自2022年9月1日起《数据出境安全评估办法》将开始施行,规范数据出境活动,保护个人信息权益,促进数据跨境安全、自由流动。
此前,全球各地已陆续出台众多数据安全、隐私保护等相关法律法规,一旦产生数据安全问题,不仅会给品牌带来巨大的负面影响,还可能面临巨额的罚款,给公司造成严重的经济损失。
在如此严苛的立法背景下,涉及跨境业务的出海企业由于业务涉及不同国家和地区,数据收集和数据传输的复杂性导致不得不面临更多安全、隐私、合规等方面的挑战,如何确保合规经营,以安全保发展、以发展促安全?
针对这一难题,业务流程复杂度较高的中大型企业要更加注意,因为沉淀在企业内部业务系统中的数据多而杂,数据安全往往是管理上的痛点,想要保障数据安全,除了投入大量资金打造自己严格且缜密的信息安全防护体系,还要以此为标准对相关服务商进行安全评估,选择可信赖的伙伴,而这其中,涉及用户信息及业务信息最多的CRM系统更需要谨慎选择。
7月26日,众多500强企业信赖CRM品牌销售易发布了《销售易信任白皮书》(点击下载),梳理了当前企业面临的安全隐私合规挑战及解决方向,并在国内第一次提出“CRM安全选型清单”,旨在为企业选型或评估CRM厂商安全性提供参考。
清单简图
以下为白皮书中世界五百强企业及优秀出海企业评估CRM厂商安全性时的最佳实践案例,希望能为更多企业提供CRM安全选型参考。
一、光伏逆变器龙头企业固德威
固德威是国内高新技术企业的出海代表,其光伏逆变器大规模销往全球100多个国家和地区,户用储能逆变器市占率全球第一。固德威的海外业务涉及欧盟国家,因此所选择的CRM厂商,不但要满足国内《数据安全法》《个人信息保护法》的相关要求,更需要满足欧盟GDPR(即《通用数据保护条例》)的相关规定。
固德威安全评估重点
· GDPR合规能力
· 数据存储和数据传输细节
固德威对销售易进行了隐私安全合规性评估,评估涉及企业治理及管理、数据处理、数据传输、数据存储安全、数据收集、隐私权利响应6个方面,要求销售易对现状及差距进行分析,给出改进建议、跟进整改进程。
固德威重点考察了销售易个人数据的传输和存储。对销售易产品下不同的个人用户数据类型的传输路径、传输方式、存储位置、跨境情况、存储期限及是否传输第三方等进行深入了解。
固德威还聘请了荷兰律师事务所,按照GDPR要求对销售易进行评估,以确保销售易作为“数据处理者”的身份满足GDPR合规,最终销售易通过了评估。
二、欧洲汽车品牌-国内分支机构
该企业在欧洲豪华车品牌中占有一席之地,距今已经有百年历史,对CRM厂商的安全性、隐私性要求极高。
该企业安全评估重点
· 企业微信认证及登录
· 安全威胁抵御能力
· 安全设计、管控流程
企业微信是该企业计划开展业务的重要渠道。因此,销售易的企微登录认证能力、与第三方统一认证平台对接能力、以及客户同步能力成为该企业对销售易进行安全评估的第一步。该企业还要求销售易梳理了企微登录、与第三方统一认证平台对接的详细处理流程。
应该企业要求,销售易需登录安全公司NETSCOPE网站,回答100多个关于安全威胁处理的问题,用以评估销售易面对安全攻击和突发情况的应急能力。除问卷外,企业还安排第三方安全厂商对销售易进行了安全渗透测试并出具报告,证明销售易SaaS站点不存在高危、中危漏洞的威胁。
销售易还基于微软的STRIDE防御模型回答了50多个安全防御相关的问题。
该企业从内部安全控制标准规范出发,对销售易进行问卷调查与评估。问卷涵盖应用错误处理、客户端会话保护、解决方案配置及组件文档化、正确使用加密、开发过程源代码安全管理、密码管理文档化与正确实现,开发、测试、生产环境安全隔离、安全日志审计等维度,考察销售易在安全设计、管控流程方面是否符合其规范要求。
三、世界五百强电气企业-国内分支机构
该企业与销售易的合作始于 2021年6月。此时全球范围内对于数据安全、隐私保护的立法加快,我国也不例外,《数据安全法》已被通过并准备实施。此外,在中美贸易摩擦下已有美国软件公司断供中国企业的先例,Salesforce等国际品牌在服务稳定性和数据安全性方面存在诸多不确定因素。该企业希望选择国内CRM品牌确保合规性。
该企业安全评估重点:
· 国内合规(境内存储)
· 全面的安全能力
该企业通过问卷形式对销售易开展供应商安全评估。问卷涉及“本地部署”“SaaS”及“外部托管”三种部署方式,问题角度涵盖安全技术、管理制度、合规性、认证等方方面面,严格考核销售易的隐私保护能力,数据安全能力及合规性。
想要满足该企业严格的安全标准,需要CRM厂商提供一系列的产品安全能力。例如销售易CRM所提供的加密、脱敏、水印、数据访问日志等产品安全能力,能够帮助该企业更好地履行数据安全及隐私保护责任。
四、世界五百强金融企业
金融行业掌握着大量个人用户数据,因其收集和处理信息的敏感性,在大多数国家和地区都是被重点监管的行业之一,也是遭受网络攻击最多的行业之一。业务属性决定了金融企业对CRM厂商的安全隐私能力要求极高。
该企业安全评估重点:
· 印尼数据安全合规能力
· 业务连续性及容灾措施
· 整体安全隐私合规能力
该企业与销售易的合作,以印尼为试点展开。印尼虽地处东南亚,但却有着明确的数据本地化要求。因此,能够在印尼本地设立数据中心,满足印尼相关法律要求成为该企业选择CRM厂商的首要标准。
对于金融行业重点关注的业务连续性问题,该企业要求销售易单独提交了报告,以证明销售易在容灾方面具备充分的技术保障。
在数据安全方面,该企业作为金融行业巨头,在内部早已建立了一套严密的数据安全管理体系,要求销售易就《外部服务商问卷》的27个维度的不同问题进行书面回答,对于不明确的问题需要单独开会进行澄清。
总结
从以上四个案例中不难看出,对于数据安全、隐私保护、合规有着严格要求的世界五百强企业及优秀的中国出海企业,在评估CRM厂商安全能力时,普遍采用了全面评估+重点评估,以及企业评估+第三方评估的方式,通过不同角度、维度的验证,确保CRM厂商的安全实力。
当然,所有在数字时代中的企业都要面对数据安全、隐私、合规问题,但不同的业务属性让企业关注的侧重点各有不同,《销售易信任白皮书》除了为企业提供通用的“CRM安全选型清单”,帮助企业评估CRM厂商的安全能力,还聚焦企业当前普遍关注的核心安全话题,如“传统软件模式VS SaaS模式谁更安全?”“面对合规困境,跨国企业、本土企业、出海企业需要如何做?”等,将趋势解读+观点建议+安全积累+最佳实践融入其中,下载销售易信任白皮书了解更多。