SaaS (Software as a Service) è un modello di licenza e consegna software in cui gli utenti accedono ad applicazioni o servizi tramite un abbonamento.
Le applicazioni sono ospitate in remoto dal fornitore di servizi e sono accessibili su richiesta dai clienti tramite Internet o reti private.
Molte aziende e aziende di ogni dimensione traggono vantaggio da questo modello basato su abbonamento al fine di ridurre i costi IT che sono spesso associati alle tradizionali applicazioni on-premise.
Questi costi generali possono includere hardware, aggiornamenti e gestione delle patch, che devono essere acquistati in anticipo per coloro che non optano per un modello di distribuzione SaaS. Questo modello di licenza on-demand è anche utile in quanto consente ai clienti di aumentare i loro servizi solo quando crescono.
SaaS è cresciuta costantemente negli ultimi dieci anni e molte aziende adottano questo nuovo modello di acquisto dell'IT.
In prospettiva, il 73% delle organizzazioni afferma che quasi tutte le loro app saranno SaaS entro il 2020.
Oltre ai costi di set-up, molti gestori preferiscono anche le soluzioni SaaS in quanto hanno il pieno supporto da parte dei fornitori di servizi.
Non devono più preoccuparsi di fornire una formazione completa ai dipendenti e le app SaaS spesso si connettono facilmente con altre app di terze parti tramite API ben gestite.
Oltre al lungo elenco di vantaggi, la sicurezza e-commerce è ancora una delle principali preoccupazioni che sta trattenendo alcune aziende dall'adozione di SaaS.
La prevenzione delle frodi, la sicurezza informatica e la conformità PCI sono essenziali per gestire la tua attività.
In questa immersione approfondita, tratteremo questi importanti problemi di sicurezza, perché sono importanti, le migliori pratiche e le soluzioni chiave per garantire che il tuo sito di e-commerce e i dati dei clienti siano sicuri.
La rapida adozione della tecnologia di cloud computing sotto forma di "servizi cloud" resi rende oggi uno degli argomenti più scottanti nelle menti dei leader IT e di e-commerce.
I servizi di cloud computing sono spesso indicati come un "game-changer" tra gli esperti del settore, in gran parte a causa dell'opportunità offerta dalla tecnologia in collaborazione a livello di organizzazione, scalabilità di classe enterprise e disponibilità agnostica dei dispositivi, offrendo al contempo eccezionali vantaggi di riduzione dei costi calcolo efficiente.
È importante distinguere le tre classificazioni del cloud computing spesso denominate "modello SPI" a cui si riferisce l'SPI
- Software as a Service (SaaS): offre agli utenti l'accesso a software applicativo e database.
- Piattaforma come servizio (PaaS): offre, oltre all'infrastruttura informatica, un ambiente di sviluppo per gli sviluppatori di applicazioni (ad es. sistemi operativi, ambiente di esecuzione del linguaggio di programmazione, database, ecc.).
- Infrastruttura come servizio (IaaS): offre un'infrastruttura di calcolo di base (ad esempio, macchine fisiche e virtuali, posizione, rete, backup, ecc.).
Ecco ulteriori informazioni approfondite sulle differenze tra IaaS vs PaaS vs SaaS.
Tutti i suddetti modelli di servizi cloud SPI possono essere distribuiti su uno dei seguenti quattro modelli di implementazione dell'infrastruttura:
- Cloud pubblico: l'infrastruttura cloud è resa disponibile al grande pubblico o ad un grande gruppo industriale ed è di proprietà di un'organizzazione che vende servizi cloud.
- Cloud privato: l'infrastruttura cloud è gestita esclusivamente per una singola organizzazione. Può essere gestito dall'organizzazione stessa o da una terza parte e può essere ubicato in sede o fuori sede.
- Cloud ibrido: l'infrastruttura cloud è una combinazione di due o più nuvole (private, community o public).
1. Tariffe di adozione.
Secondo Gartner, il mercato mondiale dei servizi cloud pubblici crescerà del 17,3% nel 2019 a 206,2 miliardi di dollari, rispetto ai 175,8 miliardi del 2018.
Le proiezioni di crescita sono distribuite in modo non uniforme su SaaS, PaaS e IaaS.
Il software as a service (SaaS) rimane il segmento più grande del mercato cloud, con un fatturato che dovrebbe raggiungere 85,1 miliardi di dollari nel 2019, con una crescita annua del 17,8%.
Si prevede che Infrastructure as a Service (IaaS) rappresenti il segmento dei servizi cloud con la crescita più rapida, con una crescita prevista del 27,6% nel 2019 per raggiungere $ 39,5 miliardi, da $ 31 miliardi nel 2018. Amazon è il principale fornitore nel mercato IaaS, seguito da Microsoft, Alibaba, Google e IBM.
2. Tassi di adozione per verticale.
Come accennato in precedenza in questo rapporto, i tassi di adozione dei servizi cloud stanno crescendo rapidamente, ma quali segmenti e verticali crescono più velocemente?
Molte organizzazioni tendono a iniziare con app che possono essere facilmente migrate sul cloud e quindi a passare i loro sistemi strategici più grandi come la loro piattaforma di e-commerce, ERP e le applicazioni della supply chain. Questi progetti, tendono ad essere integrati nei loro piani di trasformazione digitale.
Un sondaggio condotto da The Economist Intelligence Unit ha rivelato il tasso variabile di adozione del cloud tra le industrie.
I primi motori verso il cloud sembrano essere soluzioni "pure play" digitali che si affiancano alle soluzioni del settore legacy, come ad esempio:
- Il settore bancario digitale spunta dalle filiali bancarie di persona.
- I negozi di e-commerce competono con i rivenditori e i centri commerciali tradizionali.
La produzione, come vedremo, presenta un problema più complesso in quanto implica l'integrazione del cloud in strutture fisiche come fabbriche, macchine e linee di assemblaggio.
Infine, come discusso nella nostra revisione di queste industrie, l'adozione in Education and Healthcare è rallentata da vincoli normativi e ambienti meno intensamente competitivi. Tuttavia, vediamo che fino a quando il cloud è arrivato, ha ancora una lunga strada da percorrere. La "presenza pervasiva", già accesso e diffusione diffusa, si aggira intorno al 7% in tutti i settori.
3. Mito: il cloud è davvero meno sicuro di quello on-premise?
Poiché le tendenze del settore mostrano la crescente popolarità e l'adozione della tecnologia cloud, alcune organizzazioni sembrano ancora riluttanti a fare il grande salto.
Un'indagine di Deloitte sull'adozione del cloud ha mostrato che tra un gruppo di CIO che non hanno ancora implementato il cloud computing nelle proprie organizzazioni, le principali obiezioni sono state:
- Rischio di perdere il controllo e la governance dei dati.
- Problemi legali e conformità aperta.
- Rischio di esposizione dei loro dati.
- Protezione dei dati inadeguata.
Dal sottogruppo di CIO che non hanno ancora adottato la tecnologia cloud, il 78% di loro ha rivelato che la principale ragione della non adozione era la loro incertezza nella sicurezza dell'e-commerce.
