Software-ul ca serviciu (SaaS) este un model de licențiere și furnizare de software în care utilizatorii accesează aplicații sau servicii printr-un abonament.

Aplicațiile sunt găzduite de la distanță de furnizorul de servicii și pot fi accesate la cerere de către clienți prin internet sau prin rețele private.

Multe întreprinderi și întreprinderi de toate dimensiunile profită de acest model bazat pe abonament, în scopul de a reduce costurile IT care sunt adesea asociate cu aplicațiile tradiționale la domiciliu.

Aceste costuri generale pot include hardware, upgrade-uri și gestionarea patch-urilor, care trebuie să fie achiziționate în avans pentru cei care nu merg la un model de implementare SaaS. Acest model de licențiere la cerere este de asemenea benefic, deoarece permite clienților să-și mărească serviciile numai pe măsură ce cresc.

SaaS a crescut constant în ultimul deceniu, deoarece multe companii adoptă acest nou model de achiziționare a tehnologiei informației.

Privind înainte, 73% dintre organizații spun că aproape toate aplicațiile lor vor fi SaaS până în 2020.

În afară de costurile de configurare, mulți manageri favorizează și soluțiile SaaS, deoarece aceștia au sprijinul deplin din partea furnizorilor de servicii.

Nu mai trebuie să-și facă griji în ceea ce privește oferirea unei formări extinse angajaților, iar aplicațiile SaaS se conectează cu ușurință cu alte aplicații terțe prin API bine întreținute.

În afară de lista lungă de beneficii, securitatea comerțului electronic este încă o preocupare principală, care deține unele întreprinderi înapoi de la adoptarea SaaS.

Prevenirea fraudei, securitatea cibernetică și Conformitatea PCI sunt esențiale pentru funcționarea afacerii dvs.

În această scufundare profundă, vom acoperi aceste probleme majore de securitate, de ce contează, cele mai bune practici și soluții-cheie pentru a vă asigura că site-ul dvs. de comerț electronic și datele despre clienți sunt sigure.

Adoptarea rapidă a tehnologiei cloud computing, sub forma serviciilor cloud oferite, face ca aceasta să fie una dintre cele mai fierbinți subiecte din partea liderilor IT și eCommerce de astăzi.

Serviciile de calcul cloud sunt adesea denumite "schimbătoare de jocuri" printre experții din industrie, în mare parte datorită oportunității oferite de tehnologie în colaborarea la nivel de organizație, scalabilității în clasa de întreprindere și disponibilității agnostice a dispozitivului, oferind în același timp avantaje excepționale de reducere a costurilor prin calcul optimizat și eficient.

Este important să se facă distincția între cele trei clasificări ale cloud computing, adesea denumite "modelul SPI" în care se referă SPI

  • Software-ul ca serviciu (SaaS): oferă utilizatorilor acces la aplicații software și baze de date.
  • Platforma ca serviciu (PaaS): oferă, dincolo de infrastructura de calcul, un mediu de dezvoltare pentru dezvoltatorii de aplicații (de exemplu, sisteme de operare, mediu de execuție a limbajului de programare, baze de date etc.).
  • Infrastructura ca serviciu (IaaS): oferă infrastructură de bază de calcul (de exemplu, mașini fizice și virtuale, locație, rețea, copie de rezervă etc.).

Iată informații suplimentare detaliate despre diferențele dintre acestea IaaS vs PaaS vs SaaS.

Toate modelele de servicii cloud SPI de mai sus pot fi implementate pe unul din următoarele patru modele de implementare a infrastructurii:

  • Norul public: infrastructura cloud este pusă la dispoziția publicului larg sau a unui mare grup industrial și este deținută de o organizație care vinde servicii cloud.
  • Cloud privat: infrastructura cloud este operată exclusiv pentru o singură organizație. Aceasta poate fi gestionată de organizație sau de o terță parte și poate fi localizată în local sau în afara spațiului comercial.
  • Norul hibrid: infrastructura cloud este o combinație de doi sau mai mulți nori (privat, comunitar sau public).

1. Rata de adopție.

Conform Gartner, se preconizează o creștere a pieței de servicii publice la nivel mondial cu 17,3% în 2019, până la 206,2 miliarde de dolari, în creștere față de 175,8 miliarde de dolari în 2018.

Proiecțiile de creștere sunt distribuite inegal între SaaS, PaaS și IaaS.

Software-ul ca serviciu (SaaS) rămâne cel mai mare segment al pieței nor, veniturile urmând să atingă 85,1 miliarde de dolari în 2019, ceea ce va conduce la o creștere anuală de 17,8%.

Infrastructura ca serviciu (IaaS) este segmentul serviciilor cloud cu cea mai rapidă creștere, cu o creștere prognozată de 27,6% în 2019, ajungând la 39,5 miliarde dolari, de la 31 miliarde de dolari în 2018. Amazon este principalul furnizor de pe piața IaaS, Microsoft, Alibaba, Google și IBM.

2. Rata de adoptare pe verticală.

După cum sa menționat mai devreme în acest raport, ratele de adoptare a serviciilor cloud sunt în creștere rapidă – dar ce segmente și verticale cresc cel mai rapid?

Multe organizații tind să înceapă cu aplicații care ar putea fi migrate cu ușurință spre nor și apoi tranziția sistemelor lor strategice mai mari, cum ar fi platforma de comerț electronic. ERP și aplicațiile lanțului de aprovizionare Aceste proiecte tind să fie integrate în planurile lor de transformare digitală.

Un sondaj realizat de Economist Intelligence Unit a dezvăluit rata variată de adoptare a norului în industrii.

Primele mutare în cloud par să fie soluții digitale "pure play" care se află paralel cu soluțiile din industrie, cum ar fi:

  • Tranzacționarea bancară digitală din sectorul bancar.
  • Magazine de comerț electronic care concurează cu comercianți cu amănuntul și centre comerciale.

de fabricație, după cum vom vedea, prezintă o problemă mai complexă, deoarece implică integrarea norului în structuri fizice, cum ar fi fabrici, mașini și linii de asamblare.

În cele din urmă, după cum sa discutat în revizuirea acestor industrii, adopția în educație și îngrijire medicală este încetinită de constrângeri de reglementare și de medii mai puțin competitive. Cu toate acestea, vedem că, în măsura în care a venit norul, încă mai are mult de parcurs. "Prezența generalizată" – deja accesibilă și desfășurarea pe scară largă – depășește doar 7% în întreaga industrie.

3. Mitul: Norul este într-adevăr mai puțin sigur decât la fața locului?

Pe măsură ce tendințele industriei arată popularitatea în continuă creștere și adoptarea tehnologiei cloud, unele organizații încă par a ezita să facă saltul.

Un sondaj Deloitte privind adoptarea cloud a arătat că, în rândul unui grup de CIO-uri care nu au implementat în continuare cloud computing în organizațiile lor, principalele lor obiecții au fost:

  • Riscul de a pierde controlul și guvernarea datelor.
  • Aspecte juridice și respectarea deschisă.
  • Riscul expunerii datelor lor.
  • Securitatea datelor necorespunzătoare.

Din subgrupul de CIO-uri care tocmai au adoptat tehnologia cloud, 78% dintre aceștia au dezvăluit că motivul major al ne-adopției a fost incertitudinea lor în securitatea comerțului electronic.

