CRM, ERP, programe de contabilitate, platforme de marketing și sisteme de project management. Companiile moderne folosesc o suită complexă de platforme separate prin scop, dar unite de același numitor comun. Sunt toate bazate pe abonament și găzduite în cloud: cu alte cuvinte sunt parte din ceea ce se numește Software-as-a-Service (SaaS).

SaaS în Cifre

Revoluția SaaS a fost unul din motoarele principale ale transformării digitale, punând tehnologie ușor de accesat și achiziționat în mâinile companiilor de toate mărimile. De fapt, conform celor de la McKinsey, piața SaaS va crește cu peste 20% anual, ajungând la aproape 200 de miliarde de dolari în 2024. Conform aceluiași studiu, aproape jumătate din companiile intervievate folosesc mai puțin de 20 de produse SaaS, iar un sfert folosesc peste 80!

Și nu e greu să ne dăm seama de ce ofertele de tip SaaS sunt atrăgătoare: ele permit clientului să se concentreze pe rezultate, nu pe costuri. Permit o configurare rapidă si micșorarea timpului de atingere a profitabilității, sunt considerate o cheltuială operațională (opex), nu una capitală (capex), motiv pentru care aprobarea achiziționării lor e mai ușoară, și sunt accesibile de pe orice sistem, indiferent de locație sau de sistemul de operare. De asemenea, conform Forbes, ele pot crea o relație de lungă durată și mutual benefică între furnizor și client.

Cu toate aceste beneficii vin însă și niște vulnerabilități. Una dintre ele este problema securității. În cazul programelor software clasice, instalate pe sisteme fixe, întreprinderea care le achiziționează se ocupă atât de accesul la produs, cât și de infrastructura și securitatea lui. Ofertele SaaS plasează această responsabilitate pe umerii furnizorului. Acest lucru se reflectă în reticența unor experți în securitate online de a adopta oferte SaaS.

De fapt, chiar dacă studiul citat de la McKinsey sugerează că 92% din companii au adoptat o suită SaaS de automatizare a sarcinilor de la birou, foarte multe dintre ele susțin că nu sunt pregătite să folosească astfel de soluții în domenii precum planificarea resurselor sau oriunde sunt implicate date și documente ale utilizatorilor finali.

Alegerea unui furnizor de servicii SaaS

În cazul automatizării proceselor de business, miza este și mai ridicată. Suitele de automatizare a acestor procese, mai ales cele care procesează documente financiare, au acces la o gamă largă de date și funcționează cu o minimă intervenție umană. Asta înseamnă că fiecare proces și orice potențial pericol trebuie să fie documentat și copiile de rezervă trebuie să fie actualizate constant.

Prin urmare, dacă ești pe cale să selectezi un furnizor de soluții de automatizare sau orice tip de serviciu SaaS care manipulează date sensibile, e bine de știut care ar trebui să fie prioritățile tale de securitate.

Bazându-ne pe propria experiență și pe propriile certificări, dar și pe standardele impuse de industrie (precum cele furnizate de UK National Cyber Security Center sau de jurnalele de specialitate), am creat o listă cu cele mai comune îngrijorări legate de securitate.

 1.Securitatea echipamentelor

Echipamentul este deseori trecut cu vederea, deși este un pilon important sau poate cel mai important pilon al sistemului Software-as-a-Service. Deși mulți furnizori au propria infrastructură, și mai mulți folosesc găzduirea în cloud oferită de vânzătorii specializați (Google, Microsoft, Amazon). Chiar și așa, următoarele obligații rămân valabile:

Timpul de funcționare și disponibilitatea – Fie prin contract sau printr-un document de tip SLA (Service Level Agreement), furnizorul SaaS trebuie să mențină disponibilitatea serviciilor oferite.

Copiile de rezervă și protecția la dezastre – Modul în care sunt realizate copiile de rezervă (backups) și sistemele de recuperare după dezastru ar trebui să fie explicate clar, furnizorul menționând de câte ori pe zi sau pe săptămână sunt făcute copiile, dar și care este timpul de recuperare post-dezastru.

Localizarea datelor (sau Rezidența Datelor) – Copiile de date stocate în centre multiple nu sunt doar o necesitate ci, de multe ori, sunt chiar o cerință legală.

Stabilitatea și portabilitatea – Secretul menținerii stabilității și portabilității (în cazul în care furnizorul nu mai poate oferi serviciul) este folosirea unui sistem de acces sigur și standardizat la infrastructura hardware, permițând o intervenție rapidă și eficiență.

2. Securitatea datelor

Securitatea datelor acoperă atât modul în care sistemul SaaS manipulează datele, dar și formatul datelor în sine. Chiar dacă o parte din această securitate poate fi asigurată prin suport hardware, securitatea datelor ar trebui să fie gândită ca parte din produsul final.

Securitatea informației – Standardele precum ISO 27001 pentru securitatea informației se asigură că furnizorul tău este capabil să gestioneze în siguranță atât datele stocate în cloud, cât și cele găzduite de terțe părți.

Protecția datelor în tranzit și a datelor stocate – Folosirea unui standard cunoscut precum TLS (Transport Layer Security) poate îmbunătăți atât viteza cât și siguranța fiecărui transfer de date. Cu toate acestea, partea dificilă la certificatele TLS nu este achiziționarea lor, ci configurarea lor. O greșeală poate lăsa sistemul descoperit în fața eventualilor atacatori.

Adițional, folosirea unei criptări sigure și a certificatelor digitale (precum cele oferite prin standardul AS2) poate îmbunătăți și mai mult securitatea transferurilor, pe când stocarea sigură în cloud e cea mai potrivită pentru datele deja protejate.

Criptare end-to-end – Un astfel de sistem de criptare înseamnă că toate interacțiunile utilizator-server se desfășoară în siguranță. Așa cum recomandă și SaaS Metrics, o certificare SSL ar trebui să acopere complet acest aspect.

Protecția API – Accesul la interfața API a platformei ar trebui să fie controlat pentru a preveni orice fel de contact neuatorizat cu sistemele interne ale companiei, dar și pentru a accelera integrarea.

Controlul datelor și testarea vulnerabilităților – Accesul la fiecare nivel al datelor trebui să fie oferit, în timp ce testarea constantă pentru vulnerabilități ar trebui să detecteze orice fel de slăbiciune în modul în care tu și furnziorul tău comunicați.

3.Securitatea la nivel de utilizator 

Elementul uman este deseori cea mai vulnerabilă parte a ecosistemului unei companii. De altfel, am tratat tema daunelor provocate de frauda cu facturi, atât la nivelul bugetului unei companii, cât și al moralului angajaților ei.

Deși training-ul oferit angajaților este cu siguranță util, mijloacele proactive de securitate online sunt la fel de utile.

Criptarea datelor de logare – Este vital ca toate cheile de acces la platformă, certificatele și parolele să fie securizate cu ajutorul unui sistem centralizat de tip seif (vault).

Managementul identității și accesului utilizatorilor – Managementul identității se referă la confirmarea identității fiecărui utilizator. Pentru asta, furnizorul de servicii ar trebui să folosească un standard identitar (precum Okta) sunt punct de acces sigur. Referitor la acces, privilegiile utilizatorilor ar trebui să fie clar diferențiate, iar accesul ușor de revocat, dacă este necesar.

Disponibilitatea înregistrărilor de utilizare – Fiecare accesare a fișierelor și fiecare transfer ar trebui să fie monitorizate constant și înregistrate. În cazul documentelor financiare precum facturile, existența pistelor de audit poate este și o cerință legală.

Accesul universal – Accesul de la distanță la interfața platformei SaaS ar trebui să fie atât posibil, cât și sigur.

4.Managementul Incidentelor

O echipă de management al incidentelor este formată din oameni care aparțin companiei furnizoare de soluții SaaS, dar și din oameni din propria companie, motiv pentru care trebuie să respecte un set de principii comune.

