安华金和创始人刘晓韬：SaaS企业数据安全赋能

在移动互联网时代，数据成为了这个时代的关键词，无论是国家、企业还是个人，数据都是一笔宝贵的财富，在SaaS企业中，数据尤为重要。所以如何保障企业的数据安全成为企业思考的重点。2018年11月8日-9日 由国内影响和连接企业服务决策人、B2B领域创始人社群-崔牛会，主办的“回归 · 突破”2018中国企业互联网CEO峰会，在北京辽宁大厦隆重举行，国外大型投资机构Emergence Capital 的5位投资人莅临会场，国内投资机构与企服领域300多名CEO共同出席本次盛会，共话企服SaaS、数字化转型。安华金和创始人兼CEO刘晓韬出席了本次大会，并就《SaaS企业数据安全赋能》进行了精彩的演讲。

安华金和创始人兼CEO刘晓韬

以下为演讲实录： 刘晓稻：今天我演讲的题目是“SaaS企业数据安全赋能”。为什么演讲这个主题？跟我的个人经历有关系。我过去做了14年开发，10年内核开发，9年数据安全创业，因为我只会做数据和数据安全。目前SaaS企业在数据安全领域存在的问题，主要原因是SaaS企业对于数据安全的风险不重视。 2017年，我国陆续发生多起小规模数据交易事件引起的刑事诉讼。事实上，关于在数据安全上的立法，在2016年、2017年进入高峰期。最典型的是欧盟法案，这个法案里有两个非常惊人的数字，最高的罚款2000万欧，第二是4%的营业额。我们国家对于数据安全的条例，最高实施的是刑事诉讼。        我们国家在2017年6月份，相继推出了多项法律条款，逐渐使我们中国在数据上安全的共享使用上有了一个框架和边界，同时也是对于SaaS企业发展的规范，因为SaaS企业本质是数据性企业。 我们可以看一下，在SaaS圈最牛的企业salesforce，salesforce为了有效的规避它的法律责任，首先是做了一个个人隐私和安全性的隐私声明。它做的第一件事。向客户说明为什么收集用户数据，以及会跟用户表明数据的使用方式，所有的数据使用都是保证在客户同意的前提下。 第二件事情，这些客户说明未来这些数据会与哪些企业共享。未来我们国家数据的使用，也需要跟入户方清晰阐述数据的使用。 第三件事情，个人数据的国际传输。其中有一个数据存储所在地的要求，我们国家后来由网信办牵头出台《数据管理办法》，上述条款规定我国数据必须保留在中国境内。 第四件事情，企业自身数据的相关权利，包括企业对数据的自己的索取权、遗忘权、时间权等，这是国际性巨头在应对这些安全问题的时候，采用的相关措施。 企业用户在SaaS领域中存在一些担忧，数据不在自己的手里怎么办？送到云上了，这个数据归谁管？数据所有权在谁手上？万一数据泄露了，谁来承担相关责任？以及目前供应商安全措施是否足够保证应对黑客攻击。 SaaS企业面临的数据泄露的途径非常多，这些泄露里包含：

• 第一，外部黑客入侵。
• 第二，内部运营人员对数据有直接的访问权。
• 第三，不断迭代的系统，开发测试直接访问生产数据。
• 第四，第三方共享。
• 第五，云平台供应商。
• 第六，业务管理人员通过业务系统也可以批量性的获得企业情报。
• 第七，大型的业务系统存在着潜在的缺陷。

SaaS服务商面临的数据安全困境，我认为有四点：

• 第一点， 用户信任危机阻碍了业务的发展。今天早上崔牛分享的SaaS调查发现，有14%的用户会因为这一块担心启用SaaS服务。
• 第二点，法律的风险成为隐藏的炸弹。对行业安全政策法律了解不深，在安全合规等问题上难免出现疏漏。
• 第三点，核心的数据资产缺乏防护的手段。SaaS服务商数据存储在第三方云平台上，内部访问无法控制。
• 第四点，缺乏系统化的解决方案，这个主要是由于IT结构复杂性和接触数据人员的复杂性，缺乏专业的应对能力。