GlobalSign Blog

14 Dez 2017

5 Fragen zur Sicherheit an Ihren SaaS-Anbieter

Jeden Tag stolpern Menschen über Software-as-a-Service- oder SaaS-Anbieter, die mit ihren Angeboten Einfachheit, Benutzerfreundlichkeit und Kosteneinsparungen versprechen. Obwohl man weiß, dass der Cloud-Raum lebendig ist, sollten Personen und Unternehmensinhaber immer noch vorsichtig sein angesichts der potenziellen Risiken und ernsthaften Management-Bedenken, die mit der SaaS-Einführung einhergehen könnten.

Bevor Sie überhaupt daran denken, sich für eine SaaS-Lösung anzumelden, denken Sie über die wichtigen Fragen nach, die Sie Ihrem potenziellen Anbieter stellen sollten.

Wie speichern Sie unsere Kreditkartendaten?

Es gibt einige Websites, die verschlüsselte Kreditkartendaten in SQL-Datenbanken speichern. Aber Sie wissen nie genau, wie sicher diese Datenbanken sind. Um auf der sicheren Seite zu sein, achten Sie darauf, dass Ihr SaaS-Anbieter Ihre Kreditkartendaten nicht auf seinem eigenen Server speichert.

Idealerweise verwendet ein Unternehmen ein Zahlungs-Gateway oder einen Anbieter-Server, um Ihre Daten zu verarbeiten und zu speichern. Sie sind zwar nicht 100% sicher vor Angriffen, aber diese Drittanbieter verfügen über die entsprechende Sicherheit und Infrastruktur, um Ihre Daten zu handhaben.

Sind Sie PCI-konform?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Regelwerk von Sicherheitsstandards, das aufgestellt wurde, damit Unternehmen (wie z. B. die wichtigsten Debit-, Kredit-, Prepaid-, Bankkarten und dergleichen), die Karteninhaberdaten speichern, verarbeiten oder übertragen, ein gewisses Maß an Sicherheit aufrechterhalten.

Fragen Sie Ihren Anbieter, ob er PCI-konform ist. Abgesehen von einem sicheren Netzwerk für die Verarbeitung von Zahlungen, ist es für jeden SaaS-Anbieter wichtig, sichere Protokolle für den physischen Zugriff zu haben. Fragen Sie, wie Mitarbeiter auf Karteninhaberdaten zugreifen.

Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf diese Informationen haben und finden Sie heraus, ob der physische Zugriff auf diejenigen beschränkt ist, die nicht mit Kunden und Zahlungen umgehen. Contact Center verbieten beispielsweise Mobiltelefone in Produktionshallen, um das Durchsickern von sensiblen Daten zu verhindern. Andere ähnliche Umgebungen arbeiten inzwischen papierlos, um es Mitarbeitern schwerer zu machen, sensible Daten aufzuschreiben.

Was geschieht mit unseren Daten, wenn wir Ihren Dienst nicht mehr nutzen?

Wenn Sie Ihre Daten in die Hände eines SaaS-Unternehmens geben, sollten Sie sich keine Sorgen um Vendor-Lock-Ins machen müssen. Die Service-Bedingungen sollten explizit besagen, dass Sie immer noch Eigentümer der Daten sind, die Sie erstellen und auf ihren Servern speichern. Sie sollten außerdem Ihre Daten sichern und exportieren können, sodass Sie, falls Sie sich abmelden wollen, einfachen Zugriff auf die Daten haben, die Ihnen gehören.

Darüber hinaus sollte das Datenformat, in das Sie Ihre Daten exportieren sollen, nicht proprietär sein, um Kompatibilitätsprobleme zu vermeiden, falls Sie einen neuen Anbieter wählen wollen.

Bieten Sie Service Level Agreements (SLA) an?

Beim Kauf eines neuen Autos oder eines neuen Handys erhalten Sie normalerweise eine Garantie. Ein Bauunternehmer ist verpflichtet, dem Hausbesitzer beim Bau eines Hauses einen von einem Architekten erstellten Bauplan vorzulegen. Das Gleiche gilt für SaaS: Eine SLA garantiert, dass die Dienstleistung wie versprochen erbracht wird, und sie soll eine Lösung bieten, wenn der Anbieter diese Anforderungen nicht erfüllt.

Fragen Sie Ihren Cloud-Anbieter nach Serviceverfügbarkeit (z. B. Verfügbarkeit von 99,99%), Ausfallszenarien, Disaster-Recovery-Maßnahmen, Prozessen zur Behebung von Problemen und dem erwarteten Lösungszeitraum usw. Lesen Sie die SLA Ihres Anbieters sorgfältig durch. Seien Sie sich über seine Definition von Betriebszeit und Ausfallzeit klar. Seien Sie mit allen technischen Details vertraut, wenn Sie müssen.

Hatten Sie jemals eine Sicherheitsverletzung?

Bitten Sie Ihren potenziellen SaaS-Anbieter, Ihnen genaue Angaben über die letzten Sicherheitsverletzungen in seinem Unternehmen zu machen. Durch diese Bitte erfahren Sie auch, wie er solche Vorfälle korrigieren kann und wie er sicherstellt, dass diese in Zukunft verhindert werden. Dies ist auch ein guter Indikator für die Art von Sicherheit, die er unterhält.

Auch die physische Sicherheit spielt eine Rolle, auch wenn sie oft übersehen wird. Erkundigen Sie sich bei Ihrem Anbieter, ob bestimmte Richtlinien vorhanden sind, um zu verhindern, dass jemand Daten von Ihren Servern auf einen USB-Stick herunterlädt, ohne dass jemand davon Notiz nimmt.

Obwohl die Cloud heutzutage eine äußerst praktikable Option für Unternehmen aller Größen ist, müssen Kunden immer noch die entscheidenden Fragen stellen, um sicherzustellen, dass der ausgewählte SaaS-Anbieter in der Lage ist, ihre Anforderungen zu erfüllen. Schließlich sind Sie immer noch der Kunde und möchten nur sicherstellen, dass Ihre Daten geschützt sind und unter Ihrer Kontrolle bleiben.

Über den Autor

Klaris Chua ist eine Vermarkterin von digitalen Inhalten, die viele Artikel über Start-ups und Kommunikation für Kleinunternehmen geschrieben hat. Sie war Reporterin einer Wirtschaftszeitung, aber der konventionelle Weg einer Schreiberin reizte sie nicht. Sie können sich mit ihr auf Twitter verbinden.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen