Olemme eläneet jo pitkään SaaS-palveluiden kulta-aikaa. Software as a Service on vakiintunut yleisimmäksi tavaksi myydä ja ylläpitää ohjelmistoja. Harva ostaa enää pelkkää ohjelmistoa, vaan nykyisin ostetaan englanninkielisen ilmauksen mukaisesti ohjelmistopalvelu josta maksetaan tavallisesti kuukausi tai vuosimaksua.
Tämä trendi ei näytä katoavan minnekään. Päinvastoin – esimerkiksi Gartnerin raportin mukaan SaaS-markkinat tulevat kasvamaan lähivuosina entisestään. Luultavasti myös sinun yritykselläsi on jo käytössä joitakin SaaS-ratkaisuja. Olen kuitenkin varma, että tulevaisuudessa niitä on vielä enemmän. Siihen on myös hyvä syy; saat käyttöösi nopeaa, vakaata, innovatiivista ja kustannustehokasta teknologiaa ja sovellusinfraa.
Vastuullinen yritysjohtaja ottaa kuitenkin huomioon useita tekijöitä, ennen kuin päättää investoida SaaS-ratkaisuun. Dorthe, yksi asiantuntijoistamme, on aiemmin kirjoittanut artikkelin asioista, jolla varmistetaan SaaS-ratkaisun onnistunut käyttöönotto. Silläkin on tietenkin väliä, miten ohjelmisto on toteutettu, mutta myös sellaiset asiat kuin; Toimivuus, taloudellisuus ja tietoturva ovat yhtä merkityksellisiä. Mitä tarpeita ratkaisun tulee tukea? Mikä on sen kustannus ja käsitelläänkö tietoja turvallisesti?
Käyn tässä artikkelissa läpi erityisesti turvallisuuspuolta. On nimittäin pahimmillaan todella kallista ja ikävää, jos valittu SaaS-toimittaja ei ole tehtäviensä tasalla ja jättää tietoturvavastuunsa huomioimatta.
Uutta teknologiaa, enemmän dataa ja enemmän riskejä
Esimerkiksi Acubizin kotimaassa Tanskassa yritykset ottavat käyttöön uusia teknologioita ja ratkaisuja ahkerasti. SaaS-ratkaisujen läpi kulkee jatkuvasti yhä suurempia tietomääriä. Dell Technologiesin Global Data Protection Index -raportin mukaan suuret tietomäärät tekevät myös tietojen suojaamisesta haastavampaa.
Raportissa kyselyyn vastanneista IT-päättäjistä 71% kertoo, että uudet teknologiat, kuten tekoäly sekä 5G ja erilaiset rajapinnat, tekevät tietosuojasta monimutkaisempaa. He sanovat myös, että uudet teknologiat voivat muodostaa todellisen uhan tietoturvalle.
Tämä korostaa aiemmin sanottua: Ole tarkkana sen kanssa miten SaaS-toimittajat käsittelevät tietojasi.
Kuka on vastuussa tietoturvasta?
Tietoturva on laaja käsite. Se kattaa kaiken palomuureista ja salasanahallinnasta – ohjelmistopäivityksiin, varmuuskopioihin, henkilötietojen oikeaan käsittelyyn jne. Nyt puhutaan ensisijaisesti SaaS-ratkaisun läpi kulkevien tietojen suojaamista.
Eri järjestelmissä käsitellään erityyppisiä tietoja. Esimerkiksi CRM-järjestelmissä käsitellään asiakastietoja ja palkkajärjestelmissä palkka- ja henkilöstötietoja. Me Acubizilla hallinnoimme esimerkiksi luottokorttitietoja, laskutustietoja ja työntekijöiden työaikadataa, mikäli käytössä on digitaalinen työaikaratkaisumme: Acubiz Time.
Olen varmasti sanonut tämän ennenkin, jossakin näistä blogikirjoituksistani, mutta asia on niin tärkeä, että toistan sen aina kun minulla on mahdollisuus: Sinä ja SaaS-toimittajasi jaatte yhdessä vastuun tietoturvasta. Myyjä huolehtii kaikesta taustalla olevaan infrastruktuuriin liittyvästä, kun taas sinä olet vastuussa siitä, että sovellusta käytetään turvallisesti ja oikein.
Tämä tarkoittaa, että SaaS-toimittaja luonnollisesti ottaa vastuun siitä, että asiakkaan tietoja säilytetään suojatussa ympäristössä. Toimittaja huolehtii siitä, että palvelimen asetukset ovat turvallisia, palomuurit on asennettu ja tiedot on kryptattu. SaaS-toimittaja huolehtii, että varmuuskopioinnista on huolehdittu asianmukaisesti ja että ohjelmistot ovat aina ajan tasalla. SaaS-toimittaja huolehtii myös mm. siitä, että sisäiset tietojenkäsittelyprosessit ovat kunnossa.
Asiakkaan, eli teidän yrityksenne vastuulla on sitä vastoin varmistaa, etteivät käyttäjät käytä salasanoja uudelleen tai kirjoita niitä ylös paikkoihin, joista muut voivat ne löytää. Vastuullesi kuuluu myös varmistaa, että käyttäjät tietävät kuinka suojata tietojaan, kuten henkilöllisyyttään, käyttäjätunnustaan ja salasanaansa.
Mitä tietoturva-asioita tulisi ottaa huomioon?
SaaS-ratkaisut voivat sisältää suuren määrän yritys- ja henkilötietoja. Koska monet käyttäjät käyttävät niitä tyypillisesti useilta eri laitteilta, ne muodostavat helposti merkittävän tietoturvariskin. Siksi on tärkeää, että muistat tehdä kotiläksysi kunnolla ja tutkit jo ennalta millainen tulokulma SaaS-toimittajallasi on tietoturva-asioihin. En voi korostaa tätä tarpeeksi. Totuus on, että tietoturvaloukkauksia tulee välttää. Vastuu on sekä SaaS-toimittajalla että sinun yritykselläsi.
SaaS-toimittajat ovat tästä varsin tietoisia. Suurimmalla osalla on sen vuoksi käytössä erittäin vahvat turvatoimet ja tietoturvapuoleen on panostettu valtavasti. Nämä yhtiöt käyttävät usein pitkälle kehittyneitä ja turvallisia pilvi-infrastruktuureja, joita valvotaan ja ohjataan yötä päivää. Kun olet markkinoilla uuden SaaS-ratkaisun parissa, kannattaa huomioida ainakin nämä asiat:
1. Millaisia SaaS-toimittajan sisäiset tietojenkäsittelyprosessit ovat?
Useimmat lienevät samaa mieltä siitä, että asiakas- ja henkilöstötietoja sisältäviä sähköpostiviestejä ei pitäisi lennätellä pitkin bittiavaruutta työntekijöiden ja kumppaneiden välillä, ainakaan ilman turvatoimia. SaaS-toimittajien on jatkuvasti testattava ja validoitava omia prosessejaan varmistaakseen että tietoja käsitellään oikein. Samaan aikaan heidän on esitettävä vaatimuksia palvelinkumppaneille, liikekumppaneille ja muille toimittajille, joiden kanssa he tekevät yhteistyötä. On tärkeää määritellä, kenellä ja kuinka monella henkilöllä on pääsy tiettyihin asiakastietoihin. Samoin on tärkeää, että dokumentoidut tiedonhallinnan prosessit ovat käytössä oikean tietoturvan takaamiseksi.
Saatat tietenkin miettiä, että: “mistä ihmeestä sen voi tietää?” Se onkin itseasiassa varsin hyvä kysymys. Yksinkertainen vastaus on kysyä myyjältä heidän sisäisistä prosesseistaan. Toinen tapa olisi selvittää, onko toimittajalle suoritettu ulkopuolista auditointia tietoturvaan liittyen. Voiko SaaS-toimittaja esittää jonkinlaisen sertifikaatin siitä, että heidän tietojenkäsittelyprosessinsa kestävät päivänvaloa? tällainen sertifiointi voisi olla esimerkiksi ISAE 3402 Type II, ISAE 3000 tai ISO 27001 sertifikaatti, joista ensimmäinen on löytynyt Acubizilta jo vuodesta 2016 lähtien. Sertifikaatti on IT-palveluntarjoajien käyttämä kansainvälinen standardi, jossa vaaditaan korkeatasoista turvallisuutta ja valvontaa.
2. Tee tietojenkäsittelysopimus SaaS-toimittajan kanssa
Tämä näkökohta liittyy edelliseen ja sen tutkimiseen, noudattaako SaaS-toimittaja nykyisiä turvallisuusvaatimuksia ja -standardeja, mukaan lukien henkilötietojen säilytystä ja käsittelyä koskevat vaatimukset nykyisen EU:n yleisen tietosuoja-asetuksen puitteissa.
Suosittelen vahvasti, että teet tietojenkäsittelysopimukset SaaS-toimittajien kanssa. Tietojenkäsittelysopimus on kahden yrityksen välinen sopimus, jossa kuvataan, miten tietoja käsittelevän yrityksen tulee käsitellä tietoja. Muista, että tietojenkäsittelysopimuksen on täytettävä erilaiset maakohtaiset vaatimukset ja tulkinnat, jotka ovat voimassa niissä valtioissa, joissa harjoitat liiketoimintaa. Tietojenkäsittelijä voi myös tehdä tietojenkäsittelysopimuksia alihankkijoiden kanssa ja tätä voi olla järkevää myös edellyttää, mikäli alihankkijoita käytetään.
Ilman tietojenkäsittelysopimusta saatat joutua vaikeaan tilanteeseen, jos toimittaja joutuukin tietoturvaloukkauksen uhriksi. Rikkomuksista ja loukkauksista on ilmoitettava tietosuojaviranomaiselle. Seuraukset ja vahingot asianosaisille riippuvat tietoturvaloukkauksen tyypistä. Se voi mahdollisesti johtaa identiteettivarkauksiin, taloudellisiin menetyksiin, anonymisoinnin poistamiseen, luottamuksellisuuden menettämiseen jne.
Tietojenkäsittelysopimus ei tietenkään estä tietoturvaloukkausta, mutta se varmistaa, että on olemassa prosessi sen hoitamiseksi ja kuvaus siitä, kuinka tietoja käsitellään ja miten niitä turvataan.
3. Millaisia lisätoimia SaaS-toimittaja tarjoaa tietoturvan varmistamiseksi?
Tutki, tarjoaako SaaS-toimittaja palveluita, jotka voisivat vahvistaa tietoturvaa entisestään. Esimerkiksi kulunvalvonta kertakirjautumisella on esimerkki palvelusta, joka auttaa pitämään tiedot turvassa.
Kertakirjautuminen (Single Sign-On) on useiden toisiinsa liittyvien, mutta itsenäisten IT-järjestelmien ja sovellusten kulunvalvonta. Yritys voi antaa käyttäjälle pääsyn useisiin järjestelmiin yhdellä kirjautumisella. Se lisää tietoturvaa, sillä identiteettiä ja kulunvalvontaa voidaan ohjata sekä keskitetysti että sisäisesti. Samalla Single Sign-On vähentää: eri käyttäjätunnusten ja salasanojen määrää käyttäjien kesken, kirjautumistietojen syöttämiseen kuluvaa aikaa ja turhia IT-osastolle osoitettuja kyselyitä unohdetuista salasanoista.
Me Acubizissa voimme tarjota kertakirjautumisen sekä verkko- että mobiilisovelluksellemme, mikä tuo etuja sekä käyttäjälle että asiakkaalle.
Kertakirjautumisen määritys vaatii pääsyn Active Directory Federation Services (ADFS) -infrastruktuuriin. Kertakirjautuminen ei sinänsä ole kattava turvatoimenpide, joka lisää tietoturvaasi samalla merkittävästi. Muiden turvatoimien ohella se auttaa päivittämään ja parantamaan yleistä tietoturvaasi.
Suosittelen, että etsit SaaS-toimittajia, jotka pystyvät tarjoamaan lisäturvaa, eivätkä tyydy tekemään vain pakollisia temppuja. Se kertoo myös heidän yleisestä asenteestaan ja asiakkaiden ja asiakkaiden työntekijöiden arvostuksesta. Yksi lisäturvaa tuova asia voisi olla kertakirjautuminen, mutta se voisi olla myös esimerkiksi ratkaisu vaikkapa digitaaliseen arkistointiin.
Pidä nämä visusti mielessä
Olet hyvän ja tietoturvaan vakavasti suhtautuvan SaaS-toimittajan löytämiseksi oikealla tiellä, jos nämä kriteerit täyttyvät:
- SaaS-toimittaja hallitsee sisäiset tietojenkäsittelyprosessit ja/tai omaa ISAE 3402 Type II -sertifikaatin tai vastaavan.
- SaaS-toimittaja tarjoaa pyytämättä täysin kattavan tietojenkäsittelysopimuksen.
- SaaS-toimittaja pystyy tarjoamaan enemmän kuin vain pakollisen tietoturvatason.
Yllämainittujen lisäksi tärkeä edellytys on myös se, että SaaS-toimittaja hallitsee ”perusasiat”, kuten palomuuriasetukset, tietojen kryptauksen ja anonymisoinnin, ohjelmistopäivitykset jne.
Me Acubizilla olemme hyvin tietoisia niistä vastuista, joita asiakkaidemme tietoturvaan liittyy. Uskomme, että vahva tietoturvataso palvelee sitä luottamuksen osoitusta ja investointia, jonka asiakkaamme ovat tehneet hankkiessaan kuluhallintaratkaisumme.