Il mito della "sicurezza del cloud", come questo whitepaper farà schifo, è che se un'organizzazione memorizza i propri dati in un centro dati di terze parti, mette loro stessi e i loro clienti a rischio di una violazione dei dati che non solo danneggerà la reputazione della loro organizzazione ma anche avere implicazioni finanziarie significative nella perdita della forma di business e in definitiva portare a sanzioni o multe.
Tuttavia, come ben sappiamo, gli eventi, come gli hack, arrivano sempre ai media più rapidamente di esempi di quando le cose funzionano bene. E il cloud computing non fa eccezione. Pertanto le organizzazioni devono prendere in considerazione molti fattori quando selezionano un partner SaaS adatto per il proprio business.
Tutte le sezioni che seguono in questo white paper metterà a tacere il mito sulla "sicurezza della cloud" spiegando esaurientemente i solidi livelli di sicurezza delle applicazioni basate su SaaS e Cloud, nonché i rigorosi standard di prevenzione delle frodi, sicurezza delle informazioni e conformità adottati dai migliori fornitori di servizi cloud di classe.
Le applicazioni basate su cloud possono essere categorizzate principalmente in due livelli chiave:
- Layer 0, il cloud IaaS (Infrastructure as a service) e PaaS (Platform as a service) dove tutto il resto viene eseguito; in genere, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud o Alibaba.
- Layer 1, SaaS e applicazioni fornite dal cloud che tipicamente vengono eseguite sull'infrastruttura IaaS di livello 0.
Ogni livello ha una serie di considerazioni e standard di sicurezza sia sovrapposti che distinti.
Entriamo nel set completo di standard di sicurezza e framework di conformità che soddisfano sia le soluzioni basate su cloud Layer 0 e Layer 1, sia i rimedi efficaci per la ridondanza e le modalità per garantire disponibilità elevata e uptime.
1. Livello 0 IaaS Cloud Security.
Il principio di sicurezza centrale in tutte le soluzioni di cloud computing IaaS è il concetto di "responsabilità condivisa", il che significa due cose:
- I fornitori IaaS sono responsabili della sicurezza del cloud (ad esempio infrastruttura globale, storage, database, networking, computer).
- I clienti sono responsabili della sicurezza nel cloud (ad esempio dati, piattaforme, applicazioni, sistemi operativi, firewall).
Ecco una rapida checklist per la sicurezza del cloud IaaS.
- Applicare le configurazioni di sicurezza delle best practice del fornitore IaaS al momento dell'impostazione. AWS, ad esempio, ha un white paper sulle best practice sulla sicurezza AWS, lo stesso vale per Microsoft Azure o Google Cloud.
- Monitora continuamente la tua infrastruttura e imposta avvisi quando vengono rilevate modifiche o nuove vulnerabilità della sicurezza.
- Assicurati di utilizzare gli standard di crittografia accettati dal settore e di proteggere le chiavi di crittografia con adeguati controlli di archiviazione delle chiavi.
- Inoltre, crittografa le connessioni di rete attraverso l'infrastruttura cloud.
- Utilizzare deep packet inspection (DPI) o soluzioni di rilevamento e prevenzione delle intrusioni (IDS / IPS) per rilevare anomalie e attacchi di rete.
- Condurre formazione di personale specializzato sulla sicurezza delle informazioni.
2. Livello 1 SaaS Cloud Security.
Di seguito è riportato un elenco riepilogativo delle considerazioni sulla sicurezza a livello aziendale quando si distribuisce un'applicazione SaaS per la propria organizzazione:
- La sicurezza dei dati dovrebbe comportare l'uso di tecniche di crittografia avanzate e autorizzazione a grana fine per controllare l'accesso ai dati.
-
Raggiungere la conformità alle normative, con l'essere più importante:
-
Controllo della sicurezza fisica e perimetrale dei data center: SSAE 16 (Dichiarazione sugli standard per gli attestati di attestazione n. 16 (SSAE 16) o equivalente, International Standard on Assurance Engagements (ISAE) 3402.
SSAE 16 comprende due rapporti:- Un report SOC 1 che fornisce un'istantanea indipendente del panorama di controllo dell'organizzazione in un determinato giorno.
- Un report SOC 2 fornisce una traccia storica dei controlli di un'organizzazione nel tempo (in genere gli ultimi 6 mesi).
- L'accesso ai dati, l'archiviazione dei dati e l'elaborazione dei dati devono essere disciplinati e controllati in base alle normative come ISO-27001, Sarbanes-Oxley Act [SOX], Gramm-Leach-Bliley Act [GLBA], Legge sulla portabilità e responsabilità dell'assicurazione sanitaria [HIPAA].
- Per le applicazioni di e-commerce o di elaborazione dei pagamenti, gli standard del settore della conformità come lo standard di sicurezza dei dati dell'industria delle carte di pagamento [PCI-DSS] è obbligatorio (la conformità PCI è trattata nel mio dettaglio più avanti in questo rapporto).
-
Controllo della sicurezza fisica e perimetrale dei data center: SSAE 16 (Dichiarazione sugli standard per gli attestati di attestazione n. 16 (SSAE 16) o equivalente, International Standard on Assurance Engagements (ISAE) 3402.
- Comprendi il modello di implementazione dei tuoi fornitori SaaS (cioè se useranno un fornitore di cloud pubblico o si ospiteranno da soli).
- Disponibilità: 24 ore su 24 La disponibilità del servizio comporta cambiamenti architettonici a livello di applicazione e infrastruttura che aggiungono scalabilità e disponibilità elevata. Una farm con carico bilanciato di istanze di applicazioni, in esecuzione su un numero variabile di server, fornirà la resilienza agli attacchi Denial of Service e agli errori hardware e / o software.
- Business continuity [BC] e il ripristino di emergenza [DR]: qual è la strategia del fornitore di servizi cloud per riconoscere le minacce e i rischi che si trovano ad affrontare la sua infrastruttura e in che modo i suoi dipendenti e le risorse saranno protetti in caso di disastro? I loro piani BC e DR definiranno i rischi potenziali; delineare come i rischi influenzeranno le loro operazioni; e, prevedere disposizioni per salvaguardie e procedure per mitigare i rischi.
- backup: I dati aziendali devono essere regolarmente sottoposti a backup per facilitare il recupero rapido in caso di emergenza. È necessario applicare schemi di crittografia efficaci a tutti i dati di backup.
-
Identity Manager (IdM) e processo di accesso: Il tuo rivenditore SaaS supporterà la gestione delle identità e accederà ai servizi utilizzando uno dei seguenti modelli.
- Stack IDM indipendente: Il fornitore SaaS fornisce una gestione completa dell'identità e firma lo stack di servizi. Tutte le informazioni relative agli account utente, alle password, ecc. Saranno completamente gestite dal rivenditore SaaS.
- Sincronizzazione delle credenziali: Il fornitore SaaS supporta la replica delle informazioni e delle credenziali dell'account utente tra l'applicazione aziendale e SaaS. L'autenticazione dell'utente viene eseguita dal rivenditore SaaS utilizzando credenziali replicate.
- ID federato: L'autenticazione dell'utente viene memorizzata e si verifica all'interno del limite aziendale. Le identità degli utenti e gli attributi degli utenti vengono propagati su richiesta al fornitore SaaS utilizzando la federazione per consentire l'accesso e il controllo degli accessi.
Ora che hai una comprensione delle considerazioni sulla sicurezza dell'e-commerce da tenere in considerazione quando distribuisci soluzioni IaaS o SaaS, vogliamo coprire i più importanti pilastri della sicurezza in maggiore dettaglio.
Seguendo il modello di responsabilità condivisa appena esaminato, vogliamo approfondire le più importanti responsabilità di sicurezza cloud dei fornitori di piattaforme IaaS.
Quindi copriremo la responsabilità della sicurezza del cloud dei fornitori di piattaforme SaaS, nonché il confronto diretto e la comprensione.
Lista di controllo di sicurezza di livello base Lista di controllo di sicurezza IaaS
1. Protezione delle risorse: ridondanza delle piattaforme IaaS.
I fornitori IaaS devono garantire che i tuoi dati e le risorse hardware che li archiviano o elaborano siano protetti contro manomissioni, perdite, danni o sequestri fisici.
Dovresti anche valutare il modello di resilienza e di failover del tuo fornitore IaaS e come puoi costruire sulla loro infrastruttura in modo da darti il livello di disponibilità di cui hai bisogno.
Meccanismi di sicurezza fisica
Il tuo fornitore IaaS dovrebbe garantire che i tuoi dati, le immagini del disco e altri dispositivi di archiviazione siano adeguatamente protetti – fisicamente, logicamente o crittograficamente.
Nel caso in cui la tua organizzazione non sia soddisfatta della protezione fornita dal provider IaaS, dovresti essere in grado di implementare la crittografia del volume del tuo data store.
Quando l'infrastruttura di storage fisica dedicata viene fornita da un provider IaaS, è necessario disporre di un accordo di cancellazione dei dati in atto prima di abbandonare l'hardware di archiviazione per il riutilizzo.
La cancellazione dei dati, a volte indicata come cancellazione dei dati o cancellazione dei dati, consente di distruggere completamente tutti i dati elettronici con un metodo basato su software che utilizza dati binari (uno e zero) per sovrascrivere i dati. È necessario verificare con il fornitore IaaS in cui si trova la responsabilità della cancellazione dei dati.
Inoltre, dovresti disporre di un piano di uscita che copra le azioni che dovrebbero essere intraprese quando smetti di usare IaaS. Queste azioni possono includere la marcatura dei dati per l'eliminazione e la cancellazione dell'archiviazione dei blocchi del disco per garantire che i dati non vengano conservati o accessibili ad altri utenti del servizio.
Sicurezza dell'infrastruttura
La sicurezza dell'infrastruttura coinvolge firewall, crittografia robusta e autenticazione dell'utente.
Alcuni servizi IaaS possono esporre direttamente l'infrastruttura client a reti pubbliche, come ad esempio Internet. Per stabilire la sicurezza dell'infrastruttura, assicurarsi che siano installati firewall appropriati a livello di infrastruttura e piattaforma.
Le reti virtuali possono essere utilizzate per separare la funzionalità di gestione e back-end dalle interfacce esposte agli utenti finali. In situazioni in cui il tuo provider IaaS non offre un controllo granulare dell'interfaccia, le appliance di sicurezza della rete virtuale potrebbero essere utili.
Quando i dati vengono condivisi intenzionalmente con altri utenti, è necessario disporre di procedure per garantire che non contengano informazioni che potrebbero consentire a un utente malintenzionato di accedere al servizio.
Quando si condividono dati con altri utenti, utilizzare chiavi o certificati di crittografia per gestire l'accesso e prevenire gli attacchi.
2. IaaS Uptime e SLA.
Un contratto SLA (Service Level Agreement) è un accordo con un fornitore di servizi cloud che spiega in dettaglio come gestirà potenziali problemi.
Per ogni nuovo servizio cloud che acquisti, un processo di valutazione SLA dovrebbe essere redatto e, man mano che i servizi cambiano, lo SLA dovrebbe essere rivalutato.
È necessario utilizzare lo SLA per valutare la stabilità del servizio e capire come verranno protetti i beni della propria azienda mantenendo bassi i costi in caso di problemi.
Lo SLA è quindi molto importante quando si assume un servizio cloud ed è importante conoscere tutti i termini e le condizioni. In ultima analisi, lo SLA è il contratto tra te e il tuo fornitore di servizi, in cui vengono specificate tutte le aspettative relative alla partnership in cui stai partecipando.
Stabilisce il rapporto commerciale tra te e il fornitore di servizi, oltre a spiegare le azioni da intraprendere per mitigare eventuali problemi che potrebbero verificarsi.
È fondamentale che entrambe le parti, l'acquirente e il fornitore di servizi, siano d'accordo e comprendano pienamente lo SLA. Poiché alcuni accordi aziendali possono essere piuttosto complessi, qui ci sono alcune cose da tenere a mente quando si delinea uno SLA:
- Specificare i parametri e i livelli minimi di servizio e i rimedi nel caso in cui tali requisiti non siano soddisfatti.
- Specifica la proprietà della tua organizzazione dei dati memorizzati nel sistema del provider e indica i tuoi diritti per recuperarli.
- Specificare gli standard di sicurezza e l'infrastruttura che devono essere sostenuti dal fornitore, così come i diritti a controllarli.
- Indica i tuoi diritti e il costo dell'utilizzo o dell'annullamento di questo particolare servizio.
Esaminando ulteriormente i dettagli di un SLA, esaminiamo i criteri importanti che dovrebbero essere stabiliti per l'accordo:
- Prestazioni del servizio (cioè: quali sono i tempi massimi di risposta?).
- Sicurezza e riservatezza dei dati (ad esempio: i dati memorizzati e trasmessi sono sempre crittografati?).
- Disponibilità del servizio (vale a dire: 99,99% durante i giorni lavorativi e 99,9% per notti e week-end).
- Aspettative per il disaster recovery (vale a dire qual è il loro impegno per il peggior scenario di recupero?).
- Aspettative di risoluzione (cioè: call center per ottenere supporto immediato).
- Ubicazione dei dati (ad es. Segue la legislazione locale?).
- Accesso ai dati (ad esempio: i dati possono essere recuperati in un formato leggibile in qualsiasi momento?).
- Portabilità dei dati (ad esempio: i dati possono essere trasferiti a un altro fornitore, se lo si desidera?).
- Gestione dei cambiamenti (ad esempio: qual è il processo per gestire i cambiamenti nel servizio o nuovi servizi?).
- Processo di contestazione (cioè: qual è il processo per l'escalation dei problemi e quali sono le conseguenze?).
- Strategia di uscita (vale a dire: aspettarsi una transizione senza intoppi e cooperazione da parte del fornitore).