Mitul "securității cloud", deoarece acest document alb va dezvălui, este că, dacă o organizație își stochează datele într-un centru de date terță parte, ei se pun pe ei înșiși și pe clienții lor în pericol de o încălcare a datelor care nu numai că va afecta reputația organizației, ci și au implicații financiare semnificative în formarea pierderii afacerii și, în cele din urmă, duc la sancțiuni sau amenzi.

Totuși, după cum suntem conștienți, evenimentele, cum ar fi hack-urile, întotdeauna fac mai rapid la mass-media decât exemplele când lucrurile funcționează bine. Și cloud computingul nu face excepție. Prin urmare, organizațiile trebuie să ia în considerare mai mulți factori atunci când selectează un partener SaaS potrivit pentru afacerea lor.

Toate secțiunile care urmează în acest document vor pune mitul "cloud security" să se odihnească explicând temeinic straturile de securitate robuste ale aplicațiilor bazate pe SaaS și Cloud, precum și standardele stricte de prevenire a fraudei, standardele de securitate a informațiilor și cadrele de conformitate adoptate de cele mai bune – furnizorii de servicii Cloud în clasă.

Aplicațiile bazate pe cloud pot fi clasificate în principal în două straturi cheie:

  • Layer 0, cloudul IaaS (Infrastructură ca serviciu) și PaaS (platforma ca serviciu) în care se execută totul; de obicei, serviciile Amazon Web, Microsoft Azure, platforma Google Cloud, IBM Cloud sau Alibaba.
  • Aplicații Layer 1, SaaS și cloud-delivered, care rulează de obicei pe infrastructura Layer 0 IaaS.

Fiecare strat are un set de considerente și standarde de securitate care se suprapun și distincte.

Să ne aruncăm în setul complet de standarde de securitate și cadre de conformitate care să răspundă atât soluțiilor bazate pe cloud Layer 0 și Layer 1, cât și soluții eficiente pentru redundanță și modalități de asigurare a disponibilității ridicate și a timpului de funcționare.

1. Layer 0 IaaS Cloud Security.

Principiul securității centrale în toate noile soluții oferite de IaaS este conceptul de "responsabilitate comună", ceea ce înseamnă două lucruri:

  1. Furnizorii de servicii IaaS sunt responsabili pentru securitatea cloud-ului (de ex. Infrastructura globala, stocare, baze de date, networking, computer).
  2. Clienții sunt responsabili pentru securitatea în cloud (de exemplu, date, platforme, aplicații, sisteme de operare, firewall-uri).

Iată lista rapidă de securitate a cloudului IaaS Cloud.

  • Aplicați configurațiile de securitate ale celor mai bune practici ale furnizorului IaaS la configurare. AWS, de exemplu, are un AWS Best Practices Whitepaper, același lucru este valabil și pentru Microsoft Azure sau Google Cloud.
  • Monitorizați continuu infrastructura și configurați alerte atunci când sunt detectate modificări sau noi vulnerabilități de securitate.
  • Asigurați-vă că utilizați standardele de criptare acceptate în industrie și că protejați cheile de criptare cu ajutorul unor controale de stocare adecvate.
  • De asemenea, criptați conexiunile de rețea în întreaga infrastructură cloud.
  • Utilizați soluții de detecție a pachetelor (DPI) profundă sau soluții de detectare și prevenire a intruziunilor (IDS / IPS) pentru a ajuta la detectarea anomaliilor și atacurilor de rețea.
  • Desfășurați cursuri specializate de instruire a personalului cu privire la securitatea informațiilor.

2. Stratul 1 SaaS Cloud Security.

Următoarele reprezintă o listă sumară a considerentelor de securitate pentru întreprinderi atunci când implementați o aplicație SaaS pentru organizația dvs.:

  • Securitatea datelor ar trebui să implice utilizarea unor tehnici puternice de criptare și o autorizație pentru controlul accesului la date.
  • Realizați respectarea reglementărilor, cele mai importante fiind:

    • Audit fizic și perimetral de securitate al centrelor de date: SSAE 16 (Declarația privind standardele pentru angajamente de atestare nr. 16 (SSAE 16) sau echivalentul acestuia, Standardul internațional privind angajamentele de asigurare (ISAE) 3402.
      SSAE 16 cuprinde două rapoarte:

      • Un raport SOC 1 care oferă o imagine independentă a peisajului de control al organizației într-o anumită zi.
      • Un raport SOC 2 oferă un traseu istoric al controalelor unei organizații în timp (de obicei în ultimele 6 luni).
    • Accesul la date, stocarea datelor și procesarea datelor ar trebui să fie reglementate și controlate conform reglementărilor cum ar fi ISO-27001, Sarbanes-Oxley Act [SOX], Legea Gramm-Leach-Bliley [GLBA], Legea privind portabilitatea și răspunderea în domeniul asigurărilor de sănătate [HIPAA].
    • Pentru aplicațiile de comerț electronic sau de procesare a plăților, standardele din industria de conformitate, cum ar fi Standardul de securitate a datelor privind cardul de plată [PCI-DSS] este obligatorie (PCI Compliance este inclus în detaliile mele mai târziu în acest raport).
  • Înțelegeți modelul de implementare al furnizorilor dvs. SaaS (adică dacă vor utiliza un furnizor de cloud public sau se vor găzdui).
  • Disponibilitate: disponibilitatea în permanență a serviciului implică schimbări arhitecturale la nivel de aplicație și de infrastructură care adaugă scalabilitate și disponibilitate ridicată. O exploatație echilibrată a încărcăturii instanțelor de aplicație, care rulează pe un număr variabil de servere, va oferi rezistență la atacurile de refuz al serviciilor, precum și la defecțiunile hardware și / sau software.
  • Continuitatea afacerii [BC] și recuperarea în caz de dezastru [DR]: care este strategia furnizorului de servicii de cloud pentru a recunoaște amenințările și riscurile cu care se confruntă infrastructura sa și cum vor fi protejați angajații și bunurile sale în caz de dezastru? Planurile BC și DR vor defini riscurile potențiale; să precizeze modul în care riscurile vor afecta operațiunile acestora; și să ia măsuri pentru măsuri de salvgardare și proceduri pentru atenuarea riscurilor.
  • Copiile de rezervă: datele întreprinderii în esență trebuie să fie în mod regulat susținut pentru a facilita recuperarea rapidă în orice caz a unui dezastru. Trebuie să se aplice scheme de criptare puternice pentru toate datele de rezervă.
  • Identity Manager (IdM) și procesul de conectare: Furnizorul dvs. SaaS va sprijini gestionarea identității și va conecta serviciile folosind oricare dintre următoarele modele.

    • Stack IDM independent: Furnizorul SaaS oferă gestionarea completă a identității și stivuirea serviciilor. Toate informațiile legate de conturile de utilizator, parolele etc. vor fi întreținute complet de către distribuitorul SaaS.
    • Sincronizarea acreditărilor: Furnizorul SaaS acceptă replicarea informațiilor despre contul de utilizator și a acreditărilor între întreprindere și aplicația SaaS. Autentificarea utilizatorilor este efectuată de către vânzătorul SaaS, utilizând acreditările reproduse.
    • ID federat: Autentificarea utilizatorului este stocată și are loc în interiorul graniței întreprinderii. Identitățile utilizatorilor și atributele utilizatorilor sunt propagate la cerere către vânzătorul SaaS utilizând federalizarea pentru a permite accesul și controlul accesului.

Acum, că aveți o înțelegere a considerentelor de securitate a comerțului electronic pentru a influența implementarea soluțiilor IaaS sau SaaS, dorim să acoperim mai detaliat pilonii de securitate cei mai importanți.

Urmărind modelul de responsabilitate comună pe care tocmai l-am abordat, vrem să abordăm cele mai importante responsabilități de securitate ale cloud-ului furnizorilor de platforme IaaS.

Apoi, vom acoperi responsabilitatea securității cloud a furnizorilor de platforme SaaS, precum și pentru compararea și înțelegerea directă.

Lista de verificare a securității la nivel de bază Lista de verificare a securității IaaS

1. Protecția activelor: Redundanța platformelor IaaS.

Furnizorii IaaS ar trebui să garanteze că datele dvs. și echipamentele hardware care o stochează sau le prelucrează sunt protejate împotriva manipulării fizice, pierderii, deteriorării sau confiscării.

De asemenea, trebuie să evaluezi modelul de rezistență și defectare al furnizorului tău IaaS și cum poți construi pe infrastructura lor într-un mod care îți oferă nivelul de disponibilitate de care ai nevoie.

Mecanisme de securitate fizică

Furnizorul dvs. IaaS ar trebui să vă ofere o asigurare că datele dvs., imaginile pe disc și alte dispozitive de stocare sunt protejate corespunzător – fizic, logic sau criptografic.

În cazul în care organizația dvs. nu este mulțumită de protecția oferită de furnizorul de servicii IaaS, ar trebui să puteți implementa criptarea volumelor din stocul de date.

Când infrastructura dedicată de stocare fizică este furnizată de un furnizor IaaS, ar trebui să aveți un acord de ștergere a datelor înainte de a renunța la hardware-ul de stocare pentru reutilizare.

Ștergerea datelor, uneori denumită ștergere de date sau ștergere de date, vă permite să distrugeți complet toate datele electronice printr-o metodă bazată pe software care utilizează date binare (cele și zerouri) pentru a suprascrie datele. Ar trebui să verificați la furnizorul de servicii IaaS unde este responsabilitatea pentru ștergerea datelor.

În plus, trebuie să aveți un plan de ieșire care să acopere acțiunile care ar trebui luate atunci când nu mai folosiți IaaS. Aceste acțiuni pot include marcarea datelor pentru ștergerea și ștergerea spațiului de stocare pe discuri pentru a vă asigura că datele dvs. nu sunt păstrate sau accesibile altor utilizatori de servicii.

Protecția infrastructurii

Infrastructura de securitate implică firewall-uri, criptare robustă și autentificarea utilizatorilor.

Unele servicii IaaS pot expune direct infrastructura clientului la rețele publice, cum ar fi Internetul. Pentru a stabili securitatea infrastructurii, asigurați-vă că sunt instalate firewall-uri corespunzătoare atât la nivel de infrastructură, cât și la nivel de platformă.

Rețeaua virtuală poate fi utilizată pentru a separa funcțiile de gestionare și back-end de interfețele expuse utilizatorilor finali. În situațiile în care furnizorul dvs. de servicii IaaS nu oferă control granular al interfeței, aparatele virtuale de securitate de rețea pot fi utile.

Atunci când datele sunt partajate în mod intenționat cu alți utilizatori, trebuie să aveți proceduri pentru a vă asigura că acestea nu conțin informații care ar putea oferi accesul unui atacator la serviciu.

Atunci când partajați date cu alți utilizatori, utilizați chei de criptare sau certificate pentru a gestiona accesul și pentru a preveni atacurile.

2. Uptime IAaS și SLA.

Un acord SLA (Service Level Agreement) este un acord cu un furnizor de servicii de cloud care detaliază modul în care vor rezolva problemele potențiale.

Pentru fiecare nou serviciu de cloud pe care îl achiziționați, trebuie să fie elaborat un proces de evaluare SLA și schimbarea serviciilor, SLA ar trebui, de asemenea, reevaluate.

Ar trebui să utilizați SLA pentru a evalua stabilitatea serviciului și pentru a înțelege modul în care activele companiei dvs. vor fi protejate, păstrând în același timp scăderea cheltuielilor dacă apar probleme.

Prin urmare, SLA este foarte important atunci când preluați un serviciu de cloud și este important să fiți familiarizați cu toți termenii și condițiile acestuia. În cele din urmă, SLA este contractul dintre dvs. și furnizorul dvs. de servicii, detaliind toate așteptările pentru parteneriatul pe care îl încheieți.

Acesta stabilește relația de afaceri dintre dvs. și furnizorul de servicii, precum și explicarea acțiunilor care trebuie luate pentru a atenua eventualele probleme care pot apărea.

Este imperativ ca ambele părți, cumpărătorul și furnizorul de servicii, să fie de acord și să înțeleagă pe deplin SLA. Întrucât unele acorduri între întreprinderi pot fi destul de complexe, iată câteva lucruri pe care trebuie să le țineți minte atunci când descrieți un SLA:

  • Specificați parametrii și nivelurile minime ale serviciului și remedierile în cazul în care aceste cerințe nu sunt îndeplinite.
  • Detaliți calitatea deținută de organizație în legătură cu datele stocate în sistemul furnizorului și precizați-vă drepturile de returnare.
  • Specificați standardele și infrastructura de securitate care trebuie să fie respectate de către furnizor, precum și drepturile de audit ale acestora.
  • Menționați drepturile și costul utilizării sau anulării acestui serviciu special.

Privind mai departe detaliile unui SLA, să examinăm criteriile importante care trebuie stabilite pentru acord:

  • Performanța serviciului (adică: care sunt duratele maxime de răspuns?).
  • Securitatea și confidențialitatea datelor (adică: datele stocate și transmise sunt întotdeauna criptate?).
  • Disponibilitatea serviciilor (adică: 99,99% în timpul zilelor de lucru și 99,9% pentru nopți și sfârșit de săptămână).
  • Așteptările pentru recuperarea în caz de dezastru (adică: care este angajamentul lor pentru redresarea scenariului mai rău?).
  • Rezolvarea așteptărilor (adică: call center pentru a obține suport instant).
  • Localizarea datelor (adică: respectă legislația locală?).
  • Accesul la date (adică: datele pot fi preluate într-un format lizibil în orice moment?).
  • Portabilitatea datelor (adică: pot fi mutate datele către un alt furnizor, dacă doriți?).
  • Managementul schimbărilor (adică: care este procesul de abordare a schimbărilor în serviciu sau a noilor servicii?).
  • Procesul de dispută (adică: care este procesul de escaladare a problemelor și care sunt consecințele acestora?).
  • Strategia de ieșire (adică: așteptând o tranziție lină și cooperarea de la furnizor).

Odată ce ați stabilit criterii pentru SLA, următorul pas este să evaluați cât de important este serviciul cloud și datele asociate pentru afacerea dvs. Acest risc și natura serviciului de cloud sunt imperative în determinarea termenilor SLA.

