¿Qué cumplimiento y estándares de seguridad debe cumplir una aplicación SaaS empresarial cuando se implementa en una compañía Fortune 500?

Dependiendo del tipo de datos que use su aplicación, se le pedirá:

  • SSAE 16
  • ISO 27001
  • PCI DSS
  • Sarbanes – Oxley
  • HIPAA
  • FISMA (para la Fed de EE. UU.)
  • Cifrado de datos en reposo
  • Herramientas para realizar la eliminación periódica y la retención legal
  • Autenticación multifactor
  • Integración con una serie de soluciones de gestión de dispositivos móviles.
  • Integración LDAP y desaprovisionamiento automatizado
  • Múltiples centros de datos con paredes a prueba de fuego, personal de seguridad las 24 horas, cerraduras biométricas, sistemas redundantes de energía y enfriamiento, registros de auditoría de entrada física

¿ Necesitas alguna de estas cosas? Probablemente no. * *

Al final del día, el cumplimiento en realidad no lo hace estar a salvo del desastre, es el mínimo común denominador. Si ejecuta un envío razonablemente ajustado, probablemente superará los objetivos de esos estándares de cumplimiento de todos modos.

La alternativa a todo esto es la contratación de personas centradas en el campo inteligente de seguridad, que pueden hablar de manera inteligente sobre cada una de ellas y retroceder cuando sea apropiado. Contestar con confianza cada una de estas preguntas y obtener un puntaje aceptable de GRC, encontrará, es más importante que tenerlas en el primer día.

¿Por qué necesita cifrado de datos en reposo?

¿Cuál es el vector de amenaza que estás tratando de mitigar?

Oh, manejamos eso de una manera diferente, así es como.

Elija un buen proveedor de centro de datos y podrá eliminar la redundancia y obtener algunos de SSAE 16. Las empresas se están sintiendo más cómodas con los servicios web de Amazon, pero todavía no están realmente allí.

* si almacena las tarjetas de crédito de sus clientes, está un poco jodido.

Related Content

¿Cuáles son los modelos de precios de los sistemas de gestión de contenido (CMS)?

Tengo que hacer una aplicación SaaS que es una herramienta colaborativa de edición UML. ¿Qué debo saber para hacer esta aplicación?

¿Cuál es una distinción clara entre Qualaroo y WebEngage? Estoy extremadamente impresionado por la interfaz de Qualaroo. Pero hay una gran diferencia de precio entre los dos (con Qualaroo en el extremo superior).

¿Qué marco es mejor para una aplicación de estilo SAAS: Grails, Rails u otro?

¿Cuáles son las alternativas gratuitas (gratuitas) de Parse cuando anuncian el cierre?

Gran lista de Drew! Me encantaría ampliar cómo puede lograr / ejecutar en esto …

El ingrediente esencial que es bastante común en la mayoría de las verticales de la industria es la necesidad de la prevención de pérdida de datos (DLP) y un cierto nivel de integración empresarial, como la capacidad de hacer un inicio de sesión único (SSO) para que los usuarios finales tengan una gran experiencia. Existen requisitos más profundos, pero como desarrollador de aplicaciones, estos son los que debe centrarse para una cobertura amplia. Ya sea que se dirija a una gran empresa minorista o una empresa de servicios financieros, su mayor preocupación es cómo garantizar que los datos se mantengan seguros y lleguen al público deseado.

Dicho esto, un desarrollador de aplicaciones no debería tener que aprender las complejidades de la integración empresarial en la era de las plataformas de intermediación realmente maduras. Ayudan a abstraer las complejidades, reducen la curva de aprendizaje y lo más importante permiten al desarrollador tener las aplicaciones en manos del usuario final lo más rápido posible. Hacerlo te ayuda a concentrarte en ajustar la experiencia del usuario y la funcionalidad directamente relacionada con el valor de tu aplicación en lugar de requisitos extraños, pero críticos.

Déjame darte dos ejemplos:

Si se dirige al sector de la salud, me encanta lo que TrueVault ha hecho para simplificar el cumplimiento de HIPPA para aplicaciones móviles y web. En lugar de preocuparse por las minucias de los ingredientes HIPPA, puede llamar a una API RESFful que se encarga de una serie de requisitos. El enfoque RESTful API lo hace simple y prácticamente lo convierte en una marca de verificación en su proceso de desarrollo.

Mocana, la startup para la que trabajo, ofrece una plataforma que toma una aplicación completamente construida e inyecta políticas de seguridad como el cifrado de datos en reposo, la integración VPN por aplicación y Active Directory (AD), etc., en unos segundos, ahorrando meses de pruebas de desarrollo y regresión. Las políticas que ofrece esta plataforma son prácticamente el marco de políticas estándar para cualquier sector vertical de la industria. Pruebe esto aquí: Programa de desarrolladores de Mocana MAP

Cuando Stripe puede simplificar la integración de pagos previamente onerosa, Twilio puede simplificar la integración de SMS / Voz, creo que solo tiene sentido que tengamos el mismo nivel de experiencia en la plataforma de desarrollador orgánico para la adopción de seguridad y cumplimiento.

Tim Morgan

La respuesta de Drew es perfecta. Sin embargo, también asegúrese de crear un documento de seguridad de aspecto profesional que explique los detalles de seguridad de infraestructura, red y centro de datos. Puede compartir esto con los clientes potenciales siempre que pregunten sobre seguridad y ahorrará mucho de un lado a otro.
Mis dos centavos
DJ

Drew Dillon

Las cosas que a su cliente le importan lo suficiente como para NO comprar su producto.

A medida que llegue a Fortune 500, descubrirá que cada uno tiene políticas corporativas diferentes. Averigüe de sus prospectos lo que esperan como mínimo.

Dependiendo de la industria, puede haber algunos que se esperan, como SSAE, etc.

Drew Dillon

HIPAA, PCI, ISO 27001 y 27002, GLBA y Basilea II para principiantes. Dicho esto, ¿por qué desarrollar su propio software cuando podría ofrecer una solución MSP como SIEM Storm: http://www.blackstratus.com/ente

Sanjay Kalyanasundaram

More Interesting

¿Cuál es la mejor herramienta de seguimiento de compromiso para una startup SaaS?

¿Es una base de datos en la nube parte de IaaS o PaaS?

MarTech, automatización de ventas y recursos humanos son sectores SaaS con los mejores fondos. ¿Cuáles son los sectores emergentes / verticales más populares?

¿Cuáles son las mejores formas para que un proveedor de SaaS aumente sus precios?

¿Cuál es la mejor estrategia de precios para el software de transporte SaaS?

¿Existe algún software gratuito (o económico) de mesa de ayuda SaaS, fácil de implementar para una startup tecnológica con un pequeño equipo de mesa de ayuda de 4 agentes?

¿Por qué la mayoría de los productos SAAS no ofrecen opciones de precios de "pago por uso"?

¿Cómo pongo precio a mi servicio de software?

¿Debería la compañía SaaS hacer un reembolso cuando el cliente no usó el producto durante un mes específico?

¿Es posible construir un pequeño negocio B2B SaaS con un ARR máximo de $ 500,000?

¿Qué empresas SaaS empresariales tienen una excelente experiencia de usuario de prueba y / o de incorporación?

Para una aplicación SaaS a gran escala, ¿cuáles son las cosas que deben tenerse en cuenta al diseñar la aplicación?

¿Cuáles son los mejores ejemplos de SaaS para clientes corporativos?

¿Cuáles son otros softwares de inbound marketing como inBoundio que son menos de $ 50?

¿Cómo se valoran las empresas SaaS en los Estados Unidos?