Una volta impostati i criteri per lo SLA, il passo successivo è valutare la criticità del servizio cloud e dei dati associati per la tua azienda. Questo rischio e la natura del servizio cloud sono imperativi nel determinare i termini dello SLA.
In conclusione, lo SLA è il contratto vincolante per la partnership tra la tua azienda e il fornitore di servizi. Pertanto è fondamentale seguire questi tre passaggi:
- Leggi attentamente l'SLA del fornitore di servizi e assicurati di averlo compreso.
- Coinvolgi il personale tecnico che annulla lo SLA per gli scenari di interruzione normale.
- Crea piani di emergenza con il tuo team da intraprendere in caso di problemi gravi con il servizio.
3. Mitigazione degli attacchi DDoS IaaS
Il DDoS (Distributed Denial of Service) causa il rallentamento del tuo sito web o delle tue applicazioni o diventa completamente non disponibile. Ciò fa sì che non solo la tua organizzazione probabilmente perda denaro, ma potrebbe avere un forte impatto sui tuoi fedeli clienti.
In tal caso i tuoi clienti saranno insoddisfatti e potrebbero addirittura perdere denaro a seconda del tipo di attività che fornisci.
Per rimediare al problema dovrai aumentare il supporto del servizio clienti mentre cerchi di mitigare il problema tecnico in questione.
Più ti prepari per diversi tipi di attacchi e obiettivi, più preparati tu e il tuo fornitore di servizi saranno per gli attacchi DDoS.
Se gli sforzi dell'attaccante sono bloccati, spesso si arrendono e si spostano su bersagli più facili. Pertanto, è necessario sviluppare un piano di protezione DDoS utilizzando le best practice del settore per ridurre il rischio che la propria azienda intraprenda un attacco DDoS.
Lista di controllo per la sicurezza SaaS a livello di applicazione
Seguendo il modello di responsabilità condivisa di cui abbiamo parlato nella sezione precedente, vogliamo approfondire le più importanti responsabilità di sicurezza cloud dei fornitori di piattaforme SaaS.
1. Sicurezza dei dati e ridondanza di SaaS.
La ridondanza è una considerazione importante per i fornitori SaaS poiché significa che incorporano componenti extra nel loro servizio in modo che, in caso di errore, ci sia ancora un backup.
In sostanza, assicura che la tua azienda sia in grado di recuperare le informazioni in qualsiasi momento, indipendentemente da eventuali tempi di fermo previsti o imprevisti dal fornitore.
La maggior parte dei fornitori di servizi affidabili considera estremamente seriamente la sicurezza e la ridondanza. Tuttavia, dovresti comunque assicurarti di informarti sulle politiche di qualsiasi fornitore SaaS con cui potresti voler collaborare.
Indipendentemente dalla quantità di precauzioni prese dal fornitore, è buona norma avere le informazioni su un'altra struttura cloud come backup per i casi estremi.
Di seguito sono quattro domande da porre al potenziale fornitore di servizi cloud in relazione alla sicurezza dei dati e alla ridondanza:
Replica remota: hanno backup da cloud a cloud?
Come accennato nelle sezioni precedenti, è consigliabile disporre sempre di più copie di dati e memorizzarle in luoghi diversi per essere preparati in caso di problemi.
In luoghi fisici, potremmo pensare a eventi sfortunati come un incendio, ma in realtà, sul cloud, dovremmo seguire la stessa logica.
Il tuo fornitore di servizi dovrebbe avere i tuoi dati copiati separatamente su una struttura cloud completamente diversa come backup.
Quali standard di sicurezza rispettano i loro backup su cloud?
I fornitori di SaaS affidabili rispettano rigorosi standard di sicurezza di backup cloud-to-cloud. Troverete spesso che i loro standard sono così alti che non sarete in grado di mantenerli o ricrearli da soli.
La loro soluzione di backup cloud-to-cloud includerà probabilmente o attenuerà notevolmente i seguenti standard di sicurezza:
- Conformità in SSAE 16.
- Cyphers con crittografia forte.
- Un abbonamento a Cloud Security Alliance.
- Certificazioni sulla privacy e sulla sicurezza (ad es .: TRUSTe).
I backup creati, includono i metadati?
I metadati sono fondamentali per la collaborazione e il controllo poiché contengono informazioni sulla condivisione di impostazioni, etichette, tag e proprietà.
In definitiva i metadati aiutano gli utenti a trovare e utilizzare i dati SaaS e senza di essi non esiste un contesto che fornisca informazioni utili.
Sebbene i metadati siano di vitale importanza per molte aziende, esistono diverse soluzioni di backup, inclusi i backup forniti da venditori come Salesforce, che non forniscono metadati.
Gli utenti spesso non ne sono consapevoli, il che porta a frustrazione e insoddisfazione quando si rendono conto che in un secondo momento non sono in grado di recuperare i propri dati con tutti i metadati generati.
Assicurarsi che il fornitore SaaS selezionato includa i metadati e la personalizzazione nei backup.
Come vengono monitorati i backup?
Anche se il tuo potenziale fornitore SaaS ha un regolare sistema di backup dei dati, dovresti verificare in che modo monitorano il loro processo di backup.
Tutti i backup devono essere monitorati dagli amministratori IT e generare rapporti sullo stato e notifiche e-mail. L'ultima cosa che vuoi è andare a ripristinare i tuoi dati solo per scoprire che c'è stata una svista o un danneggiamento dei dati che ha causato un errore nel backup.
Inoltre, assicurarsi di trovare i dettagli dal fornitore di servizi su ciò che potrebbe causare problemi noti con il backup.
Ad esempio, è abbastanza comune che i file con zero byte possano causare il danneggiamento dei dati.
Capire questi errori e monitorare i report degli errori può aiutarti a evitare errori nei dati che potrebbero essere dannosi per la tua azienda e i dati dei tuoi clienti.
2. Alta disponibilità di SaaS.
Quando un fornitore di servizi ha una disponibilità elevata, significa che sono impostati per evitare un singolo punto di errore in ogni singolo componente del sistema.
Quindi questo è un altro fattore da considerare quando si sceglie un fornitore SaaS – l'implementazione è alta disponibilità?
Esistono grandi strumenti e meccanismi open source da seguire che consentono di ottenere un'infrastruttura disponibile ad alta disponibilità in un modo molto affidabile. Un esempio eccezionale di questo è il bilanciamento del carico.
Bilancio del carico
Rif: https://codingstartups.com/scaling-saas-product-infrastructure-high-availability/
Utilizzando la ridondanza, i fornitori SaaS possono eliminare singoli punti di errore su macchine esposte alle richieste Web e HTTP aperte.
Duplicando le macchine impostate per ottenere le stesse attività, si ottiene la ridondanza e quindi una maggiore sicurezza nel cloud computing.
I dati sono controllati e distribuiti su macchine ridondanti utilizzando un bilanciatore del carico come mostrato nello schema sopra. In tal modo i nodi sono nascosti all'interno della rete interna e solo il bilanciamento del carico è esposto a richieste esterne, riducendo così i rischi per la sicurezza.
La maggior parte dei load balancer vengono eseguiti su Nginx e il suo algoritmo round-robin per distribuire le richieste tra i nodi. Nginx è un'opzione eccellente in quanto si occupa di compiti come la gestione dei nodi, l'esecuzione di controlli periodici di integrità dei nodi e persino il loro rientro in linea dopo il ripristino degli errori.
In genere, viene eseguita una configurazione aggiuntiva per garantire le migliori pratiche di blocco dei cookie, memorizzazione nella cache e intestazioni coerenti e affidabili (ad esempio l'indirizzo IP del client).
3. SaaS Uptime.
Il tempo di attività è il periodo di tempo in cui un servizio è online e disponibile per la tua azienda, misurato in base alla quantità di tempo in cui non è disponibile.
Naturalmente tutti noi cerchiamo di avere il 100% di uptime, ma in realtà nulla può essere completamente a prova di proiettile.
Pertanto è importante capire il tempo di attività che il tuo provider supporta e calcolare cosa significa per la tua azienda.
Quanto tempo ti puoi permettere? Quanto tempo di inattività è tollerabile?
I grandi fornitori di SaaS spesso promettono un uptime del 99,9%.
Anche se questo potrebbe essere ottimo se ci riferiamo a un punteggio di prova, potrebbe essere abbastanza problematico per un'azienda. In sostanza, il 99,9% di uptime significa meno di 43 minuti di downtime al mese o meno di 8 ore e 45 minuti all'anno.
Se questa interruzione si verifica alle 2 di notte di domenica, questo potrebbe essere accettabile, o forse no se si esegue un servizio internazionale.
I migliori fornitori SaaS possono garantire un uptime del 99,99% o superiore all'anno.
Mentre ciò potrebbe spaventarti, considera che spesso i data center fisici, specialmente quelli che si rivolgono a piccole o medie imprese, offrono garanzie di tempo di attività molto inferiori a quelle dei fornitori SaaS.
Inoltre, considera che i principali fornitori e fornitori di SaaS sono sempre i loro tempi di attività, quindi è quello che preferiscono sostenere per non rischiare di rovinare la loro reputazione nel settore.
Quando si considera un fornitore SaaS, ecco le principali domande che dovresti porre:
- Quando è garantito che il servizio sia disponibile in termini di percentuale del tempo?
- Qual è la loro definizione di "tempi di inattività"?
- In che modo il provider tenta di ridurre i tempi di inattività?
- Quali sono le conseguenze per il provider nel caso in cui il downtime superi lo SLA?
Tempo morto programmato vs. non pianificato.
Come con qualsiasi tecnologia, è necessario apportare miglioramenti e aggiornamenti per migliorare un servizio e, sfortunatamente, i servizi cloud non fanno eccezione a questa regola. Ciò significa che potrebbero esserci dei tempi di inattività pianificati per effettuare tali aggiornamenti.
I fornitori SaaS considerano la manutenzione programmata come "interruzioni pianificate" piuttosto che tempi di inattività.
Mentre questo può sembrare logico, per alcune aziende che hanno il servizio offline causerà una significativa perdita di entrate e quindi per loro, è considerato un tempo di inattività. Ad esempio, un sistema di prenotazioni aeree perde circa $ 89.000 all'ora di inattività, indipendentemente dal fatto che l'indisponibilità fosse programmata o meno.
Pertanto, quando si valutano i fornitori di servizi, comprendere a fondo cosa significano "tempi di inattività" nello SLA e esattamente come viene calcolato il tempo di attività.
Uptime Garanzie: in che modo un fornitore SaaS previene i tempi di inattività?
Come precedentemente affermato, l'attività di un fornitore SaaS è quella di mantenere soddisfatti i propri clienti mantenendo il proprio servizio online e prevenendo i tempi di fermo.
Quando un server locale si interrompe, viene influenzata solo quella attività, ma se un server multi-tenant SaaS non funziona, interessa diverse aziende. I fornitori SaaS trattano i tempi di fermo con la massima importanza e implementano misure preventive per minimizzare il rischio di tempi di fermo.
I provider SaaS best-in-class utilizzano cluster di server con ridondanza e replica incorporati.
Questi cluster sono generalmente distribuiti in data center distribuiti geograficamente per garantire la disponibilità del servizio.
Penalità per tempi di fermo in eccesso
Il punto di partenza per il calcolo dei tempi di fermo in eccesso consiste nel valutare il costo giornaliero per la tua azienda di andare offline.
Quanti clienti vorresti perdere?
Questo è il motivo per cui è importante garantire che il fornitore SaaS scelto abbia un eccellente piano di disaster recovery e piani di ridondanza e anche per capire cosa succede nel caso peggiore che si verifichi.
Quale compenso finanziario offriranno se ci sono eccessivi tempi di inattività?
Avere una comprensione profonda di questo numero, ti consente di capire se ne vale la pena confrontando i tempi di fermo eccessivo per i tuoi profitti.
4. Registrazione dei registri SaaS
Indipendentemente dal tipo di attività in cui si opera, è possibile essere in grado di recuperare i record dal proprio provider cloud in qualsiasi momento per controllare i record o monitorare l'accesso al servizio e i dati archiviati su di esso.
Le informazioni a tua disposizione dal tuo provider cloud avranno un impatto sulla tua capacità di rispondere ad attività negative o malevole.
Quando guardi un fornitore di servizi, assicurati di essere pienamente consapevole di quali informazioni possono essere rese disponibili per te e in quale arco di tempo.
Seleziona un fornitore SaaS che ti dia la certezza che le informazioni fornite risponderanno alle tue esigenze per affrontare attacchi o comportamenti malevoli.
Rif: https://www.digitalmarketplace.service.gov.uk/g-cloud/services/470396712955449
Controllo di conformità della sicurezza.
Il controllo di conformità della sicurezza è una valutazione di un provider di servizi cloud (CSP) ai requisiti relativi alla sicurezza. Per lo meno un CSP dovrebbe essere in grado di garantire la conformità con i regolamenti e gli standard, oltre a distribuire le applicazioni dei loro clienti e archiviare i loro dati in modo sicuro.
I regolamenti e le norme che un fornitore SaaS deve rispettare dipendono in modo significativo dal settore industriale dei loro clienti.
In the healthcare and utility sectors, there are strict data privacy and protection regulations requirements.
If a cloud service provider wishes to serve clients in these sectors, they must prove that they comply with the standards and regulations of the Health Insurance Portability and Accountability Act (HIPAA), the Payment Card Industry Data Security Standard (PCI DSS) and the Federal Risk and Authorization Management Program (FedRAMP).
In order to meet these, their solution must have characteristics such as dynamicity, multi-tenancy, and elasticity.
Regulatory organizations such as HIPAA and PCI DSS state that it is the responsibility of both sides to adhere to standards and regulations.
If you are operating in these sectors and looking for a SaaS provider, it is also your responsibility to make sure that they are up to date with compliance.
Cloud providers may be asked by users at any point to demonstrate evidence of compliance with these regulatory requirements in different industry sectors.