În concluzie, SLA este contractul obligatoriu pentru parteneriatul dintre afacerea dvs. și furnizorul de servicii. Prin urmare, este esențial să urmați acești trei pași:

  1. Citiți cu atenție SLA furnizorului de servicii și asigurați-vă că îl înțelegeți.
  2. Implicați-vă personalul tehnic în invalidarea SLA pentru scenarii de întrerupere obișnuite.
  3. Creați planuri de urgență pe care echipa dvs. să le întreprindă în cazul în care apar probleme serioase cu serviciul.

3. Ameliorarea atacului DDoS la adresa IaaS

Deniul de serviciu distribuit (DDoS) determină ca site-ul sau aplicațiile să ruleze încet sau să devină complet indisponibile. Acest lucru determină nu numai organizația dvs. să-și piardă probabil banii, dar ar putea avea un impact puternic asupra clienților dvs. loiali.

Într-un astfel de eveniment, clienții dvs. vor fi nemulțumiți și chiar pot pierde bani în funcție de tipul de afacere pe care îl oferiți.

Pentru a remedia problema, va trebui să vă îmbunătățiți asistența pentru clienți în timp ce încercați să atenuați problema tehnică la îndemână.

Cu cât pregătiți mai mult pentru diferite tipuri de atacuri și ținte, cu atât mai pregătiți dvs. și furnizorul dvs. de servicii va fi pentru atacurile DDoS.

Dacă eforturile atacatorului sunt blocate, adesea renunță și se îndreaptă spre ținte mai ușoare. Prin urmare, ar trebui să dezvoltați un plan de protecție DDoS care să utilizeze cele mai bune practici din industrie pentru a reduce riscul ca afacerea dvs. să întreprindă un atac DDoS.

Lista de verificare a securității SaaS la nivel de aplicație

Urmărind modelul de responsabilitate comună pe care l-am abordat în secțiunea anterioară, dorim să abordăm cele mai importante responsabilități legate de securitatea cloud a furnizorilor de platforme SaaS.

1.Safety Data și Redundanță a SaaS.

Redundanța este un aspect important pentru furnizorii de servicii SaaS, deoarece înseamnă că acestea includ și alte componente în serviciul lor, astfel încât, în caz de eșec, va exista în continuare o rezervă.

În esență, se asigură că afacerea dvs. poate recupera informații la un moment dat, indiferent de orele de întrerupere preconizate sau neprevăzute de la furnizor.

Majoritatea furnizorilor de servicii de încredere iau extrem de serios securitatea și redundanța. Cu toate acestea, trebuie să vă asigurați că aveți întrebări despre politicile oricărui furnizor SaaS cu care doriți să vă asociați.

Indiferent de cât de multă precauție este luată de la furnizor, este o bună practică să aveți informațiile dvs. pe o altă structură cloud ca o copie de rezervă pentru orice cazuri extreme.

Următoarele sunt patru întrebări pentru a vă întreba furnizorul potențial de servicii cloud în ceea ce privește securitatea datelor și redundanța:

Replicare la distanță: au backupuri Cloud-to-Cloud?

După cum sa menționat în secțiunile anterioare, este o practică optimă să aveți întotdeauna mai multe copii ale datelor și să le stocați în locații diferite pentru a fi pregătite în cazul unei probleme.

În locațiile fizice, ne putem gândi la întâmplări nefericite, cum ar fi un incendiu, dar, de fapt, pe nor, ar trebui să urmăm aceeași logică.

Furnizorul de servicii trebuie să copieze datele dvs. separat într-o structură de tip cloud complet diferită ca rezervă.

Ce standarde de securitate respectă backup-urile din cloud?

Reprezentanții furnizorilor de SaaS aderă la standardele stricte de securitate a cloud-to-cloud backup-uri. Veți găsi adesea că standardele lor sunt atât de ridicate încât nu veți putea să le mențineți sau să le recreezeți pe cont propriu.

Soluția lor de backup de tip cloud-to-cloud va include probabil sau va atenua considerabil următoarele standarde de securitate:

  • Conformarea în SSAE 16.
  • Ciprii cu criptare puternică.
  • Un membru al Alianței pentru securitate cloud.
  • Certificatele de confidențialitate și securitate (adică: TRUSTe).

Fă backup create, include metadate?

Metadatele sunt esențiale pentru colaborare și control deoarece conțin informații despre partajarea setărilor, etichetelor, etichetelor și a proprietății.

În cele din urmă, metadatele ajută utilizatorii să găsească și să utilizeze date SaaS, iar fără ea nu există context pentru a furniza informații utile.

Deși metadatele sunt vitale pentru multe companii, există destul de multe soluții de backup, inclusiv backup-uri furnizate de furnizori precum Salesforce, care nu furnizează metadate.

Utilizatorii nu sunt adesea conștienți de acest lucru, ceea ce duce la frustrare și nemulțumire atunci când își dau seama că într-un moment ulterior nu reușesc să-și recupereze datele cu toate metadatele generate.

Asigurați-vă că furnizorul de servicii SaaS pe care îl selectați include metadatele și personalizarea în copiile de rezervă.

Cum se monitorizează copii de rezervă?

Chiar dacă potențialul dvs. furnizor SaaS are un sistem regulat de backup de date în loc, ar trebui să te uiți în modul în care acestea monitorizează procesul lor de backup.

Toate copiile de rezervă ar trebui să fie monitorizate de administratorii IT și să genereze rapoarte de stare și notificări prin e-mail. Ultimul lucru pe care doriți să-l faceți este să vă restaurați datele numai pentru a afla că a existat o supraveghere sau o corupere a datelor care a provocat o eroare în copia de rezervă.

În plus, asigurați-vă că aflați detaliile de la furnizorul de servicii cu privire la ceea ce poate cauza probleme cunoscute cu ajutorul copierii de rezervă.

De exemplu, este destul de comun ca fișierele cu octeți zero să provoace coruperea datelor.

Înțelegerea acestor erori și monitorizarea rapoartelor de eroare vă pot ajuta să evitați erorile de date care pot afecta afacerea dvs. și datele clienților dvs.

2. SaaS High Availability.

Atunci când un furnizor de servicii are o disponibilitate ridicată, înseamnă că acesta este configurat pentru a evita un singur punct de eșec în fiecare componentă a sistemului.

Astfel, acesta este un alt factor de luat în considerare atunci când alegeți un vânzător SaaS – sunt punerea în aplicare de înaltă disponibilitate?

Există instrumente și mecanisme de deschidere cu surse deschise, care asigură o infrastructură de înaltă calitate într-un mod foarte fiabil. Un exemplu remarcabil al acestui lucru este echilibrarea încărcării.

Load Balancing

Ref: https://codingstartups.com/scaling-saas-product-infrastructure-high-availability/

Utilizând redundanța, furnizorii SaaS pot elimina singurele puncte de eșec pe mașinile expuse la web deschis și cererile HTTP.

Prin duplicarea mașinilor care sunt configurate pentru a atinge aceleași sarcini, se obține redundanța și, prin urmare, o securitate mai mare în cloud computing.

Datele sunt controlate și distribuite pe mașini redundante utilizând un balancer de sarcină, așa cum se arată în diagrama de mai sus. În acest mod, nodurile sunt ascunse în interiorul rețelei interne și numai balancerul de sarcină este expus solicitărilor externe, reducând astfel riscurile de securitate.

Cele mai multe balansoare de sarcină rulează pe algoritmul Nginx și algoritmul rotund pentru a distribui cererile între noduri. Nginx este o opțiune excelentă deoarece are grijă de sarcini, cum ar fi gestionarea nodurilor, efectuarea de controale periodice de sănătate pentru noduri și chiar recuperarea lor în linie după recuperarea eșecului.

În mod obișnuit, ar trebui să se efectueze configurații pentru a asigura cele mai bune practici pentru lipirea cookie-urilor, cache-ul și anteturile consecvente și fiabile (adică adresa IP a clientului).

3. Uptime SaaS.

Uptime este perioada de timp în care un serviciu este online și este disponibil pentru afacerea dvs., măsurată în funcție de perioada în care nu este disponibilă.

Firește că toți încercăm să avem 100% timp de funcționare, dar, în realitate, nimic nu poate fi complet împiedicat de bullet.

Prin urmare, este important să înțelegeți timpul de funcționare pe care furnizorul dvs. îl suportă și să calculați ce înseamnă pentru afacerea dvs.

Cât de mult timp vă puteți permite? Cât de mult timp de întrerupere este tolerabil?

Furnizorii de SaaS mari promite adesea 99,9% uptime.

În timp ce acest lucru ar putea fi minunat dacă ne referim la un scor de test, ar putea fi destul de problematic pentru o afacere. În esență, timpul de întreținere de 99,9% înseamnă mai puțin de 43 de minute de întrerupere pe lună sau mai puțin de 8 ore și 45 de minute pe an.

Dacă acest timp de nefuncționare are loc la ora 2 dimineața într-o noapte de duminică, acest lucru poate fi acceptabil sau poate nu dacă aveți un serviciu internațional.

Cei mai buni furnizori de SaaS pot garanta un timp de funcționare de 99,99% sau mai mult pe an.

În timp ce acest lucru te-ar putea sperie, trebuie doar să te gândești că adesea centrele de date fizice, în special acelea care se ocupă de întreprinderile mici sau mijlocii, oferă garanții de uptime mult mai mici decât cele ale furnizorilor SaaS.

De asemenea, considerați că furnizorii principali ai SaaS și îngrijorarea lor sunt întotdeauna uptime, așa că este ceea ce ei cel mai mult le place să susțină pentru a nu risca ruinarea reputația lor în industrie.

Când vă gândiți la un furnizor SaaS, aici sunt principalele întrebări pe care ar trebui să le întrebați:

  1. Când serviciul este garantat ca fiind disponibil în termeni procentuali?
  2. Care este definiția lor de "deconectare"?
  3. Cum încearcă furnizorul să reducă timpul de nefuncționare?
  4. Care sunt consecințele pentru furnizor în cazul în care perioada de downtime depășește SLA?

Timpul de întrerupere programat vs. neprogramat.

Ca și în cazul oricărei tehnologii, este nevoie de îmbunătățiri și actualizări pentru un serviciu mai bun și, din păcate, serviciile cloud nu fac excepție de la această regulă. Aceasta înseamnă că pot exista perioade de programare pentru a face astfel de actualizări.

Furnizorii SaaS consideră întreținerea planificată ca "întreruperi planificate", mai degrabă decât downtime.

În timp ce acest lucru ar putea părea logic, pentru unele companii care au serviciul offline va cauza o pierdere semnificativă a veniturilor și, prin urmare, pentru acestea, este considerată o perioadă de nefuncționare. De exemplu, un sistem de rezervare a companiilor aeriene pierde aproximativ 89.000 de dolari pe oră, indiferent dacă indisponibilitatea era programată sau nu.

Prin urmare, atunci când evaluează furnizorii de servicii, înțelegeți cu atenție ce înseamnă "downtime" în SLA și exact modul în care se calculează timpul de funcționare.

Uptime Garanții: Cum poate un furnizor de servicii SaaS să prevină deconectările?

După cum sa menționat anterior, afacerea unui furnizor SaaS este de a-și menține clienții satisfăcuți prin menținerea serviciului online și prevenirea timpilor de nefuncționare.

Când un server on-premise coboară, numai acea afacere este afectată, dar dacă un server SaaS multi-chiriaș scade, afectează mai multe companii. Furnizorii de servicii SaaS trateazã perioadele de nefuncționare cu cea mai mare importanțã și pun în aplicare mãsuri preventive pentru a minimiza riscul de nefuncționare.

Cel mai bun furnizor din SaaS din clasă utilizează server clustere cu redundanță și replicare încorporate.

Aceste clustere sunt de obicei desfășurate în centre de date dispersate geografic pentru a asigura disponibilitatea serviciului.

Sancțiuni pentru excesul de nefuncționare

Punctul de plecare pentru calcularea perioadelor de nefuncționare a excesului este evaluarea costului zilnic al afacerii dvs. de a vă deconecta.

Câți clienți ați pierde?

De aceea este important să vă asigurați că furnizorul de servicii SaaS pe care îl alegeți are planuri excelente de recuperare în caz de dezastru și de redundanță și, de asemenea, să înțeleagă ce se întâmplă în cazul cel mai rău că acesta coboară.

Ce compensație financiară le vor oferi în cazul unor întreruperi excesive?

Având o înțelegere profundă a acestui număr, vă împuterniciți să înțelegeți dacă merită să faceți acest lucru atunci când comparați ce înseamnă timpi de întrerupere excesivi pentru linia de jos.

4. Conducerea înregistrărilor de audit SaaS

Indiferent de tipul de afacere în care lucrați, ar trebui să puteți recupera înregistrări de la furnizorul dvs. de cloud în orice moment pentru a verifica înregistrările sau pentru a monitoriza accesul la serviciul dvs. și la datele pe care le stocați pe acesta.

Informațiile disponibile pentru dvs. de la furnizorul dvs. de cloud vă vor afecta capacitatea de a răspunde la o activitate negativă sau rău intenționată.

Când vă uitați la un furnizor de servicii, asigurați-vă că sunteți pe deplin conștienți de ce informații vă pot fi puse la dispoziție și în ce interval de timp.

Selectați un furnizor SaaS care vă va oferi încrederea că informațiile pe care le furnizează vă vor satisface nevoile de a face față atacurilor sau comportamentelor rău intenționate.

Ref: https://www.digitalmarketplace.service.gov.uk/g-cloud/services/470396712955449

Audit de conformitate a securității.

Verificarea conformității cu securitatea este o evaluare a unui furnizor de servicii cloud (CSP) pentru cerințele legate de securitate. At the very least a CSP should be able to ensure compliance with regulations and standards, as well as deploy their customers’ applications and store their data securely.

The regulations and standards which a SaaS provider must adhere to significantly depend on the industry sector of their clients.

In the healthcare and utility sectors, there are strict data privacy and protection regulations requirements.

If a cloud service provider wishes to serve clients in these sectors, they must prove that they comply with the standards and regulations of the Health Insurance Portability and Accountability Act (HIPAA), the Payment Card Industry Data Security Standard (PCI DSS) and the Federal Risk and Authorization Management Program (FedRAMP).

In order to meet these, their solution must have characteristics such as dynamicity, multi-tenancy, and elasticity.

Regulatory organizations such as HIPAA and PCI DSS state that it is the responsibility of both sides to adhere to standards and regulations.

If you are operating in these sectors and looking for a SaaS provider, it is also your responsibility to make sure that they are up to date with compliance.

Cloud providers may be asked by users at any point to demonstrate evidence of compliance with these regulatory requirements in different industry sectors.

The figure above illustrates the landscape of cloud security compliance. SaaS vendors that provide tenants with credible and trustworthy compliance information at any time hold a significant competitive advantage and are likely more reliable than others in comparison.

Compliance standards in the cloud.

There are two types of standards when ensuring compliance with different security frameworks in the cloud: vertical and horizontal.

The horizontal standards may be applicable to many industries across the board, while the vertical standards are specific to each industry.

Various standards, both horizontal and vertical, have been supplemented to guide certification in the area of cloud computing and software as a service.

Apart from these two frameworks, other organizations and groups such as the Cloud Security Alliance (CSA) have addressed standardization issues related to SaaS.

They promote best practices to streamline the security levels provided in cloud computing.

The CSA’s cloud security governance, risk management, and compliance stack encourage service providers and cloud tenants to build mutual trust and increase compliance standards.

Modular compliance approach.

As previously discussed, certain industries must follow stringent compliance standards such as PCI/DSS, HIPAA, ISO 27017 and ISO 27001.

These industries, hold highly sensitive information about users and must, therefore, adhere to very high-security requirements.

[/quote]

This often results in a need for a large set of controls that must exist in the cloud infrastructure of the SaaS provider.

[/quote]

Nonetheless, there are many crossovers and similarities between the requirements of these standards in data storage integrity, data storage obfuscation and access control.

Therefore a reputable SaaS should make baseline security provisions that cover the most common requirements across different industries and regulations.

This baseline dynamic in the cloud to be adapted and changed for different compliance frameworks and clients.

Likewise, in order for there to be an efficient auditing approach, there should be a modular structure which supports these common requirements in the baseline security requirement which allows for additional control modules to be added as needed for additional frameworks.

Essential Security Accreditations for SaaS Solutions: Mitigated Responsibilities & Protocol

When selecting a SaaS provider, it is important to compare and understand all of the information we have provided for you.

After your research, you should feel that you can trust their application, infrastructure, and procedures.

If you do not have this trust or the cloud service fails you, you are vulnerable to security issues and loss of users, which can directly affect your bottom line. This may have a detrimental effect on your business’ growth, revenue, and credibility.

Source: DivvyCloud

Of course, research and information that you find online or obtain from the SaaS provider can only take you so far and may still leave your doubting the validity of the information.

Accreditations are good indicators of how the provider operates.

To ensure that your cloud service provider has trustworthy security and availability to provide for the application or service you will use, they should meet most of the following five core accreditations.

  1. SOC 2 – Demonstrates a level of trust.
  2. ISO 27001 – Demonstrates the security management of Information.
  3. ISO 27018 – Level of protection of personally identifiable information.
  4. PCI DSS – Demonstrates the level of security for payments.
  5. ISO 22301 – Demonstrates continuity of business.

Many corporations will not work with SaaS providers unless the meet these five accreditations.

1. SOC 2 – Trust

SOC 2 is a standard designed specifically for SaaS operations. It is based on the five trust service principles:

  1. Security: does it protect against unauthorized access?
  2. Availability: can they ensure it will be up and running?
  3. Processing integrity: does it perform all transactions correctly?
  4. Confidentiality: is information in the system properly protected?
  5. Privacy: is personal data handled correctly?

A SOC 2 report demonstrates the infrastructure, software, people and procedures that a SaaS provider has in place to provide a service based on these aforementioned principles.

Each SOC 2 report includes the principles of security and availability as these are arguably the most important.

If a cloud service does not protect against improper access or has no standards to ensure it stays running, then there is no use of the service for the customer – it ultimately defeats the purpose for you to use a cloud service.

Likewise, the confidentiality principle is also extremely important and common, as most SaaS systems hold valuable data for their clients, and therefore the way they handle this data should be carefully monitored.

On the other hand, the principles for processing integrity and privacy will usually only be in reports of SaaS systems which deal with financial transactions or personal health data where these principles are more relevant.

In order for a provider to obtain SOC 2, they must undergo thorough testing and auditing by a third-party. So that it is a trustworthy accreditation and indication of trust for the provider.

2. ISO 27001 – Information security management

ISO/IEC 27001:2013 is the international standard for an ISMS (information security management system) – a risk-based approach to information security that encompasses people, processes and technology. Independently accredited certification to the Standard is accepted around the world as proof that an organization is following information security best practice.

In the context of cloud services, it sets out to keep information that is entrusted to SaaS providers by third parties secure.

For a SaaS provider to achieve the ISO 27001 accreditation, they must have a systematic and documented approach to securing data in place, under the information security management system (ISMS) compliance umbrella.

Every cloud service provider’s ISMS will be uniquely implemented and always rigorous.

SaaS providers with ISO 27001 certifications prove that they take threats and vulnerabilities to their systems very seriously.

ISO 27001 compliance gives confidence to all stakeholders that international best practice to mitigate threats and vulnerabilities is strictly being followed.

ISO 27001 enabled cloud service providers set compliance in place to not only avoid penalties but for also regulatory and reputational purposes.

3. ISO/IEC 27002

Whilst ISO/IEC 27001 is a certification standard that formally defines the mandatory requirements for an Information Security Management System (ISMS), ISO/IEC 27002 is a generic code of practice guideline document used to indicate suitable information security controls within the ISMS.

ISO/IEC 27001 incorporates a summary of controls from ISO/IEC 27002.

It recommends information security controls addressing information security control objectives arising from risks to the confidentiality, integrity and availability of information.

Organizations that adopt ISO/IEC 27002 must assess their own information risks, clarify their control objectives and apply suitable controls using the standard for guidance.

The standard is structured logically around groups of related security controls. Among the best practices called for in ISO/IEC 27002 are:

  • Data access controls.
  • Cryptographic control of sensitive data.
  • Management and protection of encryption keys.
  • Recording and archiving “all significant events concerning the use and management of user identities and secret authentication information” and protecting those records from “tampering and unauthorized access.”

Here is a breakdown summarizing the 18 sections or chapters in ISO/IEC 27002:

  • Section 0: Introduction.
  • Section 1: Scope.
  • Section 2: Normative references.
  • Section 3: Terms and definitions.
  • Section 4: Structure of this standard.
  • Section 5: Information security policies.
  • Section 6: Organization of information security.
  • Section 7: Human resource security.
  • Section 8: Asset management.
  • Section 9: Access control.
  • Section 10: Cryptography.
  • Section 11: Physical and environmental security.
  • Section 12: Operations security.
  • Section 13: Communications security.
  • Section 14: System acquisition, development, and maintenance.
  • Section 15: Supplier relationships.
  • Section 16: Information security incident management.
  • Section 17: Information security aspects of business continuity management.
  • Section 18: Compliance.

4. ISO/IEC 27018 – Protection of personally identifiable information

ISO/IEC 27018 is the code of practice for the protection of personally identifiable information (PII) in public clouds acting as PII processors, and it focuses on protecting the personal data in the cloud.

ISO 27018 compliant SaaS providers are first mandatorily ISO 27001/2 compliant, and then have to work in two ways:

  1. Augment existing ISO 27002 controls with specific items for cloud privacy, and then
  2. Provide a completely new set of security controls for personal data.

Because of its popularity, some certification bodies are starting to issue certificates against ISO 27018 – it must be pointed out these are not regular certificates (since such certificates are possible only for management standards, and ISO 27018 is not such a standard) – it seems these certificates are issued as part of the wider ISO 27001 certification audit.

The table below outline the expected additions to the existing IS 27001/27002 controls required for IS) 27018 compliance:

ISO 27001/ISO 27002 Control Section Level of additional items in ISO 27018
5 Information security policies Moderate
6 Organization of information security Low
7 Human resource security Low
8 Asset management Low
9 Access control Low
10 Cryptography Low
11 Physical and environmental security Low
12 Operations security High
13 Communications security Low
14 System acquisition, development and maintenance Low
15 Supplier relationships Low
16 Information security incident management Moderate
17 Information security aspects of business continuity management Low
18 Compliance Moderate

And then the new set of security controls for the protection of personal data in the cloud are:

  • Rights of the customer to access and delete the data.
  • Processing the data only for the purpose for which the customer has provided this data.
  • Not using the data for marketing and advertising.
  • Deletion of temporary files.
  • Notification to the customer in case of a request for data disclosure.
  • Recording all the disclosures of personal data.
  • Disclosing the information about all the subcontractors used for processing personal data.
  • Notification to the customer in case of a data breach.
  • Document management for cloud policies and procedures.
  • Policy for return, transfer, and disposal of personal data.
  • Confidentiality agreements for individuals who can access personal data.
  • Restriction of printing personal data.
  • Procedure for data restoration.
  • Authorization for taking the physical media off-site.
  • Restriction of usage of media that does not have encryption capability.
  • Encrypting data that is transmitted over public networks.
  • Destruction of printed media with personal data.
  • Usage of unique IDs for cloud customers.
  • Records of user access to the cloud.
  • Disabling the usage of expired user IDs.
  • Specifying the minimum security controls in contracts with customers and subcontractors.
  • Deletion of data in storage assigned to other customers.
  • Disclosing to the cloud customer in which countries will the data be stored.
  • Ensuring the data reaches the destination.

SaaS providers with ISO 27018 compliance provide excellent cloud-specific security details.

Newer SaaS providers will typically start with ISO 27001 compliance and add bits and pieces from ISO 27018 as they progress to be fully ISO 27018 compliant.

5. ISO/IEC 22301 – Business continuity

Disruptive incidents and loss of service can be extremely costly for SaaS companies and the businesses that they serve.

ISO 22301 requires cloud service or SaaS providers to instate a detailed business continuity strategy.

As defined by the ISO, this set of standards specifies requirements to “plan, establish, implement, operate, monitor, review, maintain and improve your infrastructure, to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise.”

For a SaaS business to achieve ISO 22301 compliance, the compliance of its infrastructure partner or IaaS provider is critical.

Achieving the controls and standards of this certification is to a large degree hardware dependent.

You need to check the accreditation of the cloud hosting providers of the SaaS providers that you partner with.

Here is an ISO 22301 checklist summary:

  1. Management support: Getting management buy-in both financial and human resources.
  2. Identification of requirements: List all requirements and define how to communicate with each of the stakeholders/interested parties.
  3. Business continuity policy & objectives: Define some of the main responsibilities and rules in your business continuity policy.
  4. Support documents for management systems: Define your procedures: documents and records control, internal audit, and corrective actions.
  5. Risk assessment & treatment: Define incidents and which controls (i.e., safeguards) you can apply to mitigate them.
  6. Business impact analysis: Define how quickly you need to recover (before you go bankrupt), and what you need in order to succeed with such recovery.
  7. Business continuity strategy: Outline how to achieve all this with a minimum level of investment.
  8. Business continuity plan: Set up incident response plans by defining the initial reaction to an incident, and recovery plans that outline actions to be taken to get back running again.
  9. Training & awareness: Manage the training of employees and third parties on how to perform certain steps in your plan.
  10. Documentation maintenance: Detail continuous changes to reflect the current circumstances.
  11. Exercising & testing: Perform regular exercising and testing.
  12. Post-incident reviews: Document and review reactions, preparedness, and improvements to after incidents occur.
  13. Communication with interested parties: Institute a communication plan with regulatory bodies, authorities, owners, employee’s families, media all interested parties.
  14. Measurement and evaluation: Measure the achievement of RTO during exercising & testing.
  15. Internal audit: Conduct an internal audit for checks and balances.
  16. Corrective actions: Find out why the problem has happened and how to make sure it never happens again.
  17. Management review: Conduct top management review, evaluation and decision making.

6. PCI DSS – Payment Card Industry Data Security Standards

The Payment Card Industry Data Security Standard (PCI DSS) is a standard mandated and enforced by all major payment card brands including Visa, MasterCard, and American Express, to increase controls on cardholder data in a bid to reduce the risk of fraud.

They merged their independent security programs into the PCI DSS.

If your organization handles credit or debit card information for payment processing, you will need to follow Payment Card Industry Data Security Standards (PCI DSS).

Why is PCI DSS important?

As much as PCI DSS is not a government regulation, it carries almost equal weight as law.

Hacks and financial data breaches often have a negative impact on trust, revenue and ultimately lead to penalties or fines being issued.

Implementing the standards in your organization can help reduce the risk of a breach involving payment card information.

Target, the second-largest department store retailer in the United States had a major breach of cardholder data that not only damaged the company’s reputation with its consumers, leading to 46% drop in profit, but also resulted in the resignation of both its CIO and CEO.

In the event of a breach, PCI compliance reduces the risk of fines levied by credit card brands. In 2010 Heartland Payment Systems had a data breach, and Visa fined it $60 million.

Fines levied by payment card brands tend to be sent to the merchant bank that processes your credit card transactions.

The banks ultimately pass the bill to your company and will typically also increase transactions fees or on rare occasions terminate your business relationship altogether.

Tessa Wuertz, Director of Marketing at efelle creative, explains why protecting customers’ data is so important and why she looks to SaaS solutions:

“Trusting a one-off developer who you met online with other people’s credit cards is a risky way to do things. In the ecommerce world, your customers are trusting you with their credit card.

By making sure that the solution to your problem has been well researched, you are ensuring your customers that they can trust you and their information is in safe hands.”

Validation Requirements

Each credit card brand has different validation requirements.

Visa, for instance, uses transaction volume to divide merchants into four levels. Each level requires additional validation requirements and starts to apply to merchants that process over 20,000 Visa transactions per year.

Here is a summary:

Qualified Security Assessors (QSAs) and Approved Scanning Vendors (ASVs) perform validation.

Annual and quarterly validation steps include:

  • Complete Report on Compliance (ROC).
  • Perform vulnerability scanning by a PCI SSC-approved scanning vendor (ASV).
  • Complete Attestation of Compliance for service providers or merchants, if applicable.
  • Submit ROC, passing scan, and Attestation of Compliance to acquirer or payment brand.

The 12 PCI Requirements

The PCI DSS compliance outlines 12 individual compliance requirements. Each of the 12 requirements contains detailed sub-requirements.

The PCI DSS primarily applies to security controls that protect card account numbers. But whenever your organization stores or handles card account numbers, additional card cart data, such as the cardholder name, address, expiration date, and service code must also be secured.

Organizations are mandated to never store sensitive authentication data such as magnetic stripe data, chip card data, CVC, CVV, and PIN numbers.

For PCI DSS compliance, all merchants are required to submit annual and quarterly reports.

Category Requirements
Build and Maintain a Secure Network 1. Install and maintain a firewall configuration to protect cardholder data.
2. Do not use vendor-supplied defaults for system passwords and other security parameters.
Protect Cardholder Data 3. Protect stored cardholder data.
4. Encrypt transmission of cardholder data across
Maintain a Vulnerability Management Program 5. Use and regularly update antivirus software on all systems commonly affected by malware.
6. Develop and maintain secure systems and applications.
Implement Strong Access Control Measures 7. Restrict access to cardholder data by business need-to-know.
8. Assign a unique ID to each person with computer access.
9. Restrict physical access to cardholder data.
Regularly Monitor and Test Networks 10. Track and monitor all access to network resources and cardholder data.
11. Regularly test security systems and processes.
Maintain an Information Security Policy 12. Maintain a policy that addresses information security.

According to a Verizon compliance report, only 11% of organizations meet all 12 PCI requirements.

How Cloud Services Achieve PCI DSS Compliance

How are key ways cloud rendered services secure PCI DSS compliance:

  • They audit where card data is stored and how card data is transmitted.
  • They prevent card data from being uploaded to unsecure cloud applications by enforcing data loss prevention policies across cloud services.
  • They enforce strong password policies using single sign-on solutions.
  • They ensure the capture of audit trails of every user action including user, date and time stamps, results, and affected resource names using third-party auditing tools if not natively available.
  • They carry out regular audit security checks and stress tests using third-party assessors of cloud providers.
  • They create an incident response plan and implement an anomaly detection solution across cloud services to detect security breaches.
  • They encrypt data stored in cloud services using tenant managed encryption keys so data is inaccessible to third parties in the event of a breach to reduce liability.
  • They have options to bring the storage and processing of cardholder data onto internally controlled systems. This basically creates a hybrid cloud.

Compliance with Third Party Payment Providers

An alternative option for PCI DSS compliance for cloud based services is to offload all payment card operations to a third party payment processors like PayPal sau Stripe.

If PCI compliance is handled by PayPal, it offers services such as Website Payments Standard, Online Invoicing, and PayPal Checkout.

PayPal in effect handles payment card information on your behalf with all PCI Compliance risks offloaded to PayPal.

If PCI compliance is to be handled by store owners, PayPal offers two services Website Payments Pro or Virtual Terminal to handle card payment data directly.

Stripe another payment processor is audited by an independent PCI Qualified Security Assessor (QSA) and is certified as a PCI Level 1 Service Provider, which is the most stringent level of certification available.

Third party payment providers still emphasize that PCI compliance is a shared responsibility that applies to both them and merchants; and so advise that accepting payments, must be conducted in a PCI compliant manner.

The simplest way to achieve PCI compliance is to never see (or have access to) card data at all. Services like Stripe ensure PCI compliance to merchants on the following basis:

  1. That they use Stripe’s Checkout, Stripe.js and Elements, or Strips mobile SDK libraries to collect payment information, which is securely transmitted directly to Stripe without it passing through any other servers.
  2. That merchants serve their payment pages securely using Transport Layer Security (TLS) so that they make use of HTTPS.
  3. And that merchants review and validate their account’s PCI compliance annually.

7. Security Questions to Ask Your SaaS Provider

Now that you have a working understanding of SaaS security, the questions outlined below will help you quickly assess the security readiness of any SaaS provider you want to engage with or even existing providers so that you ramp up security.

Do you provide a single-tenant hosting option for separating our data from other customers?

In a multi-tenant SaaS deployment, your organization’s data may sit side-by-side with other companies data.

This may pose a risk of data leakage out of your environment.

Even with virtualization, although separation is easier, virtual operating systems are still subject to the same risks and vulnerabilities

Your SaaS providers should be able to show you the results of regular tests they run for data leaks.

If they are unable to, then you are probably better off insisting on a single-tenant data storage option.

How do you handle penetration testing?

Your SaaS provider should regularly run threat assessments as well as tests that verify its ability to withstand denial-of-service attacks.

If a service provider doesn’t invest in creating regular processes for penetration testing, its risk increases exponentially.

Can you share your backup and recovery plan? Do you run cloud-to-cloud backups?

Get an understanding of their business continuity strategy in the face of denial-of-service attacks and natural or man-made disasters.

Information such as the physical location of their hosting facility as well as data ownership laws within those jurisdictions will be helpful.

What breaches has the company had if any, and how did it manage them?

Focus on their resolution and policy changes after the breach.

How does the provider’s security policy match my company’s?

Run a like-for-like comparison of your organization’s security policy against the SaaS provider’s security policy.

In some cases, a SaaS provider’s security measures could be more sophisticated than that of their small to mid-sized customer’s capabilities.

What are your user authentication and user sign-on policies?

Although a great majority of SaaS applications are securely assessed via the Internet with a username and password, a growing number of companies are working with their service providers to pull the SaaS sign-in process into the bounds of their firewall or VPN, providing a higher degree of authentication.

What data encryption policies do you have in place for the storage and transfer of data?

Insist on the strongest encryption levels possible. 128-bit SSL encryption is now fairly typical, strive to higher encryption levels wherever possible.

Who manages the application on the back end, and what policies are in place to thwart insider breaches?

What do user administration rights look like? Who has the right to view certain tiers of data?

Data and ecommerce security is too important of a responsibility to employ alone. Plus, managing the servers and the teams that protect data can develop into a costly venture for any ecommerce business.

Johnny Gregory, Client Partner at Fortuitas, emphasizes the importance of ecommerce security and wisely choosing a secure platform:

“Use trusted solutions, don’t try to tackle it on your own, i.e. self hosting your ecommerce website. That can get very costly and is often times insecure unless you have a network security team.”

BigCommerce takes care of website hosting and security—giving teams more time to run their companies.

Hosted ecommerce platforms are often more secure and don’t require a high level of expertise compared to self-hosted software solutions.

Each BigCommerce store is protected by multiple layers of security to prevent unauthorized access, including perimeter and server-specific firewalls, file integrity scanners, intrusion detection software, and 24/7 human monitoring.

Online store data is also replicated on two data centers at a minimum, with backups hosted at a third site.

With servers certified at Level 1 PCI DSS 3.2, our ecommerce platform defends against credit card data breaches and eliminates the massive cost and hassle of handling compliance in-house.

All BigCommerce plans offer HTTPS across the entire site. Shoppers can feel comfortable knowing an online store is secure from the first page they visit through the checkout process.

Moreover, cutting-edge DDOS mitigation can cost more than $5,000 a month on traditional hosting platforms. With no extra cost to our Enterprise users, this benefit is our standard to protect websites from attacks.

Safeguarding data from breaches and managing all aspects of ecommerce security shouldn’t strain a business. BigCommerce alleviates the pressure with unmatched security performance.



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *