本文主要以 Saas 软件安全性为切入点,结合 SaaS 模式的 CRM 软件安全性需求,介绍了选择平台时需要重点关注的安全特性及能力,并结合销售易 CRM 的实际情况进行说明。希望通过此文,能让企业IT 负责人或 CRM 采购人员解答采购 SaaS 软件中的一些顾虑。

一、Saas 是什么?

在企业数字化转型的大背景下,SaaS(Softwareas-a-Service)作为一种通过互联网提供软件的模式,以其高稳定性、高性能、低成本等特点,正在被越来越多的企业所接受。企业付费后,云上租户可享受“拎包入住”的绝佳体验,免去了传统的服务器采购、搭建网络、软件部署、功能验证等复杂流程。 然而,由于 CRM 系统承载业务的重要性及较高的安全级别。部分客户在选择 CRM 软件时,仍然对其使用 SaaS 形态的软件系统存在安全方面的顾虑。

二、如何选择安全的 SaaS 平台?

那么,作为企业 IT 负责人或 CRM 系统业务需求负责人,采购 SaaS CRM 软件时,都需要考虑哪些方面呢?笔者建议重点从 3 方面进行考虑:

1.SaaS 供应商是否有安全方面的资质?

作为 SaaS 软件的提供商,CRM 的开发、部署、运维及日常管理都由厂商进行。这对软件厂商在安全技术能力、安全合规性、安全管理制度等方面有较为严格的要求。另外也包括能接触到生产数据的相关人员的管控措施,这些需要重点评估。

2.数据是否安全?

企业把数据放在软件服务商的云上,数据可能会受到运维操作、恶意网络攻击等主观因素,导致数据被泄露。作为企业核心机密的 CRM 业务数据,一旦发生泄漏,将给企业致命打击。 另外,数据也可能由于服务器磁盘故障、数据库服务器损坏、机房断电、甚至遭遇极端自然灾害等客观不可控因素的影响,造成数据丢失。

3.是否具有抗网络攻击的能力?

网络攻击对系统可用性及安全性将造成巨大影响。轻则系统缓慢,应用受阻,重则系统瘫痪、数据被篡改、数据泄露,不但影响企业正常业务开展,严重者对企业声誉、财产造成巨大安全隐患及损失。 对于网络攻击,一方面需要考虑对方是否有专业的安全防护技术手段来进行及时处理。另一方面也需要考虑是否有有专业的有丰富经验的安全技术人员进行安全产品的运营、安全事件的应急响应、安全风险的修复等事项。

三、销售易 CRM 平台应对方案

基于上面这些安全顾虑,销售易的解决方案是什么呢?

首先销售易的 CRM 系统部署在知名云平台——亚马逊云和腾讯云上。在云基础设施建设和管理方面,会远比国内大部分企业的自建机房或托管机房安全性高。两个云平台也获得了国际及国内大量的安全合规性资质。

1、销售易“四大”安全资质

作为 SaaS 厂商的销售易,在安全合规性认证方面,同样取得了多个国际和国内标准的权威性的认证: 1)销售易公司(北京仁科互动网络技术有限公司)早在 2016 年就通过了 ISO 27001 国际信息安全体系认证; 2)销售易 CRM 系统 2017 年起即通过了公安部网络安全等级保护三级认证; 3)销售易每年会聘请国内知名的第三方安全服务商进行渗透测试,并及时修复发现的安全风险。 4)基于优异的系统安全性,获得了由“中国电子商务协会网址安全评估技术专业委员会”颁发的最高等级的网站安全性证明。

2、销售易安全体系全景解析

作为一个对安全高度重视的软件厂商,销售易在产品初期阶段,就已经将安全问题作为重点考虑的特性。并逐步规划和落地了一整套安全保障体系。 体系包括了技术保障、安全合规性管理、防护体系等诸多方面,经过多年来的不断发展,不断向更广和更深入的层次发展。 为了加强安全抗攻击能力,更好地保护客户的数据安全。除了充分利用云端免费提供的基础安全能力外,还投入了巨大资源,采用了多种增强型的安全防护措施。 1)防入侵及黑客攻击:通过部署 Web 应用防火墙、服务器主机安全防护产品等,及时检测及拦截防范外部攻击行为; 2)数据安全保护:数据库文件及对象存储桶中的文件,均使用加密方式在磁盘存储,密钥通过 KMS系统进行管理;通过本项安全防护,即使云厂商人员获取到了数据文件,由于均为加密方式密文,也无法正常读取到真实数据。 3)数据容灾备份:云端使用跨数据中心的数据容灾方案,数据异地备份。同时,每日会对数据进行全量备份,并加密存储到云端;通过上述几种方式,可以从多个维度最大程度保护数据,有效避免数据丢失对云上租户带来的影响。

四、安全建设规划

安全建设是一个讲究纵深防御、追求细节的工作。 销售易安全团队、运维团队及产研团队,后续规划在全球隐私合规保护、字段级加密能力、认证鉴权特性等方面不断完善。 为提升保护系统安全性及提供企业级安全进行战略性地规划,保障客户系统安全、数据安全。