The figure above illustrates the landscape of cloud security compliance. SaaS vendors that provide tenants with credible and trustworthy compliance information at any time hold a significant competitive advantage and are likely more reliable than others in comparison.
Compliance standards in the cloud.
There are two types of standards when ensuring compliance with different security frameworks in the cloud: vertical and horizontal.
The horizontal standards may be applicable to many industries across the board, while the vertical standards are specific to each industry.
Various standards, both horizontal and vertical, have been supplemented to guide certification in the area of cloud computing and software as a service.
Apart from these two frameworks, other organizations and groups such as the Cloud Security Alliance (CSA) have addressed standardization issues related to SaaS.
They promote best practices to streamline the security levels provided in cloud computing.
The CSA’s cloud security governance, risk management, and compliance stack encourage service providers and cloud tenants to build mutual trust and increase compliance standards.
Modular compliance approach.
As previously discussed, certain industries must follow stringent compliance standards such as PCI/DSS, HIPAA, ISO 27017 and ISO 27001.
These industries, hold highly sensitive information about users and must, therefore, adhere to very high-security requirements.
[/quote]
This often results in a need for a large set of controls that must exist in the cloud infrastructure of the SaaS provider.
[/quote]
Nonetheless, there are many crossovers and similarities between the requirements of these standards in data storage integrity, data storage obfuscation and access control.
Therefore a reputable SaaS should make baseline security provisions that cover the most common requirements across different industries and regulations.
This baseline dynamic in the cloud to be adapted and changed for different compliance frameworks and clients.
Likewise, in order for there to be an efficient auditing approach, there should be a modular structure which supports these common requirements in the baseline security requirement which allows for additional control modules to be added as needed for additional frameworks.
Essential Security Accreditations for SaaS Solutions: Mitigated Responsibilities & Protocol
When selecting a SaaS provider, it is important to compare and understand all of the information we have provided for you.
After your research, you should feel that you can trust their application, infrastructure, and procedures.
If you do not have this trust or the cloud service fails you, you are vulnerable to security issues and loss of users, which can directly affect your bottom line. This may have a detrimental effect on your business’ growth, revenue, and credibility.
Source: DivvyCloud
Of course, research and information that you find online or obtain from the SaaS provider can only take you so far and may still leave your doubting the validity of the information.
Accreditations are good indicators of how the provider operates.
To ensure that your cloud service provider has trustworthy security and availability to provide for the application or service you will use, they should meet most of the following five core accreditations.
- SOC 2 – Demonstrates a level of trust.
- ISO 27001 – Demonstrates the security management of Information.
- ISO 27018 – Level of protection of personally identifiable information.
- PCI DSS – Demonstrates the level of security for payments.
- ISO 22301 – Demonstrates continuity of business.
Many corporations will not work with SaaS providers unless the meet these five accreditations.
1. SOC 2 – Trust
SOC 2 is a standard designed specifically for SaaS operations. It is based on the five trust service principles:
- Security: does it protect against unauthorized access?
- Availability: can they ensure it will be up and running?
- Processing integrity: does it perform all transactions correctly?
- Confidentiality: is information in the system properly protected?
- Privacy: is personal data handled correctly?
A SOC 2 report demonstrates the infrastructure, software, people and procedures that a SaaS provider has in place to provide a service based on these aforementioned principles.
Each SOC 2 report includes the principles of security and availability as these are arguably the most important.
If a cloud service does not protect against improper access or has no standards to ensure it stays running, then there is no use of the service for the customer – it ultimately defeats the purpose for you to use a cloud service.
Likewise, the confidentiality principle is also extremely important and common, as most SaaS systems hold valuable data for their clients, and therefore the way they handle this data should be carefully monitored.
On the other hand, the principles for processing integrity and privacy will usually only be in reports of SaaS systems which deal with financial transactions or personal health data where these principles are more relevant.
In order for a provider to obtain SOC 2, they must undergo thorough testing and auditing by a third-party. So that it is a trustworthy accreditation and indication of trust for the provider.
2. ISO 27001 – Information security management
ISO/IEC 27001:2013 is the international standard for an ISMS (information security management system) – a risk-based approach to information security that encompasses people, processes and technology. Independently accredited certification to the Standard is accepted around the world as proof that an organization is following information security best practice.
In the context of cloud services, it sets out to keep information that is entrusted to SaaS providers by third parties secure.
For a SaaS provider to achieve the ISO 27001 accreditation, they must have a systematic and documented approach to securing data in place, under the information security management system (ISMS) compliance umbrella.
Every cloud service provider’s ISMS will be uniquely implemented and always rigorous.
SaaS providers with ISO 27001 certifications prove that they take threats and vulnerabilities to their systems very seriously.
ISO 27001 compliance gives confidence to all stakeholders that international best practice to mitigate threats and vulnerabilities is strictly being followed.
ISO 27001 enabled cloud service providers set compliance in place to not only avoid penalties but for also regulatory and reputational purposes.
3. ISO/IEC 27002
Whilst ISO/IEC 27001 is a certification standard that formally defines the mandatory requirements for an Information Security Management System (ISMS), ISO/IEC 27002 is a generic code of practice guideline document used to indicate suitable information security controls within the ISMS.
ISO/IEC 27001 incorporates a summary of controls from ISO/IEC 27002.
It recommends information security controls addressing information security control objectives arising from risks to the confidentiality, integrity and availability of information.
Organizations that adopt ISO/IEC 27002 must assess their own information risks, clarify their control objectives and apply suitable controls using the standard for guidance.
The standard is structured logically around groups of related security controls. Among the best practices called for in ISO/IEC 27002 are:
- Data access controls.
- Cryptographic control of sensitive data.
- Management and protection of encryption keys.
- Recording and archiving “all significant events concerning the use and management of user identities and secret authentication information” and protecting those records from “tampering and unauthorized access.”
Here is a breakdown summarizing the 18 sections or chapters in ISO/IEC 27002:
- Section 0: Introduction.
- Section 1: Scope.
- Section 2: Normative references.
- Section 3: Terms and definitions.
- Section 4: Structure of this standard.
- Section 5: Information security policies.
- Section 6: Organization of information security.
- Section 7: Human resource security.
- Section 8: Asset management.
- Section 9: Access control.
- Section 10: Cryptography.
- Section 11: Physical and environmental security.
- Section 12: Operations security.
- Section 13: Communications security.
- Section 14: System acquisition, development, and maintenance.
- Section 15: Supplier relationships.
- Section 16: Information security incident management.
- Section 17: Information security aspects of business continuity management.
- Section 18: Compliance.
4. ISO/IEC 27018 – Protection of personally identifiable information
ISO/IEC 27018 is the code of practice for the protection of personally identifiable information (PII) in public clouds acting as PII processors, and it focuses on protecting the personal data in the cloud.
ISO 27018 compliant SaaS providers are first mandatorily ISO 27001/2 compliant, and then have to work in two ways:
- Augment existing ISO 27002 controls with specific items for cloud privacy, and then
- Provide a completely new set of security controls for personal data.
Because of its popularity, some certification bodies are starting to issue certificates against ISO 27018 – it must be pointed out these are not regular certificates (since such certificates are possible only for management standards, and ISO 27018 is not such a standard) – it seems these certificates are issued as part of the wider ISO 27001 certification audit.
The table below outline the expected additions to the existing IS 27001/27002 controls required for IS) 27018 compliance:
ISO 27001/ISO 27002 Control Section | Level of additional items in ISO 27018 |
---|---|
5 Information security policies | Moderate |
6 Organization of information security | Basso |
7 Human resource security | Basso |
8 Asset management | Basso |
9 Access control | Basso |
10 Cryptography | Basso |
11 Physical and environmental security | Basso |
12 Operations security | High |
13 Communications security | Basso |
14 System acquisition, development and maintenance | Basso |
15 Supplier relationships | Basso |
16 Information security incident management | Moderate |
17 Information security aspects of business continuity management | Basso |
18 Compliance | Moderate |
And then the new set of security controls for the protection of personal data in the cloud are:
- Rights of the customer to access and delete the data.
- Processing the data only for the purpose for which the customer has provided this data.
- Not using the data for marketing and advertising.
- Deletion of temporary files.
- Notification to the customer in case of a request for data disclosure.
- Recording all the disclosures of personal data.
- Disclosing the information about all the subcontractors used for processing personal data.
- Notification to the customer in case of a data breach.
- Document management for cloud policies and procedures.
- Policy for return, transfer, and disposal of personal data.
- Confidentiality agreements for individuals who can access personal data.
- Restriction of printing personal data.
- Procedure for data restoration.
- Authorization for taking the physical media off-site.
- Restriction of usage of media that does not have encryption capability.
- Encrypting data that is transmitted over public networks.
- Destruction of printed media with personal data.
- Usage of unique IDs for cloud customers.
- Records of user access to the cloud.
- Disabling the usage of expired user IDs.
- Specifying the minimum security controls in contracts with customers and subcontractors.
- Deletion of data in storage assigned to other customers.
- Disclosing to the cloud customer in which countries will the data be stored.
- Ensuring the data reaches the destination.
SaaS providers with ISO 27018 compliance provide excellent cloud-specific security details.
Newer SaaS providers will typically start with ISO 27001 compliance and add bits and pieces from ISO 27018 as they progress to be fully ISO 27018 compliant.
5. ISO/IEC 22301 – Business continuity
Disruptive incidents and loss of service can be extremely costly for SaaS companies and the businesses that they serve.
ISO 22301 requires cloud service or SaaS providers to instate a detailed business continuity strategy.
As defined by the ISO, this set of standards specifies requirements to “plan, establish, implement, operate, monitor, review, maintain and improve your infrastructure, to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise.”
For a SaaS business to achieve ISO 22301 compliance, the compliance of its infrastructure partner or IaaS provider is critical.
Achieving the controls and standards of this certification is to a large degree hardware dependent.
You need to check the accreditation of the cloud hosting providers of the SaaS providers that you partner with.
Here is an ISO 22301 checklist summary:
- Management support: Getting management buy-in both financial and human resources.
- Identification of requirements: List all requirements and define how to communicate with each of the stakeholders/interested parties.
- Business continuity policy & objectives: Define some of the main responsibilities and rules in your business continuity policy.
- Support documents for management systems: Define your procedures: documents and records control, internal audit, and corrective actions.
- Risk assessment & treatment: Define incidents and which controls (i.e., safeguards) you can apply to mitigate them.
- Business impact analysis: Define how quickly you need to recover (before you go bankrupt), and what you need in order to succeed with such recovery.
- Business continuity strategy: Outline how to achieve all this with a minimum level of investment.
- Business continuity plan: Set up incident response plans by defining the initial reaction to an incident, and recovery plans that outline actions to be taken to get back running again.
- Training & awareness: Manage the training of employees and third parties on how to perform certain steps in your plan.
- Documentation maintenance: Detail continuous changes to reflect the current circumstances.
- Exercising & testing: Perform regular exercising and testing.
- Post-incident reviews: Document and review reactions, preparedness, and improvements to after incidents occur.
- Communication with interested parties: Institute a communication plan with regulatory bodies, authorities, owners, employee’s families, media all interested parties.
- Measurement and evaluation: Measure the achievement of RTO during exercising & testing.
- Internal audit: Conduct an internal audit for checks and balances.
- Corrective actions: Find out why the problem has happened and how to make sure it never happens again.
- Management review: Conduct top management review, evaluation and decision making.
6. PCI DSS – Payment Card Industry Data Security Standards
The Payment Card Industry Data Security Standard (PCI DSS) is a standard mandated and enforced by all major payment card brands including Visa, MasterCard, and American Express, to increase controls on cardholder data in a bid to reduce the risk of fraud.
They merged their independent security programs into the PCI DSS.
If your organization handles credit or debit card information for payment processing, you will need to follow Payment Card Industry Data Security Standards (PCI DSS).
Why is PCI DSS important?
As much as PCI DSS is not a government regulation, it carries almost equal weight as law.
Hacks and financial data breaches often have a negative impact on trust, revenue and ultimately lead to penalties or fines being issued.
Implementing the standards in your organization can help reduce the risk of a breach involving payment card information.
Target, the second-largest department store retailer in the United States had a major breach of cardholder data that not only damaged the company’s reputation with its consumers, leading to 46% drop in profit, but also resulted in the resignation of both its CIO and CEO.
In the event of a breach, PCI compliance reduces the risk of fines levied by credit card brands. In 2010 Heartland Payment Systems had a data breach, and Visa fined it $60 million.
Fines levied by payment card brands tend to be sent to the merchant bank that processes your credit card transactions.
The banks ultimately pass the bill to your company and will typically also increase transactions fees or on rare occasions terminate your business relationship altogether.
Tessa Wuertz, Director of Marketing at efelle creative, explains why protecting customers’ data is so important and why she looks to SaaS solutions:
“Trusting a one-off developer who you met online with other people’s credit cards is a risky way to do things. In the ecommerce world, your customers are trusting you with their credit card.
By making sure that the solution to your problem has been well researched, you are ensuring your customers that they can trust you and their information is in safe hands.”
Validation Requirements
Each credit card brand has different validation requirements.
Visa, for instance, uses transaction volume to divide merchants into four levels. Each level requires additional validation requirements and starts to apply to merchants that process over 20,000 Visa transactions per year.
Here is a summary:
Qualified Security Assessors (QSAs) and Approved Scanning Vendors (ASVs) perform validation.
Annual and quarterly validation steps include:
- Complete Report on Compliance (ROC).
- Perform vulnerability scanning by a PCI SSC-approved scanning vendor (ASV).
- Complete Attestation of Compliance for service providers or merchants, if applicable.
- Submit ROC, passing scan, and Attestation of Compliance to acquirer or payment brand.
The 12 PCI Requirements
The PCI DSS compliance outlines 12 individual compliance requirements. Each of the 12 requirements contains detailed sub-requirements.
The PCI DSS primarily applies to security controls that protect card account numbers. But whenever your organization stores or handles card account numbers, additional card cart data, such as the cardholder name, address, expiration date, and service code must also be secured.
Organizations are mandated to never store sensitive authentication data such as magnetic stripe data, chip card data, CVC, CVV, and PIN numbers.
For PCI DSS compliance, all merchants are required to submit annual and quarterly reports.
Category | Requisiti |
---|---|
Build and Maintain a Secure Network | 1. Install and maintain a firewall configuration to protect cardholder data. 2. Do not use vendor-supplied defaults for system passwords and other security parameters. |
Protect Cardholder Data | 3. Protect stored cardholder data. 4. Encrypt transmission of cardholder data across |
Maintain a Vulnerability Management Program | 5. Use and regularly update antivirus software on all systems commonly affected by malware. 6. Develop and maintain secure systems and applications. |
Implement Strong Access Control Measures | 7. Restrict access to cardholder data by business need-to-know. 8. Assign a unique ID to each person with computer access. 9. Restrict physical access to cardholder data. |
Regularly Monitor and Test Networks | 10. Track and monitor all access to network resources and cardholder data. 11. Regularly test security systems and processes. |
Maintain an Information Security Policy | 12. Maintain a policy that addresses information security. |
According to a Verizon compliance report, only 11% of organizations meet all 12 PCI requirements.
How Cloud Services Achieve PCI DSS Compliance
How are key ways cloud rendered services secure PCI DSS compliance:
- They audit where card data is stored and how card data is transmitted.
- They prevent card data from being uploaded to unsecure cloud applications by enforcing data loss prevention policies across cloud services.
- They enforce strong password policies using single sign-on solutions.
- They ensure the capture of audit trails of every user action including user, date and time stamps, results, and affected resource names using third-party auditing tools if not natively available.
- They carry out regular audit security checks and stress tests using third-party assessors of cloud providers.
- They create an incident response plan and implement an anomaly detection solution across cloud services to detect security breaches.
- They encrypt data stored in cloud services using tenant managed encryption keys so data is inaccessible to third parties in the event of a breach to reduce liability.
- They have options to bring the storage and processing of cardholder data onto internally controlled systems. This basically creates a hybrid cloud.
Compliance with Third Party Payment Providers
An alternative option for PCI DSS compliance for cloud based services is to offload all payment card operations to a third party payment processors like PayPal or Stripe.
If PCI compliance is handled by PayPal, it offers services such as Website Payments Standard, Online Invoicing, and PayPal Checkout.
PayPal in effect handles payment card information on your behalf with all PCI Compliance risks offloaded to PayPal.
If PCI compliance is to be handled by store owners, PayPal offers two services Website Payments Pro or Virtual Terminal to handle card payment data directly.
Stripe another payment processor is audited by an independent PCI Qualified Security Assessor (QSA) and is certified as a PCI Level 1 Service Provider, which is the most stringent level of certification available.
Third party payment providers still emphasize that PCI compliance is a shared responsibility that applies to both them and merchants; and so advise that accepting payments, must be conducted in a PCI compliant manner.
The simplest way to achieve PCI compliance is to never see (or have access to) card data at all. Services like Stripe ensure PCI compliance to merchants on the following basis:
- That they use Stripe’s Checkout, Stripe.js and Elements, or Strips mobile SDK libraries to collect payment information, which is securely transmitted directly to Stripe without it passing through any other servers.
- That merchants serve their payment pages securely using Transport Layer Security (TLS) so that they make use of HTTPS.
- And that merchants review and validate their account’s PCI compliance annually.
7. Security Questions to Ask Your SaaS Provider
Now that you have a working understanding of SaaS security, the questions outlined below will help you quickly assess the security readiness of any SaaS provider you want to engage with or even existing providers so that you ramp up security.
Do you provide a single-tenant hosting option for separating our data from other customers?
In a multi-tenant SaaS deployment, your organization’s data may sit side-by-side with other companies data.
This may pose a risk of data leakage out of your environment.
Even with virtualization, although separation is easier, virtual operating systems are still subject to the same risks and vulnerabilities
Your SaaS providers should be able to show you the results of regular tests they run for data leaks.
If they are unable to, then you are probably better off insisting on a single-tenant data storage option.
How do you handle penetration testing?
Your SaaS provider should regularly run threat assessments as well as tests that verify its ability to withstand denial-of-service attacks.
If a service provider doesn’t invest in creating regular processes for penetration testing, its risk increases exponentially.
Can you share your backup and recovery plan? Do you run cloud-to-cloud backups?
Get an understanding of their business continuity strategy in the face of denial-of-service attacks and natural or man-made disasters.
Information such as the physical location of their hosting facility as well as data ownership laws within those jurisdictions will be helpful.
What breaches has the company had if any, and how did it manage them?
Focus on their resolution and policy changes after the breach.
How does the provider’s security policy match my company’s?
Run a like-for-like comparison of your organization’s security policy against the SaaS provider’s security policy.
In some cases, a SaaS provider’s security measures could be more sophisticated than that of their small to mid-sized customer’s capabilities.
What are your user authentication and user sign-on policies?
Although a great majority of SaaS applications are securely assessed via the Internet with a username and password, a growing number of companies are working with their service providers to pull the SaaS sign-in process into the bounds of their firewall or VPN, providing a higher degree of authentication.
What data encryption policies do you have in place for the storage and transfer of data?
Insist on the strongest encryption levels possible. 128-bit SSL encryption is now fairly typical, strive to higher encryption levels wherever possible.
Who manages the application on the back end, and what policies are in place to thwart insider breaches?
What do user administration rights look like? Who has the right to view certain tiers of data?
Data and ecommerce security is too important of a responsibility to employ alone. Plus, managing the servers and the teams that protect data can develop into a costly venture for any ecommerce business.
Johnny Gregory, Client Partner at Fortuitas, emphasizes the importance of ecommerce security and wisely choosing a secure platform:
“Use trusted solutions, don’t try to tackle it on your own, i.e. self hosting your ecommerce website. That can get very costly and is often times insecure unless you have a network security team.”
BigCommerce takes care of website hosting and security—giving teams more time to run their companies.
Hosted ecommerce platforms are often more secure and don’t require a high level of expertise compared to self-hosted software solutions.
Each BigCommerce store is protected by multiple layers of security to prevent unauthorized access, including perimeter and server-specific firewalls, file integrity scanners, intrusion detection software, and 24/7 human monitoring.
Online store data is also replicated on two data centers at a minimum, with backups hosted at a third site.
With servers certified at Level 1 PCI DSS 3.2, our ecommerce platform defends against credit card data breaches and eliminates the massive cost and hassle of handling compliance in-house.
All BigCommerce plans offer HTTPS across the entire site. Shoppers can feel comfortable knowing an online store is secure from the first page they visit through the checkout process.
Moreover, cutting-edge DDOS mitigation can cost more than $5,000 a month on traditional hosting platforms. With no extra cost to our Enterprise users, this benefit is our standard to protect websites from attacks.
Safeguarding data from breaches and managing all aspects of ecommerce security shouldn’t strain a business. BigCommerce alleviates the pressure with unmatched security performance.