7月26日,销售易研究院发布《销售易信任白皮书》(以下简称《白皮书》),从近几年全球范围内数据安全事件频发、各国立法加快的现状入手,梳理了当前企业面临的安全隐私合规挑战及解决方向,并在国内第一次提出“CRM安全选型清单”,旨在为企业选型或评估CRM厂商安全性提供参考。
一、传统软件or SaaS,哪个更安全?
随着《数据安全法》《个人信息保护法》的颁布,开展并落地数据安全、隐私保护、合规工作对于企业来说已经迫在眉睫。提到安全,传统软件的部署模式和SaaS模式谁更安全是企业绕不开的话题。
Gartner发布的《中国云安全市场概览》分析,“国内市场对于数据物理位置的关注超越了安全本身”,很多企业认为传统软件部署不需要将数据上传给第三方,更加私密可控。
针对这一误区《白皮书》指出,数据储存在自有服务器≠安全,在传统软件模式下,企业承担了所有的安全责任,在业务应用需要与公网连通的情况下,如果没有完善的安全防护体系、安全架构、安全防护能力和安全人才,依然可能遭受攻击或遭到内部人员数据泄露。
而SaaS模式下,云服务商依照安全责任共担模型,与企业共建安全。
企业可以在有限的能力下集中关注自己所承担的那部分安全责任。
而对于一般SaaS厂商来说,数据安全是生存之本,除了具备完善的安全管理制度外,往往具备全面的安全防护手段、开放且安全的软硬件环境、专业的安全团队、容灾措施等来保障企业的数据安全。
图片来自艾瑞咨询《2021年中国云安全行业研究报告》
《白皮书》还提到,在现实条件下企业除了追求安全性以外,还要平衡业务发展,而SaaS凭借开发时间短、投入成本低、更新迭代快、开放性强的特点,更适合数字化转型中的企业。
二、CRM厂商的安全性,怎么评估?
Gartner分析师在谈到《中国云安全最佳实践》报告时指出云上是安全的,但也指出了企业需要去评估云服务商的安全性,从中选择安全实力更强的服务商。落到CRM的选择上,CRM系统因为沉淀了大量的业务和个人数据,其安全性不言而喻。
但是如何有效评估CRM厂商的安全性,目前却没有一套可行的参考标准。《白皮书》在国内CRM行业第一次提出“安全选型清单”,为企业选型或评估CRM厂商安全性提供参考。
“安全选型清单”划分为软指标和硬指标。硬指标主要包含产品能力、技术安全、安全架构三方面,属于“可评可考”的指标,软指标包含最佳实践、安全管理、资质认证三方面,能够佐证CRM厂商的安全能力。
图:安全选型清单(简化版)
如需查看完整版,可点击最下方下载白皮书
三、不同属性企业如何面对合规难题?
数据安全事件频发引发了各国关注,随即加快了相关的立法节奏。目前全球80%以上的国家和地区已经完成相关立法,我国也不例外,在2021年相继颁布了《数据安全法》《个人信息保护法》,并在近期颁布《数据跨境传输管理办法》,可见国家规范数据安全,保护个人隐私的决心。
新法落地确保了数据有序流通,同时各个国家之间的立法差异也为企业带来了合规挑战。
《白皮书》为国内企业、跨国企业的国内分支机构及出海企业在面对合规挑战下应该关注哪些方面给出了建议:
· 本土企业:关注新法下企业应承担的数据安全、隐私保护责任,从源头关注数据安全,保障数据主体行使数据权利;
· 跨国企业:“本地存储”原则下,关注国内涉及“数据出境”相关的立法动态并积极了解本土市场环境;
· 出海企业:除关注法规本身,还要关注潜在的合规风险因素,比如文化、宗教等。除此外,如海外业务涉及多个国家还需要关注多国立法差异和立法冲突。
除了为不同企业“划重点”,销售易基于自身安全隐私合规能力为每一类企业提供不同的CRM方面的相关服务,具体可通过《白皮书》了解。
四、安全隐私合规,五百强企业在怎么做?
数字化程度较高的五百强企业和出海企业,由于业务可能涉及多个国家和地区,在数据安全、隐私保护方面更为看重,往往在内部形成了一套严格而缜密的安全标准。
在选定意向的CRM厂商后,以内部安全标准为依据,开启对CRM厂商全方位的安全评估。安全评估涉及到技术安全、产品能力、安全制度、资质认证等多个方面。
除了全面了解CRM厂商的安全能力外,企业还会根据自身的关注点,对CRM厂商安全性的某一方面进行深入细致的了解。
比如某金融企业关注业务连续性和容灾措施,某汽车企业更关注安全威胁处理,部分企业在可能涉及数据跨境传输的情况下会关注数据跨境和数据存储细节(比如存储期限、传输路径、传输方式)等。
除了企业内部发起安全评估或安全调研外,五百强企业或出海企业还会引入第三方评估的方式,为其提供更为全面的参考,比如律师事务所、安全厂商等。通过企业内部评估和第三方评估,达到全面深入了解CRM厂商安全能力的目的。
五百强企业如何具体评估CRM安全性?
销售易如何满足这些企业的安全高要求?
可点击下载白皮书了解。
除了以上内容,《白皮书》还展示了销售易在安全、合规、隐私方面的工作和取得的成果。
尤其在产品能力方面,销售易将数据安全和隐私保护融入到产品能力当中,客户可选择使用加密、脱敏、水印、日志、细粒度权限管控等功能,通过使用销售易的产品安全功能,帮助企业更好地履行相关责任。
销售易希望通过自身安全能力及安全实践,为企业提供更值得信赖的CRM选择。