многих потенциальных клиентов барьером остается вопрос безопасности данных. Что же являет собой модель и есть ли у нее проблемы с конфиденциальностью?
О модели SaaS простыми словами
Разобраться в специфике SaaS не так сложно, как кажется на первый взгляд. Главное — понимать, что же в целом представляют собой облачные вычисления. Если в двух словах, это способ получения дистанционного доступа к вычислительным ресурсам через Интернет. И основное его преимущество — удобство, так как все данные хранятся в облаке, а не на ПК, планшете или смартфоне. Там же автоматически происходит и обслуживание, и установка обновлений ПО, за что ответственен провайдер. Так пользователь получает полную свободу доступа к данным и приложениям с разных устройств, имеющих интернет-соединение.

SaaS — одна из моделей облачных сервисов. Ее суть скрыта в названии: Software-as-a-Service, или ПО как услуга. В этом случае речь идет об использовании клиентом сервиса, развернутого на сторонней платформе. С SaaS-решениями мы постоянно сталкиваемся в повседневной жизни, используя электронную почту, онлайн-сервисы для просмотра фильмов, облачные диски для хранения файлов. Соцсети и мессенджеры тоже можно отнести к данной модели.

Приложения SaaS широко применяются в корпоративных целях для решения задач внутри компании. Это сервисы для проведения видеоконференций, программы для планирования задач и автоматизации процессов и т.д. Кроме того, на такой модели строятся сайты: поставщик предоставляет клиенту необходимое ПО для разработки сайта и в дальнейшем помогает в его размещении на хостинге.

Есть и другие популярные варианты облачных сервисов: IaaS и PaaS. Отличие SaaS от них Gartner объясняет по принципу, что получает клиент от сотрудничества с поставщиком облачных услуг:
IaaS — инфраструктура (например, «виртуальный сервер» от ISPserver);
PaaS — инфраструктура плюс ПО для создания приложений (например, интегрированная среда разработки Codenvy, БД от Oracle и др);
SaaS — готовое приложение, развернутое в облаке.
Эти термины объединяются в одно обширное понятие XaaS (Anything-as-a-service, все как услуга), где X — переменная, которая, соответственно, меняется в зависимости от специфики услуги. Тут следует уточнить, что у SaaS есть и второе название: On-demand, что означает «софт по требованию». Его противоположностью является модель On-Premise. Рассмотрим эти две модели в контексте удобства и безопасности данных пользователей.
Модели On-Demand и On-Premise с точки зрения конфиденциальности
On-Demand — это услуга, предоставляемая по классической модели SaaS, когда хостинг находится в облаке. При этом отсутствует необходимость в установке программы на ПК или мобильное устройство и в покупке полной версии ПО. Решения можно использовать как по подписке, так и по мере необходимости с оплатой за объем операций, а то и вообще бесплатно.

On-Premise — не альтернатива On-Demand, так как имеет совсем другую специфику: для размещения решения компанией выбирается собственная инфраструктура или же мощности своего хостинг-провайдера. По сути, это локальное ПО, устанавливаемое на самом предприятии, а не на удаленном объекте. Модель выгодно применять, когда речь идет о выполнении нестандартных задач, требующих индивидуального подхода, и удовлетворении уникальных потребностей предприятия.

Из определений понятно, что в On-Premise за целостность и сохранность данных, своевременность их резервного копирования отвечает сама компания. С On-Demand не все так просто — ответственность за контроль и управления данными, которые хранятся в облаке, переходит к поставщику ПО. Несмотря на такую явную разницу между моделями, многие эксперты считают облачное хранение даже более безопасным, чем локальное. У крупного поставщика гораздо больше возможностей для инвестирования в защиту данных, чем у обычных предприятий, которые «сами по себе».

Для построения доверительных отношений с клиентами SaaS-компании разрабатывают собственные Политики конфиденциальности.
Важные нюансы Политики конфиденциальности
Типы собираемых данных
Первое, что требуется от поставщика облачных услуг — уведомлять пользователей о том, какая информация о них собирается, в том числе автоматически на сервере. Дело в том, что SaaS-компании в принципе не могут функционировать без сбора данных об эл. почте и платежах. Это необходимо для настройки подписки и планов учетной записи. Многие глубже вдаются в подробности, чтобы получить доступ к личным предпочтениям и местоположению пользователей с целью улучшения качества обслуживания.

Автоматически могут собираться такие типы данных: имя, адрес электронной почты, IP-адрес и местонахождение, информация об устройстве, браузере и ПО, пользовательские настройки, дата и время активности. Как пример серьезного подхода к разработке Политики конфиденциальности — компания Pandora, которая использует информацию о музыкальных предпочтениях для создания персональных рекомендаций. В ее документе детально описано, какие данные собираются автоматически.
Источник: pandora.com
Способы и цели сбора данных
Описать что собирается недостаточно, важно уточнить, как это делается и зачем. Так, Amazon ясно дает понять, какими способами он собирает каждый тип информации: через прямые формы и электронную почту, автоматически, с мобильных устройств или вовсе через сторонние источники. PBS Kids раскрывает все карты, объясняя, как используется эта информация.
Источник: Amazon.com
Cookies
Cookie — привычный инструмент для SaaS-компаний, применяемый для отслеживания взаимодействия пользователей с сайтами и приложениями. Однако это несет потенциальный риск для конфиденциальности, так как некоторые файлы продолжают отслеживать местонахождение посетителя сайта даже после того, как он покинул его. Именно поэтому поставщики облачных услуг создают отдельную целевую страницу, посвященную Политике в отношении файлов Cookie, где рассказывают о способах сбора такой информации и ее важности. Хороший пример — Cookie Police LinkedIn, где во всех подробностях описывается, зачем и как используются файлы.
Источник: linkedin.com
Доступ для третьих лиц
Часто компании SaaS используют стороннее ПО и прибегают к помощи проверенных партнеров для качественного предоставления услуг на сайтах и в приложениях. Так аффилированные лица получают доступ к данным, что создает преграды для обеспечения полной конфиденциальности. Чтобы избежать проблем и гарантировать клиентам сохранность данных, Условия и положения каждой из третьих сторон тщательно проверяются. Несмотря на наличие у этих аффилированных лиц своих Политик конфиденциальности, провайдеры также информируют клиентов о том, что некоторые их данные попадают в руки третьих лиц в силу специфики оказания услуг. В качестве примера можно привести Dropbox.
Источник: dropbox.com
Хранение данных
Если дело касается подписки на услуги, этот пункт становится обязательным. Он знакомит пользователей с их правами в отношении управления личной информацией, в частности — как получать к ней доступ, чтобы просматривать и вносить изменения, и можно ли самостоятельно удалять какие-либо сведения. Здесь же речь идет о правах самого поставщика, в том числе по удалению учетных записей в случае невыполнения клиентами прописанных требований. В подробной Политике конфиденциальности Tesco честно указываются сроки хранения информации.
Источник: tesco.com
Помимо вышеперечисленных пунктов, Политика конфиденциальности SaaS может содержать информацию о способах связи компании с клиентами в случае необходимости. Есть еще один важный нюанс: в обязательном порядке клиент информируется о том, что произойдёт с его данными, если бизнес будет продан. Например, Amazon уведомляет, что пользовательские данные хоть и станут одним из передаваемых новым владельцам бизнес-активов, но ранее принятые соглашения не изменятся.

В своей работе SaaS-компании руководствуются общими правилами защиты данных, прописанными в GDRP. Европейская компания Shufti Pro — отличный пример ответственного выполнения этих правил: целая страница в их Политике конфиденциальности отведена под Руководство по соблюдению GDRP.

Как видим, крупнейшие поставщики облачных услуг строго соблюдают требования, выдвигаемые к защите конфиденциальности данных клиентов. Это помогает им поддерживать достойную репутацию на SaaS-рынке. Кроме того, они имеют все ресурсы для противостояния кибератакам и постоянного усиления защитных мер, что невозможно для многих предприятий, использующих решения On-premise. Так, внедрение SaaS не только экономически выгодно для бизнеса, но и безопасно. Главное — сотрудничать с проверенными компаниями, имеющие все необходимые документы, подтверждающие законность сбора, обработки, хранения и использования клиентских данных.
При подготовке материала мы использовали,
в частности, такие источники:

PrivacyPolicies*
PrivacyPolicies*
*
Scallium — это IT-команда с многолетней экспертизой в e-commerce. Наши основные продукты: PIM Scallium и Scallium Marketplace. Оставьте заявку и мы предоставим демо функционала наших продуктов и ответим на все ваши вопросы.