Как начать работать с крупным бизнесом? Советы разработчикам SaaS
В гайде рассказываем, что сделать, чтобы ваше решение купила enterprise-компания.
Мы с командой предоставляем и развиваем защищенную IT-инфраструктуру, помогаем хранить данные в соответствии с лучшими практиками и стандартами. Среди наших клиентов встречаются как разработчики, так и заказчики SaaS-решений. Поэтому мы знаем потребности обеих сторон.
Используйте навигацию, если не хотите читать текст полностью.
Добавьте управление доступом и ролями
Почему это важно
В крупных компаниях руководители IT-подразделений и отделов информационной безопасности (ИБ) уделяют большое внимание процессам предоставления доступа к корпоративным ресурсам. Ведь любая «незакрытая дверь» может привести, например, к потере данных.
Сотрудникам выдают доступы только при необходимости, по принципу наименьших привилегий. Для этого в компаниях используют ПО для автоматизации выдачи, приостановки и отзыва прав. Крупным клиентам важно, чтобы ваш SaaS-сервис предоставлял управление доступом на основе ролей.
Пример распределения ролей.
Что нужно добавить в приложение
→ Сервисы регистрации и управления настройками учетных записей.
→ Функционал для редактирования и создания новых ролей, а также предоставления соответствующих прав.
→ Интеграции с ПО для управления доступом и идентификации пользователей.
Внедрение ролей и управление доступами — непростые задачи. Подробности технической реализации мы описали в полной версии гайда.
Примеры реализации
Посмотрите, как реализовано управление доступом в популярных SaaS-сервисах:
→ Miro
→ amoCRM
→ Bitrix24
Интегрируйте технологию единого входа
Почему это важно
По данным отчета Netskope, в среднем одна крупная западная компания используют более 1000 различных SaaS-приложений. Мы тоже посчитали число сервисов — в Selectel их более 150.
А теперь представьте, что каждый сервис использует устаревший способ входа с помощью логина и пароля. Сотрудникам приходится запоминать и хранить данные всех аккаунтов, а администраторам — предоставлять и отзывать доступы, и контролировать, чтобы пароли были сложными.
Чтобы избежать этих неудобств, используйте технологию единого входа — Single Sign-On.
Что нужно добавить в приложение
→ Поддержка стандартных протоколов OpenID Connect, OAuth 2.0 и SAML.
→ Синхронизация данных корпоративных пользователей. Например, чтобы в личном кабинете отображалось не только ФИО пользователя, но и его должность.
→ Многократная аутентификации пользователей.
О том, как все это работает в связке, можно узнать по ссылке.
Пример реализации
Посмотрите, как это реализовано в популярных SaaS-приложениях:
→ Ispring
→ Miro
Добавьте журналы аудита
Почему это важно
Задача специалистов по безопасности — контролировать доступ к корпоративной информации. Если часть данных переезжает в SaaS-продукты, специалисты не могут использовать дополнительные агенты для мониторинга инфраструктуры и приложения. Остается рассчитывать только на то, что разработчик SaaS предоставит подробные журналы аудита деятельности пользователей.
Журнал аудита — это централизованное хранилище «следов» обо всей активности пользователей в приложении. Данные можно использовать для того, чтобы:
— контролировать и предотвращать подозрительную активность,
— исследовать активность учетных записей во время инцидентов.
Вот признаки «хорошего» журнала аудита:
— умеет регистрировать и сохранять «следы» пользователей,
— предоставляет доступ к результатам аудита только администраторам и специалистам по безопасности,
— поддерживает экспорт данных и доступен через API,
— грамотно задокументирован.
Что нужно добавить в приложение
→ Целостность записей.
Данные из журнала аудита должны быть неизменными. А все события вроде удаления информации — отображаться в отдельном журнале. Внешние API, как и администраторы клиента, должны иметь доступ read only.
→ Синхронизация времени.
Для корректного объединения отдельных журналов важно обеспечить точность метки времени для каждого события. Периодически синхронизируйте время с NTP-сервером.
→ Экспорт.
Журналы должны поддерживать экспорт данных в таблицу CSV. И в идеале — доступ по API для выгрузки данных в SIEM.
→ Настройки сроков хранения данных.
По умолчанию «время жизни» журнала составляет полгода. Для некоторых задач — например, в банковской сфере — срок может достигать 1-3 года. Хорошо, если время хранения данных журнала можно регулировать по требованию.
→ Автоматизация в предоставлении записей.
Позаботьтесь, чтобы между сбором данных и формированием отчетов не было больших задержек — они могут повлиять на время реагирования команды безопасности. В идеале — автоматизировать процесс предоставления данных, чтобы исключить ручную работу и свести временные издержки к минимуму.
Полный список событий, которые может регистрировать журнал, а также пример открытой библиотеки для проведения аудитов — по ссылке.
Примеры реализации
Посмотрите, как компании реализуют журналы логов:
→ Miro
→ AmoCRM
Обеспечьте киберустойчивость и поделитесь успехами
Почему это важно
Часто клиенты беспокоятся за сохранность персональной информации — для этого есть причины: ежедневно на рынке происходят кибератаки и утечки данных. Поэтому большинство клиентов, прежде чем сделать выбор в пользу вашего SaaS-приложения, предоставят опросник по безопасности.
Вопросы в документе будут охватывать такие темы, как:
- безопасность продуктов,
- офисная безопасность и проверка сотрудников,
- безопасность внутренней сети,
- непрерывность бизнеса,
- безопасность поставщиков, в том числе — инфраструктуры,
- юридическая безопасность — информация о конечных бенефициарах и другое.
Будьте готовы ответить на вопросы — от этого зависит результат переговоров. В противном случае CISO потенциального клиента, который отвечает за безопасность коммерческих данных и ПД сотрудников и клиентов, не одобрит интеграцию вашего продукта.
Чтобы достойно ответить на вопросы, нужно обеспечить киберустойчивость.
Что нужно сделать
→ Обеспечьте безопасность на всех уровнях.
Большинство SaaS-приложений подразумевает удаленный доступ пользователей через интернет. Это значит, что к приложению могут получить доступ злоумышленники, используя незакрытые уязвимости.
Установите межсетевые экраны и защиту от DDoS-атак и других угроз, которые могут сказаться на работе серверов и баз данных.
→ Выясните у вашего провайдера, как происходит разграничение зон ответственности за безопасность и какие задачи уже решены.
Многие SaaS-решения используют IaaS-инфраструктуру для обеспечения масштабируемости, безопасности и стабильности работы. Выясните у вашего провайдера, как происходит разграничение зон ответственности за безопасность и какие задачи уже решены. Например, в Selectel есть базовая защита от DDoS-атак, а инфраструктура соответствует 152-ФЗ.
→ Периодически тестируйте продукт во время разработки.
Безопасность SaaS-приложения нужно заложить на этапе разработки ПО. Это быстрее и дешевле, чем устранять уязвимости «на лету», когда сервис работает в общем доступе.
→ Развивайте внутреннюю безопасность.
Каким бы безопасным ни было приложение, как бы тщательно ни проверялись новые релизы на отсутствие угроз, его поддержкой занимаются люди. Это значит, что необходимо уделить внимание безопасности сторонних приложений (например, в которых хранится код), с которыми работают ваши разработчики, и ноутбуков, с которых они подключаются — особенно при удаленной работе.
Обучение сотрудников основам ИБ, организация безопасной работы со внутренними сервисами с помощью VPN и многократной аутентификации — лишь базовые вещи, которые нужно реализовать. Никто не хочет, чтобы развитие бизнеса подвергалось риску, если кто-то из сотрудников по ошибке или незнанию кликнул на ссылку в фишинговом письме.
Наиболее подробное описание каждой рекомендации читайте тут.
Примеры реализации
Посмотрите хорошие примеры, как компании рассказывают о своих мерах обеспечения безопасности.
→ Мегаплан
→ Bitrix24
→ AmoCRM
→ Мое дело
Продемонстрируйте соответствие требованиям законов и стандартов
Почему это важно
Международные стандарты в области ИБ и законы о защите персональных данных становятся строже, а штрафы за их несоблюдение растут. Так, нарушение требований 152-ФЗ может обойтись в 18 млн рублей. И это напрямую относится к компаниям, которые предоставляют ПО как сервис.
Соответствие законам приобретает особую важность, если целевые клиенты из регулируемых отраслей — медицинские, финансовые или государственные организации.
Что нужно сделать
→ Определите перечень стандартов, которым должны соответствовать приложение и инфраструктура.
Для этого нужно выяснить, какие данные вы получаете и от кого, где их обрабатываете и кому передаете. И изучить причины, почему часть компаний не делает выбор в вашу пользу: возможно, дело в отсутствии необходимых сертификатов. А после — добавить общепринятые стандарты и требования к отрасли ваших клиентов.
→ Если нужно соответствовать нескольким стандартам, проверьте, есть ли пересечения в их требования.
Так вы сможете отсечь часть похожих проверок и дополнительных доработок SaaS-приложения.
→ Используйте соответствие требованиям как конкурентное преимущество.
С помощью сертификатов вы помогаете потенциальным клиентам проверить, соответствует ли ваш сервис необходимым требованиям. Не забудьте разместить информацию о соглашениях на сайте. Так у вас будет больше шансов привлечь крупных клиентов.
→ Обратитесь за помощью к другим компаниям
Это полезно, если необходимые компетенции отсутствуют, а соответствие стандартам нужно уже сейчас. Кроме того, подтвердить выполнение требований и выдать подтверждающий документ зачастую могут только компании с соответствующей лицензией.
Небольшой команде разработчиков будет сложно выполнить все требования. Но задачу можно упростить.
Примеры реализации
Вот несколько компаний, которые не скрывают соответствие законам и стандартам:
→ Selectel
→ OnDoc
→ Мое дело
А какие требования есть к вашим SaaS-приложениям? Поделитесь опытом в комментариях. И подпишитесь на блог Selectel, чтобы не пропустить обзоры, новости, кейсы и полезные гайды из мира IT.
Читайте также: