Mnohé často kladené otázky poskytovateľom SaaS (Softvér ako služba) produktov, vrátane Qics ako dodávateľa QicsMilestones, sa týkajú bezpečnosti dôverných firemných údajov. Najmä väčšie spoločnosti vraj váhajú používať softvérové aplikácie založené na cloude pre svoje vlastné obchodné operácie.
Tieto spoločnosti uprednostňujú prácu so softvérom nainštalovaným 'on-premises', veriac, že ich vlastné kancelárske priestory, kde sa nachádzajú servery hostujúce obchodný softvér, sú najbezpečnejšou možnosťou. Koniec koncov, ich kancelárie sú fyzicky zabezpečené proti vonkajším hrozbám a majú nad nimi plnú kontrolu. Qics tiež poskytuje tento typ softvéru, konkrétne QicsPlanner, QicsTime a QicsAnalytics, ale...
Čo by sa malo zvážiť pri prijímaní softvéru z cloudu, aby sa zabezpečilo, že práca s cloudovým softvérom je rovnako bezpečná ako používanie softvéru nainštalovaného on-premises? Nezaručujem kompletný prehľad, ale uvediem niektoré kľúčové otázky.
1) Spoľahlivosť, dostupnosť a kontinuita softvéru a spracovaných údajov
Aké opatrenia prijal poskytovateľ služieb, aby zabránil strate, krádeži alebo neoprávnenému prístupu k firemným údajom? To zahŕňa zálohovanie a spôsob hostingu používaný poskytovateľom cloudového softvéru.
Jednou z výhod používania cloudového softvéru je, že poskytovateľ softvéru môže neustále zlepšovať softvér, namiesto toho, aby zákazník musel neustále inštalovať nové balíky/verzie vo svojom vlastnom serverovom prostredí. Samozrejme, aktualizácie sú naplánované mimo bežných pracovných hodín, aby nedošlo k prerušeniu prevádzky zákazníka. Pred nasadením sú aktualizácie dôkladne testované v reprezentatívnom testovacom prostredí.
2) Neoprávnený prístup k údajom (bezpečnosť)
Technické opatrenia v hardvéri a softvéri, spolu s bezpečnými internetovými pripojeniami ('hardening' v softvérových termínoch), posilňujú IT správu. To zahŕňa bezpečnosť prístupu (heslá, pravidelné zmeny hesiel, automatické odhlásenie), auditné stopy (logovanie), zálohovanie a dokumentáciu.
Na komunikáciu medzi aplikáciou a používateľom sa používajú SSL (Secure Sockets Layer) pripojenia. SSL zabezpečuje, že údaje sú šifrované počas prenosu medzi webovým prehliadačom (používateľom) a serverom, čím zabraňuje zneužitiu zachytených údajov.
Poskytovateľ softvéru používa lokálne firewally.
Webová aplikácia overuje obsah HTTP požiadavky (komunikácia medzi prehliadačom používateľa a serverom) pred jej použitím a overuje, že žiadateľ je autentifikovaný.
Keďže cloudové riešenia sú multi-tenantné (viacerí používatelia zdieľajú ten istý softvér a databázu), poskytovateľ služieb neustále monitoruje, aby zabezpečil oddelenie údajov jednotlivých zákazníkov. Používatelia majú prístup iba k svojim vlastným údajom.
3) Nezávislosť od poskytovateľa
Vyhnutie sa 'vendor lock-in' je kľúčové. Je ľahké prejsť na iného poskytovateľa softvéru?
Je potrebné ustanoviť, že zákazník softvéru si zachováva vlastníctvo svojich obchodných údajov vždy. Môžu sa údaje ľahko exportovať alebo konvertovať na konci zmluvného obdobia, alebo musí byť predplatné udržané u poskytovateľa, aby sa mohol naďalej pristupovať k údajom spracovaným softvérovým balíkom? Aké sú s tým spojené ročné náklady, ak nejaké sú?
4) Spoľahlivosť spracovania údajov
Ako je spravovaná podpora softvéru? Existuje helpdesk, kde môžu používatelia hlásiť otázky a problémy? Sú hlásenia logované a je monitorované riešenie incidentov?
Aká je finančná stabilita poskytovateľa služieb? Inovuje dostatočne a využíva escrow zmluvu v prípade prerušenia činnosti?
Právny vzťah medzi poskytovateľom softvéru a zákazníkom sa všeobecne riadi štandardnými podmienkami. Podmienky ICT Office poskytujú vyváženú sadu práv a povinností pre poskytovateľov aj zákazníkov.
V Qics používame platformu Microsoft Windows Azure na vývoj, hosting a správu nášho cloudového riešenia QicsMilestones. Toto využíva silu globálneho hráča, spoločnosti Microsoft, ktorá zaručuje 99,95% dostupnosť (SLA).
Microsoft dodržiava najvyššie bezpečnostné štandardy, zabezpečuje škálovateľnosť a automaticky dodáva opravy pre váš webový server a operačný systém, čím udržiava vašu potrebnú infraštruktúru aktuálnu pre optimálne využitie s naším cloudovým softvérom.
Dúfam, že tento blog vám poskytol určitý pohľad (hoci stručný) na čiernu skrinku cloudu. Pochopenie pomáha znížiť naše predsudky a obavy týkajúce sa bezpečnostných aspektov práce s cloudovým softvérom. V súčasnosti sa vyvíjajú súkromné iniciatívy, ktoré poskytujú používateľom väčšiu istotu. Zeker Online je jedna z takýchto iniciatív, ktorá sa zameriava na poskytovateľov účtovného softvéru, ale pravdepodobne sa rozšíri aj na aplikácie pre tieto účtovné programy v budúcnosti.
