In un modello SaaS, probabilmente non sarai in grado di eseguire controlli del codice. Questo perché, come affermato, è Software as a Service. Non è un software in cui è possibile scaricare il software stesso, per non parlare del codice sorgente del software. Tale compito sarebbe svolto a discrezione del fornitore del software e / o del fornitore. Consulta " 5 problemi con la sicurezza SaaS "
Quindi documenterò i problemi che ho con SaaS e SaaS Security.
- Accesso: chi sta accedendo a questo. È solo la mia organizzazione. E 'un
software multi-tenant. Ci sarebbe una sovrapposizione.
- Controllo - Come posso verificarlo a volontà. Dove sono archiviati i registri, come posso modificarli per la mia azienda (conservazione dei dati)
- Sicurezza - mentre potrei non essere in grado di controllare il codice, come posso testare la frutta a basso impatto (note vulnerabilità note, problemi di configurazione, ecc.)
La sicurezza quando si tratta di software acquistato non è mai una sua responsabilità. Quando acquisti un'auto, e la casa automobilistica ti dice che hanno attraversato (almeno negli Stati Uniti) i test IIHS (Insurance Institute for Highway Safety) che hanno stabilito una linea di base di sicurezza, hai mai detto: " Io non credeteli, ho bisogno di schiantarmi la macchina per assicurarmi che l'airbag si apra. "Molti più grandi venditori SaaS hanno misure di sicurezza e test in atto. (Google, Microsoft, Salesforce, ecc.)
Quindi mettiamolo in una vista alternativa ora. Testare il software, trovare vulnerabilità. E allora. Ora cosa. Li aggiusti da solo? Cosa ti fa pensare che un fornitore SaaS ti consentirebbe di testare in modo casuale il loro software "pre acquisto". Ci deve essere un certo livello di fiducia, e mentre si può dire: "Fidati ma verifica" nel mondo degli affari, è qui che entrano in gioco gli accordi sul livello di servizio e gli accordi sui termini di servizio per mitigare / trasferire il rischio.
Molti provider SaaS prendono seriamente la sicurezza, ad esempio vedi l'atteggiamento di Microsoft su questo :
Office 365 and Microsoft Dynamics CRM Online internal monitoring
includes automated compliance monitoring of infrastructure (e.g.,
vulnerability scans, penetration testing and testing of process and
people controls). The Office 365 and Microsoft Dynamics CRM Online
third-party validation program includes independent audits that are
conducted on an annual basis to provide verification of Office 365 and
Microsoft Dynamics CRM Online's security posture.
Che cosa stai cercando di realizzare esattamente? Stai cercando di essere il team di sicurezza di un fornitore?