Bahasa Melayu

Semakan Keselamatan dan Pematuhan untuk Pembeli SaaS Mid-Market

Pasukan undang-undang menyerahkan laporan SOC 2 kepada IT, IT mengesahkan lencana adalah terkini, dan perolehan menandakan semakan keselamatan selesai. Prosedur standard. Vendor adalah syarikat Siri B yang mempunyai pembiayaan kukuh, halaman keselamatan yang kelihatan munasabah, dan dinding logo pelanggan yang boleh dikenali.

Sebelas bulan kemudian, eksploitasi zero-day dalam perisian tengah API vendor mendedahkan 40,000 rekod pelanggan. SOC 2 telah merangkumi kawalan akses vendor, prosedur pengurusan perubahan, dan pemantauan ketersediaan. Ia tidak merangkumi komponen pihak ketiga tertentu yang gagal. Dan kerana kontrak mengandungi klausa had liabiliti yang luas, pemulihan undang-undang syarikat adalah minimum.

Tiada siapa yang cuai. SOC 2 adalah tulen. Tetapi pensijilan yang memberitahu anda bahawa vendor mempunyai kawalan yang baik pada masa audit tidak memberitahu anda sama ada kawalan tersebut merangkumi risiko khusus yang terwujud pada bulan sebelas.

Panduan ini adalah semakan keselamatan yang melampaui lencana.

Fakta Utama: Semakan Keselamatan SaaS pada Tahun 2026

  • Kira-kira 67% vendor SaaS B2B memegang laporan SOC 2 Jenis II terkini, menurut penanda aras State of Trust Vanta 2024, tetapi kurang daripada 30% merangkumi kriteria Kerahsiaan atau Privasi dalam skop.
  • Semakan keselamatan SaaS enterprise secara purata mengambil masa 41 hari dari awal hingga akhir (IANS Research, 2024), itulah sebabnya pasukan mid-market menggunakan penyelesaian sementara sebelum semakan selesai.
  • Anggaran 54% pelanggaran pihak ketiga pada tahun 2024 dapat dikesan kembali kepada vendor SaaS atau awan dalam timbunan pembeli (Verizon DBIR, 2024, bahagian Rantai Bekalan).
  • Syarikat mid-market (200 hingga 2,000 pekerja) memintas semakan keselamatan formal pada 38% pembelian SaaS, biasanya kerana perolehan tidak menandai perbelanjaan tersebut sebagai perisian (Gartner, 2024).
  • Klausa notis pelanggaran median dalam kontrak SaaS adalah 30 hari, 10 kali lebih lama daripada piawaian 72 jam GDPR yang kebanyakan pembeli sangka terpakai.

Mengapa Pensijilan Adalah Titik Permulaan, Bukan Garisan Akhir

Pensijilan keselamatan memenuhi tujuan penting: ia mewujudkan rekod yang didokumenkan bahawa vendor menggunakan kawalan tertentu pada titik masa tertentu, yang disahkan oleh pihak ketiga. Itu bermakna. Penjelasan AICPA tentang pelaporan SOC menjelaskan dengan tepat apa yang setiap jenis laporan akui, dan apa yang tidak.

Tetapi pensijilan mempunyai had struktur:

Ia melihat ke belakang. SOC 2 Jenis II merangkumi tempoh pemerhatian 6 hingga 12 bulan yang berakhir sebelum anda menandatangani. Postur keselamatan vendor hari ini mungkin berbeza dari apa yang laporan cerminkan, disebabkan perubahan kakitangan, migrasi infrastruktur, atau kebergantungan pihak ketiga baharu. Untuk pecahan dalam bahasa mudah tentang apa yang SOC 2, ISO 27001, dan GDPR masing-masing merangkumi dan di mana ia bertindih, panduan kerangka pematuhan untuk pembeli adalah titik permulaan terbaik.

Ia merangkumi skop yang ditetapkan. SOC 2 vendor mungkin merangkumi produk teras mereka tetapi secara eksplisit mengecualikan integrasi pihak ketiga tertentu, rakan kongsi pemprosesan data, atau komponen infrastruktur. Membaca bahagian skop laporan SOC 2 sering mendedahkan kejutan.

Ia tidak memberitahu anda apa yang berlaku apabila sesuatu tidak kena. Pensijilan memberitahu anda tentang kawalan dan proses. Ia tidak memberitahu anda seberapa cepat vendor akan memberitahu anda tentang pelanggaran, bagaimana rupa Playbook tindak balas insiden mereka, atau bagaimana mereka secara historis menangani peristiwa keselamatan.

Alat berkuasa AI mengumpul lebih banyak. Alat SaaS tradisional memproses data yang anda berikan kepada mereka. Alat berkuasa AI semakin memproses data yang diinferens (corak, tingkah laku, isyarat agregat merentasi pelanggan) dengan cara yang mungkin tidak dilindungi oleh kerangka pensijilan sedia ada.

Semakan lima lapisan di bawah menangani semua jurang ini.

Semakan Keselamatan Berkadar

Semakan Keselamatan Berkadar adalah prinsip sisi pembeli: padankan kedalaman semakan anda dengan sensitiviti data yang vendor akan sentuh, bukan dengan nilai kontrak vendor atau prestij logo. Alat bernilai $6 setiap lesen yang mengambil PII pelanggan layak mendapat semakan yang lebih mendalam daripada alat bernilai $60 setiap lesen yang hanya melihat metrik penggunaan agregat, dan kebanyakan belakang semakan mid-market terputus kerana pasukan menjalankan soal selidik 200 soalan yang sama terhadap setiap vendor tanpa mengira pendedahan data. Peringkatkan vendor kepada laluan semakan minimum (tiada data pelanggan), standard (data dalaman), dan tinggi (data terkawal atau data pelanggan) sebelum soal selidik dihantar.

Lapisan 1: Pensijilan, Baca Laporan Bukan Lencana

SOC 2 Jenis II

Jangkaan standard untuk mana-mana alat SaaS yang mengendalikan data perniagaan atau pelanggan. Sahkan:

  • Tempoh laporan. Laporan harus merangkumi 6 hingga 12 bulan sejurus sebelum semakan anda. SOC 2 dari 18 bulan lalu adalah tidak terkini.
  • Kriteria Perkhidmatan Amanah yang dirangkumi. SOC 2 mempunyai lima kriteria: Keselamatan (CC), Ketersediaan (A), Integriti Pemprosesan (PI), Kerahsiaan (C), dan Privasi (P). Kebanyakan vendor hanya merangkumi Keselamatan dan Ketersediaan. Sahkan kriteria mana yang dirangkumi dan pastikan yang berkaitan dengan kes penggunaan anda disertakan.
  • Skop. Baca bahagian skop dengan teliti. Sistem, produk, dan infrastruktur apa yang disertakan? Apa yang dikecualikan?
  • Pendapat yang layak. Jika laporan mengandungi pengecualian atau pendapat yang layak, fahami apakah ia. Pengecualian kecil dalam pengurusan perubahan berbeza daripada pengecualian dalam kawalan akses.

Apa yang perlu ditanya:

  • Bolehkah saya menerima laporan SOC 2 Jenis II penuh di bawah NDA?
  • Kriteria perkhidmatan amanah mana yang diliputi laporan anda?
  • Apakah tempoh audit, dan bilakah audit seterusnya anda dijadualkan?
  • Adakah terdapat sebarang pengecualian atau kelayakan dalam laporan semasa?

ISO 27001

Berkaitan jika anda beroperasi di pasaran antarabangsa atau industri terkawal. ISO 27001 merangkumi sistem pengurusan keselamatan maklumat (ISMS), yang tidak sama seperti SOC 2 dan tidak boleh digunakan secara berganti. Vendor dengan ISO 27001 tetapi tanpa SOC 2 mempunyai profil yang berbeza daripada yang mempunyai SOC 2 tetapi tanpa ISO 27001.

Semak skop sijil, ia harus sepadan dengan produk dan infrastruktur yang anda beli.

Ujian Penembusan

Tanya tarikh dan skop ujian penembusan terbaru, siapa yang menjalankannya, dan apakah dapatan materialnya. Vendor yang tidak pernah menjalankan ujian penembusan atau enggan berkongsi keputusan ringkasan adalah isyarat risiko yang bermakna.

Jawapan yang boleh dipercayai: "Kami menjalankan ujian penembusan tahunan dengan [firma luar]. Yang terbaru adalah [tarikh] dan laporan ringkasan tersedia di bawah NDA. Dapatan material telah diperbaiki."

Lapisan 2: Pengendalian Data dan Kediaman

Lapisan ini adalah tentang apa yang berlaku pada data anda setelah ia berada dalam sistem vendor.

Geografi Penyimpanan Data

Di mana data anda berada mempengaruhi kewajipan pematuhan anda, pendedahan anda kepada permintaan data kerajaan asing, dan hak anda di bawah peraturan privasi seperti GDPR.

Soalan yang perlu ditanya:

  • Di manakah pangkalan data produksi dihoskan secara geografi?
  • Di manakah sandaran disimpan?
  • Adakah anda menawarkan pilihan kediaman data untuk kawasan AS, EU, atau kawasan tertentu jika diperlukan?
  • Jika anda menggunakan AWS, Azure, atau GCP, rantau mana?

Pengekalan dan Pemadaman Data

  • Berapa lama data pelanggan dikekalkan semasa kontrak aktif?
  • Berapa lama data pelanggan dikekalkan selepas penamatan kontrak?
  • Apakah proses pemadaman, dan bolehkah anda menyediakan pengesahan bahawa pemadaman telah berlaku?
  • Adakah sandaran dipadam mengikut jadual yang sama seperti data produksi?

Sub-pemproses Pihak Ketiga

Setiap vendor SaaS menggunakan infrastruktur pihak ketiga, analitik, sokongan, dan penyedia AI. Setiap penyedia tersebut adalah titik pendedahan data yang berpotensi. Minta senarai sub-pemproses terkini dan semak sama ada ada yang berada di bidang kuasa dengan kebimbangan privasi yang ketara.

Data Latihan AI (Kritikal untuk Alat Berkuasa AI)

Jika alat vendor merangkumi ciri AI, ini menjadi soalan pengendalian data yang paling penting:

  • Adakah data pelanggan digunakan untuk melatih model AI vendor? (Model dikongsi, atau diasingkan per pelanggan?)
  • Jika ya, bolehkah pelanggan memilih untuk tidak terlibat?
  • Adakah keputusan inferens dari data pelanggan dikongsi dengan pelanggan lain?
  • Apakah adendum pemprosesan data untuk pengendalian khusus AI?

Lapisan 3: Model Kawalan Akses

Cara vendor mengawal akses kepada data anda (dan kepada infrastruktur mereka sendiri) adalah petunjuk langsung kematangan keselamatan.

Kawalan akses sisi vendor:

  • Siapa di vendor yang mempunyai akses kepada data pelanggan? (Sokongan, kejuruteraan, pasukan data?)
  • Apakah proses kelulusan untuk akses pekerja vendor kepada data produksi?
  • Adakah akses dilog dan diaudit?
  • Adakah pengesahan berbilang faktor diperlukan untuk pekerja vendor yang mengakses sistem produksi?

Kawalan akses sisi pelanggan:

  • Adakah produk menyokong kawalan akses berasaskan peranan (RBAC)?
  • Adakah SSO tersedia, dan adakah ia disertakan dalam peringkat asas atau merupakan tambahan?
  • Adakah pengesahan berbilang faktor diperlukan untuk pengguna akhir, tersedia, atau pilihan?
  • Apa yang berlaku kepada akses data apabila pengguna dinyahperuntukan?

Isu cukai SSO: Banyak vendor SaaS mengenakan bayaran tambahan untuk SSO, yang merupakan kawalan keselamatan yang sepatutnya standard. Amalan ini didokumenkan secara meluas dalam komuniti keselamatan. Gambaran keseluruhan Wikipedia tentang SSO menjelaskan mengapa federasi identiti adalah kawalan keselamatan asas berbanding ciri premium. Jika syarikat anda menggunakan IdP (Okta, Azure AD, Google Workspace), SSO adalah keperluan keselamatan yang bermakna. Ketahui sama ada ia disertakan sebelum anda melihat harganya dalam borang pesanan. Corak kos tersembunyi seperti inilah yang pemodelan TCO untuk SaaS tangkap dalam baris kos integrasi Kategori 3.

Lapisan 4: Polisi Notis Pelanggaran

Apabila sesuatu tidak kena (dan secara statistik, sesuatu akan tidak kena dengan mana-mana vendor yang anda gunakan cukup lama), apa yang anda berhak tahu dan bila adalah penting.

Soalan yang perlu ditanya:

  • Apakah komitmen kontrak anda untuk jadual notis pelanggaran? (72 jam adalah piawaian GDPR; banyak kontrak menawarkan 30 hari, yang terlalu lambat)
  • Apa yang merupakan pelanggaran yang boleh dilaporkan di bawah definisi anda berbanding insiden keselamatan?
  • Pernahkah anda mengalami pelanggaran yang boleh dilaporkan dalam dua tahun kelepasan? Jika ya, apa yang berlaku dan apakah hasilnya?
  • Apakah prosedur tindak balas insiden anda dan siapa kenalan yang ditetapkan?
  • Adakah insurans liabiliti siber anda merangkumi kos notis pelanggan?

Piawaian kontrak minimum: Dapatkan SLA notis pelanggaran secara bertulis. 72 jam dari penemuan untuk apa-apa yang melibatkan data peribadi adalah piawaian untuk dirunding. Ini mencerminkan keperluan yang ditetapkan oleh Perkara 33 teks peraturan GDPR. Jika vendor menolak, fahami mengapa.

Lapisan 5: Sejarah Pendedahan Kerentanan

Insiden keselamatan yang lalu, apabila ditangani dengan baik, adalah bukti kematangan, bukan pengeluaran dari senarai. Vendor yang tidak pernah mendedahkan kerentanan sama ada tidak pernah diserang (tidak mungkin) atau tidak mempunyai program pendedahan (masalah). Kerangka Keselamatan Siber NIST mentakrifkan pendedahan bertanggungjawab dan pengurusan kerentanan sebagai amalan teras fungsi "Bertindak Balas" dan "Pulih". Vendor yang tidak dapat merujuknya kemungkinan tidak beroperasi pada tahap kematangan itu. Untuk alat berkuasa AI, soalan-soalan ini melanjutkan kepada inferens model dan pendedahan data latihan, yang panduan penilaian SaaS berkuasa AI tangani secara terperinci.

Soalan yang perlu ditanya:

  • Adakah anda mempunyai program bug bounty atau polisi pendedahan bertanggungjawab?
  • Pernahkah anda mendedahkan sebarang CVE (Common Vulnerabilities and Exposures) dalam dua tahun kelepasan?
  • Jika ya, apakah jadual dari penemuan hingga tampalan dan pendedahan?
  • Perpustakaan atau komponen pihak ketiga apa yang bergantung kepada produk anda, dan bagaimana anda menjejaki kerentanan dalam mereka?

Soal Selidik Semakan Keselamatan (20 Soalan)

Hantar soal selidik ini sebelum panggilan semakan keselamatan. Ia mendedahkan jurang sebelum masa anda dihabiskan padanya.

Pensijilan

  1. Adakah anda mempunyai laporan SOC 2 Jenis II terkini? Kriteria perkhidmatan amanah mana yang diliputi?
  2. Adakah pensijilan ISO 27001 dalam skop untuk produk yang kami beli?
  3. Apakah tarikh ujian penembusan terbaru anda, dan adakah ringkasan tersedia?

Pengendalian Data 4. Di manakah data produksi disimpan secara geografi? Di manakah sandaran? 5. Adakah anda menawarkan pilihan kediaman data untuk [rantau kami]? 6. Apakah polisi pengekalan data anda semasa dan selepas penamatan kontrak? 7. Sub-pemproses mana yang mengendalikan data kami dan di manakah mereka berpangkalan? 8. Adakah data pelanggan digunakan untuk melatih model AI anda? Bolehkah pelanggan memilih untuk tidak terlibat?

Kawalan Akses 9. Siapa di syarikat anda yang boleh mengakses data pelanggan produksi, dan apakah proses kelulusannya? 10. Adakah akses produksi dilog dan boleh diaudit? 11. Adakah SSO atau SAML tersedia, dan adakah ia disertakan dalam peringkat asas? 12. Adakah produk menyokong kawalan akses berasaskan peranan (RBAC)?

Notis Pelanggaran 13. Apakah jadual notis pelanggaran kontrak anda? 14. Pernahkah anda mengalami pelanggaran yang boleh dilaporkan atau insiden keselamatan material dalam dua tahun kelepasan? 15. Siapa kenalan keselamatan yang ditetapkan sekiranya berlaku insiden?

Pengurusan Kerentanan 16. Adakah anda mempunyai program bug bounty atau pendedahan bertanggungjawab? 17. Pernahkah anda mendedahkan sebarang CVE dalam tempoh 24 bulan kelepasan? 18. Bagaimana anda menjejaki dan menampal kerentanan perpustakaan pihak ketiga?

Kontrak dan Pematuhan 19. Bolehkah saya menerima DPA dan semua adendum pemprosesan data sebelum menandatangani? 20. Apakah had liabiliti anda untuk pelanggaran keselamatan yang mempengaruhi data pelanggan kami?

Kad Skor Keselamatan Vendor

Gunakan ini untuk meringkaskan semakan kepada pembuat keputusan bukan teknikal:

Domain Skor (1 hingga 5) Nota
Terkini dan skop pensijilan
Ketelusan pengendalian data
Kematangan kawalan akses
Komitmen notis pelanggaran
Sejarah pendedahan kerentanan
Pengendalian data AI (jika berkenaan)
Keseluruhan

Skor 4 hingga 5: Teruskan dengan semakan kontrak standard. Skor 3: Teruskan dengan keperluan pemulihan khusus dalam kontrak. Skor di bawah 3: Eskalasi kepada kepimpinan IT sebelum meneruskan; pertimbangkan sama ada vendor ini boleh memenuhi keperluan anda.

Cara Rework Mendekati Semakan Keselamatan, Dari Kedua-dua Pihak

Rework mengekalkan SOC 2 Jenis II (kriteria Keselamatan, Ketersediaan, dan Kerahsiaan), dengan pilihan kediaman data di rantau AS dan EU serta komitmen notis pelanggaran 72 jam dalam DPA standard kami, tanpa rundingan diperlukan untuk memenuhi piawaian GDPR. Data pelanggan tidak pernah digunakan untuk melatih model AI bersama, sub-pemproses disenaraikan secara awam, dan SSO disertakan dalam setiap peringkat berbayar berbanding diletakkan di belakang tambahan enterprise.

Di sisi lain, Rework Work Ops adalah apa yang pasukan IT dan keselamatan mid-market gunakan untuk menjalankan semakan keselamatan itu sendiri sebagai proses antara jabatan. Work Ops (dari $6/pengguna/bulan) memberikan anda baris gilir pengambilan bersama di mana perolehan menandai permintaan SaaS baharu, menghalakannya secara automatik kepada IT atau keselamatan berdasarkan peringkat sensitiviti data, menjejaki respons soal selidik terhadap tarikh akhir penandatanganan kontrak, dan mengekalkan undang-undang, kewangan, dan jabatan pemohon dalam jadual yang sama. Ia mengubah kitaran semakan purata 41 hari menjadi aliran kerja yang boleh diramalkan berbanding urutan Slack yang mati selepas susulan ketiga.

Soalan Lazim

Soalan Lazim Tentang Semakan Keselamatan dan Pematuhan SaaS

Pensijilan keselamatan apa yang setiap SaaS patut ada?

Untuk mana-mana alat yang menyentuh data pelanggan atau perniagaan, SOC 2 Jenis II (kriteria Keselamatan dan Ketersediaan sekurang-kurangnya) adalah garis asas. Tambah ISO 27001 jika anda beroperasi di EU atau industri terkawal, dan DPA terkini jika sebarang data peribadi mengalir melalui vendor. Pensijilan di bawah SOC 2 Jenis II, seperti SOC 2 Jenis I, "whitepaper keselamatan" yang dinilai sendiri, atau halaman pusat kepercayaan tanpa laporan asas, adalah tidak setara dan perlu dianggap sebagai jurang, bukan lulus.

Bilakah saya perlu memerlukan soal selidik keselamatan penuh?

Peringkatkan mengikut sensitiviti data. Semakan minimum (soal selidik pendek, dokumen pusat kepercayaan awam) untuk alat yang tidak melihat data pelanggan. Semakan standard (SIG Lite 30 hingga 40 soalan) untuk alat dengan data perniagaan dalaman. Semakan tinggi (SIG penuh atau CAIQ, ditambah laporan SOC 2 di bawah NDA dan penandaan DPA) untuk apa sahaja yang menyentuh PII pelanggan, data kewangan, kod sumber, atau data terkawal. Menjalankan borang 150 soalan yang sama terhadap setiap vendor adalah sebab belakang semakan berkembang lebih cepat daripada yang dapat diselesaikan.

Berapa lama semakan keselamatan SaaS patut mengambil masa?

Untuk proses berjenjang, semakan minimum adalah 2 hingga 5 hari bekerja, standard adalah 10 hingga 15 hari bekerja, tinggi adalah 3 hingga 6 minggu. Penanda aras IANS 2024 sebanyak 41 hari mencerminkan proses tidak berjenjang di mana alat berisiko rendah duduk dalam baris gilir yang sama seperti alat berisiko tinggi. Jika semakan tinggi anda secara konsisten melebihi 8 minggu, kesesakan itu hampir selalu adalah penandaan undang-undang DPA, bukan soal selidik keselamatan itu sendiri.

Bolehkah vendor SaaS melangkau SOC 2 dan masih selamat?

Vendor peringkat awal (pra-Siri A, di bawah kira-kira 50 pekerja) kadangkala beroperasi dengan selamat tanpa SOC 2 semata-mata kerana kos audit belum melalui bajet mereka. Untuk kes penggunaan yang tidak sensitif, vendor yang boleh dipercayai dengan ISO 27001, ringkasan ujian penembusan yang diterbitkan, DPA yang jelas, dan jadual SOC 2 yang dinyatakan boleh diterima dengan bahasa kontrak pampas. Untuk apa-apa yang mengendalikan PII pelanggan atau data terkawal, "kami sedang mengerjakan SOC 2" bukan pengganti. Wajibkan ia sebelum pelancaran produksi dan tuliskan dalam kontrak sebagai pencapaian.

Apakah bendera merah semakan keselamatan yang terbesar?

Vendor yang tidak akan berkongsi laporan SOC 2 mereka di bawah NDA. Lencana di laman web adalah pemasaran; laporannya adalah artifak. Vendor yang mengelak dengan "pasukan undang-undang kami tidak membenarkan kami berkongsi laporan" sama ada salah mewakili pensijilan mereka, mempunyai pengecualian material yang tidak mahu dilihat pembeli, atau mempunyai skop laporan yang tidak merangkumi produk yang anda beli. Kedua terbesar: enggan komit kepada notis pelanggaran dalam tempoh 30 hari.

Siapa yang memiliki semakan keselamatan, IT, pasukan keselamatan, atau undang-undang?

Di mid-market (200 hingga 2,000 pekerja), semakan keselamatan biasanya terletak pada IT atau fungsi keselamatan kecil, dengan undang-undang memiliki DPA dan penandaan kontrak. Mod kegagalan adalah apabila tiada siapa yang memiliki peralihan: IT bersetuju pada kawalan, undang-undang bersetuju pada terma, tetapi tiada siapa yang menyemak bahawa bahasa kontrak sebenarnya mencerminkan apa yang IT sahkan. Tetapkan satu pemilik semakan setiap vendor, biasanya IT untuk peringkat tinggi, perolehan untuk standard, dan jadikan undang-undang sebagai pengulas, bukan penjaga pintu.

Haruskah saya menyemak semula vendor yang sudah saya luluskan?

Ya, mengikut kekerapan berjenjang risiko. Vendor peringkat tinggi setiap tahun (laporan SOC 2 baharu, senarai sub-pemproses dikemaskini, muat semula ujian penembusan). Vendor peringkat standard setiap 2 tahun atau pada pembaharuan. Vendor peringkat minimum hanya pada perubahan material (pengambilalihan, perkembangan rantau, ciri AI baharu). Vendor yang diambil alih oleh syarikat yang lebih besar atau berkembang ke rantau pemprosesan data baharu harus mencetuskan semakan luar kitaran tanpa mengira peringkat.

Ketahui Lebih Lanjut