• 8196
  • 64
  • 12
Нравится блог?
Подписывайтесь!

Доверите ли вы SaaS приложению жизнь своей компании?

Мне интересен этот вопрос все больше и больше, так как первый вопрос клиентов при покупке SaaS - это безопасность. Один из основных факторов, сдерживающих развитие SaaS и концепции аренды в целом, - вопрос доверия стороннему сервису, который хранит данные пользователей.

Хочу перечислить защиту, которую может предоставить SaaS в Казахстане(ИМХО):

 

 

 

 

Физическая безопасность

  1. Я так понимаю, если сервер стоит в ДИСЕ Казахтелекома - он в безопасности. Я имею ввиду, что к нему не получат доступ третьи лица, и не скрутят винчестер с данными.
  2. Если даже SaaS поставщики пользуются услугами провайдеров, сервер все равно стоит в безопасном месте и они гарантируют его безопасность.

Безопасность программного обеспечения

  1. Защита SQL - инъекций. Не менее актуальный вопрос, потому что это я думаю один из легких путей стащить данные, которые тебе не нужно видеть.
  2. Частичное шифрование данных хранимых в базах. Типа паролей, ну и еще какой нибудь нужной вещи.
  3. Еще я думаю актуально. Что бы не было статичных адресов. Например вместо http://example-saas.kz/companyname/finance?id=2, а было так http://example-saas.kz?var=bvasgdf23213hgahd2213. И такой адрес при каждом F5 менялся.
  4. Так же ничего не передавать GET запросами все только POST.
  5. Ну и конечно же HTTPS, расширение протокола HTTP, поддерживающее шифрование.

Что еще нужно клиентам? Не понимаю. Ведь основная проблема (90%), взломов, и утечки информации, это сами сотрудники. Так же к размышлению вот одна из многих статей про безопасность, плюсы и минусы.

Теперь вопросы:

Доверите ли вы свои данные SaaS поставщику?

Что еще нужно для безопасности?

 

19 сентября 2010, 21:18
885

Loading...

Комментарии

kiRach
0
0
1) то, что сервер в казахтелекоме или еще где-то, это еще не значит, что он находится в безопасности. В любой момент спецсужбы могут явится, и под каким-нить законным предлогом его опечатать. А такой исход может быть вероятен, если на сервере хранятся данные какой-нить компании, у которой есть конкуренты с выходом на эти самые спецслужбы. В рунете полно подобных историй, то же рутрекер. И в кз думаю дело не лучше. В этом плане, физическое размещение серверов в Европе или Америке будет даже безопаснее, там закон соблюдают, в отличии от СНГ.

2) sql-иъекции. Ну это только одна из многих угроз, которые могут грозить. Тут надо уж тогда либо по всем пройтись, либо как-то в общем это описать. Смысла говорить: "у нас есть защита от sql-инъекций, поэтому вас не взломают" нет. А DDoS, а брутфорс например. И еще куча возможных атак, про названия которых я даже не знаю:)

3) Цитатат: "Что бы не было статичных адресов. Например вместо example-saas.kz а было так example-saas.kz И такой адрес при каждом F5 менялся." По f5 кстати адрес меняться не будет, так как в браузере будет переход именно на тот адрес, который в этот момент в адресной строке. И это кстати неудобство. Тут надо перехватывать нажатие f5, обрабатывать это. В общем один гимор. А смысл? Смысл закрывать строку? Что в ней такого, чего не следует знать?

4) post вместо get ничего особенного в общем -то не дает. Параметры post'a можно и посмотреть, и подделать их. И это достаточно нетрудно.

В остальном все ок:)
По поводу первого. вы такие наивные? Вы думаете SaaS будут использовать миллионеры или какие-нибудь олигархи??? или чиновники которые ведут различного рода политические игры?... Это нужно для простых людей которые работают у которых бизнес у которых куча конкурентов (прямых и косвенных) и даже если они уберут с дороги появится другой ... Поэтому они просто будут использовать новинки для поддержания себя на рынке либо для развития. Это мое видение. Информационные технологии это же не панацея для всех. Кто видит предназначение тот поймет! Я думаю нет смысла олигарху или миллионеру пояснять о безопасности... они все равно не используют Интернет... я вот спецам которые борются за свою эффективность надо. Надо пояснят что это эффективно, а не безопасно... Мы не гарантируем полную безопасность, но мы гарантируем что мы делаем все возможное чтобы повысить уровень безопасности!
kiRach
0
0
Смотря какой SaaS рассматривать. Если это будет что-нибудь, наподобие очередного "хостинга картинок" , то конечно и боятся нечего. А если будет SaaS, который будет включать в себя хранение какой-то деловой информации компании? Ее счета, документы? Разве это не представляет ценность, и не должно находится в безопасности?
А потом, если мы говорим о том, что данные, которые будут хранится на серверах SaaS не представляют никакого интереса для третьих лиц, зачем вообще тогда заботится о безопасности? К чему этот топик? Все равно данные никому не нужны, и нечего париться.
Топик к тому, что даже директор маленькой компании из 10 человек, не хочет ничего иметь с SaaS сервисами, потому что у него фобия, что его данные увидят другие. (Когда так вот поразмыслить кому они нужны, а если даже нужны он подкупит сотрудника, а не SaaS поставщика)

Вот к чему, это тормозит развитие. Вопрос в том, почему люди где то доверяют, а у нас в стране не доверяют?
Ну так значит обеспечение безопасности нужно, вне зависимости от того, будут ли сервисом пользоваться олигархи и миллионеры, или это будут обычные люди:) А значит снова возвращаемся к вопросу о том, как эту безопасность обеспечить. Ну это больше к вопросу о том, наивен ли я или нет, думая что нудно защищать данные только сильных мира сего предыдущего комментатора.
Безопасность нужна всегда.
1) С коррупцией согласен, она есть и будет. И это кстати очень даже не радует. Насчет серверов, если клиенту сказать сказать, что его данные будут находиться в тысячах километров от Казахстана в другой стране, он вообще сразу откажется, не знаю менталитет это или просто не знание, но это уже было проверено на собственном опыте. Клиент думает, что раз данные в Америке, то их там могут украсть. =)

2) Здесь я скорее всего делал упор на безопасность данных. Тот же брутфорс - как может SaaS поставщик защитить, если у пользователя пароль "111"?

3) Очень много взломов, и техник взломов, проводят через строку браузера. Поэтому (ИМХО) шифровать строку не помешает.

4) Да, но куда отправлять их будешь, если статичного адреса нет?
kiRach
0
0
По первому вопросу надо просветлять клиентов. То, что сервера находятся в другой стране, это уже нормальная практика. Весь рунет только и говорит об этом,а там больше прецедентов по этому поводу, поэтому стоит доверять.
А остальное в общем-то вопрос людей, не по наслышке знающих о безопасности. Для ее обеспечения надо привлекать профессионалов. А шифрование строки, ну лично мне кажется что есть и более красивый и незаметный для пользователя способ.
Во во, профи напишите комментарий, интересно мнение эксперта.
Z полностью доверяю SaaS, приведу свои доводы:
- во первых, я участвую в разных и многих делах (проектах), где мне очень трудно отслеживать и связываться со многими людьми. а SaaS мне помогает, мне не важно кто может украсть мои данные, потому что ничего сверх секретного я не храню для работы... Секретная работа предполагает секретных людей и т.д. а если вы открыты и работаете с такими же, то смысл вкладываться в безопасность. Маневренность и гибкость вот что должно быть в приоритете.
Если я буду во главе компании в 15-25 человек то доверю, если больше то задумаюсь о своих серверах. Сервера в ДИСЕ от КТ еще не гарантируют 100% надежность их работы, даже если свой сервер на коллокейшне. Поэтому я буду больше доверять иностранцам, тому же гуглу.
Во, наконец то мнение со стороны. Да это действительно так. Но у тебя адекватная реакция к этому, потому что ты молодой. А что делать с нашими агашками? Они не хотят доверять даже гуглу.
Агашки это гос? Так у них всякие базы обычно коннектятся к серверам в астане, хотя в госструктурах почти везде бардак и толкового документооборота почти нигде нет. Им saas не нужен, они делают что сверху скажут, saas нужен мелкому бизнессу и среднему немножко. Крупные компании не выносят бизнесс-процессы на аутсорс обычно.
Нет, не гос. Я говорю о директорах чей возраст за 50, так сказать старой закалки. Гос, это понятно, им ничего не нужно, они сами программу сделают через компанию за 700 млн тнг, а на след год нужно переписывать и опять 700, и так бесконечно, им SaaS не пойдет =)
а те идут на экспермиенты кста =) не все но идут =)
Я бы скорее доверил. Но еще зависит от репутации компании предоставляющей сервис, так же посмотрел на то как она подошла к реализации, к деталям.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Насобирал разных фотографий про наш город, из семейного архива. Фотографии не от сканированные, а пересняты на телефон. Давно хотел выставить, но не решался) Сейчас уже мы все поменялись, уже...
Ispanec
22 февр. 2017 / 11:05
  • 12964
  • 26
«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

Ну реально же, парни, откуда вы только беретесь такие простые, а? Я сейчас просто расскажу несколько историй из личного опыта, и судите сами – нормально это? Но для начала расскажу немного о себе...
socium_kzo
22 февр. 2017 / 11:38
  • 8406
  • 98
Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

Трамвайные пути Алматы ни в коем случае нельзя убирать, это окончательно уничтожит трамвай

В Алматы было сделано несколько заявлений касательно ситуации с трамваем, опять же не в пользу его восстановления и возвращения на улицы города. В городе собираются демонтировать рельсы...
SKYFALL
24 февр. 2017 / 16:01
  • 7351
  • 5
В больнице пара бахил стоит 50 тенге, а оптом 4 тенге. Чувствуете разницу?

В больнице пара бахил стоит 50 тенге, а оптом 4 тенге. Чувствуете разницу?

Получается, цены на бахилы не повышались, а кто-то повысил их самовольно. Я думаю, что на этом пытаются заработать. Позже я нашла ещё одну удивительную штуку:) Упаковка бахил в количестве 50 пар...
killer_slova
вчера / 9:15
  • 6547
  • 28
Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Я совсем не смотрю передачу "Пусть говорят", слишком много ругани и негатива, но новость про какую-то девушку заполонила все мои социальные сети, я открыла youtube и посмотрела несколько передач...
Roza_pvl
22 февр. 2017 / 11:49
  • 6296
  • 34
Маргулан Сейсембаев: «Обучая детей в Англии, мы ментально растим граждан другой страны»

Маргулан Сейсембаев: «Обучая детей в Англии, мы ментально растим граждан другой страны»

Они становятся «не казахстанцами. Центром их жизненных интересов становится другая страна и другая культура, не Казахстан. Они просто не видят себя в нашей стране, не хотят возвращаться и по сути мы...
Zhumanova
сегодня / 11:35
  • 4351
  • 5
Как купить свое жилье при зарплате в 100 тысяч тенге

Как купить свое жилье при зарплате в 100 тысяч тенге

Итак, по просьбам трудящихся и по крикам души коллективного бессознательного решила я написать пост на эту тему. Вводные данные: 1) нет имущества, которое можно продать для покупки собственного...
DanaJarlygapova
20 февр. 2017 / 16:17
  • 4697
  • 47
Замуж в 27. Это как отправиться на войну, но без оружия

Замуж в 27. Это как отправиться на войну, но без оружия

Я очень долго думала писать данный пост или нет. Потому, что тема очень тонкая, возможно кого-то может задеть, а, возможно, наоборот кому-то откроет глаза. Тема замужества в каждом поколении была и...
Adilyan
21 февр. 2017 / 20:22
  • 4056
  • 20
Диана Шурыгина как один из PR-инструментов продвижения своего товара и бренда

Диана Шурыгина как один из PR-инструментов продвижения своего товара и бренда

Простому обывателю социальных сетей уже известно, что самой обсуждаемой персоной в последнее время является печально известная 16-ти летняя девушка из Ульяновска Диана Шурыгина.
tala03
21 февр. 2017 / 13:27
  • 3795
  • 15