Disponibilitate – Echipele de răspuns la incidente ar trebui să poată gestiona atât componentele hardware, cât și componentele software, dar și probleme legate de business sau administrarea contului. În unele cazuri, pot fi create mai multe echipe, pentru a asigura monitorizarea continuă.

Vizibilitate – Administratorii de sistem ar trebui să aibă vizibilitate deplină în activitatea bazelor de utilizatori. Un sistem de raportare intern trebuie implementat din start. Aditional, un sistem de Planificare si Monitorizare a Analizei de business ar trebui sa ofere vizibilitate financiara asupra fiecarui proces, nu doar o viziune de business.

Transparență – Incidentele trebuie comunicate în mod clar, alături de cauza lor și de timpul estimat de rezolvare. Din acest motiv, este bine ca un document de tip SLA (Service Level Agreement) sa fie disponibil, document care explica modul de prevenire a incidentelor si raspunsul la acestea.

Inițiativă – Utilizatorii ar trebui să aibă mijloace de a raporta rapid incidentele și de a accesa suportul tehnic. În plus, ei ar trebui încurajați să facă acest lucru în mod proactiv.

5. Standardele și Certificările

 Deși nu vorbim despre un element vital în alegerea unei soluții SaaS, disponibilitatea unui set de standarde și certificări este ceva ce vei dori să verifici. Aceste standarde pot intra în multiple categorii.

Standardele de securitate a informațiilor (cum ar fi ISO 27001 menționat anterior) sunt utile indiferent de domeniul de activitate al furnizorului SaaS.

Standardele de schimb de date (cum ar fi ISO 20222) sunt deseori complementare celor de securitate a informațiilor.

Certificările de stocare a documentelor sunt utile pentru furnizorii care gestionează cantități mari de date sensibile.

Certificările de format depind de domeniul de activitate al furnizorului SaaS, dar sunt vitale pentru companiile care doresc să urmeze legislația internațională (așa cum e cazul Directivei europene 2014/55 / UE pentru facturarea electronică și standardele asociate acesteia).

Certificări de confidențialitate a datelor – GDPR a devenit mult timp o necesitate și, în timp ce acordurile de confidențialitate sunt obligatorii, o certificare reală garantează angajamentul furnizorului de a păstra confidențialitatea utilizatorului.

În timp ce mediul de afaceri evoluează treptat spre un model de Everything-as-a-Service, securitatea va deveni un punct de discuție din ce în ce mai important. Asigurându-te că furnizorul tău urmărește aceste linii generale de ghidaj, îți poți asigura procesele de business, la fel ca și calitatea și disponibilitatea serviciilor pe care le oferi clienților tăi.

securitatea online

Oferta DocProcess

DocProcess construiește platforme de automatizare a ecosistemului de business în cloud care ajută companiile să atuomatizeze atât procesele interne cât și pe cele externe, precum cele din interiorul rețelei lor de parteneri (cumpărători, furnizori, instituții financiare).

Soluțiile noastre pot automatiza toate serviciile de Purchase-to-Pay, Order-to-Cash și facturare electronică, eliminând munca manuală și hârtia și oferindu-le managerilor și angajaților control total asupra timpului și finanțelor lor.

Fiind o companie de automatizare a proceselor de business, ne-am asigurat că oferim atât un model de inaltă disponibilitate (High Availability) pentru infrastructura noastră, precum și protecție la dezastru și metode de recuperare de ultimă generație. Platformele noastre sunt complet sigure, dar și certificate pe multiple niveluri.

Dacă vrei să afli mai mult despre securizarea soluțiilor noastre, poți citi pagina de Securitate a Soluțiilor. Dacă vrei să afli ce poate face DocProcess pentru afacerea ta, contactează-i pe consultanții noștri.

Vrei să afli mai mult despre automatizarea proceselor de business, securitatea documentelor, facturare electronică și companiile viitorului?