• 8691
  • 64
  • 12
Нравится блог?
Подписывайтесь!

Доверите ли вы SaaS приложению жизнь своей компании?

Мне интересен этот вопрос все больше и больше, так как первый вопрос клиентов при покупке SaaS - это безопасность. Один из основных факторов, сдерживающих развитие SaaS и концепции аренды в целом, - вопрос доверия стороннему сервису, который хранит данные пользователей.

Хочу перечислить защиту, которую может предоставить SaaS в Казахстане(ИМХО):

 

 

 

 

Физическая безопасность

  1. Я так понимаю, если сервер стоит в ДИСЕ Казахтелекома - он в безопасности. Я имею ввиду, что к нему не получат доступ третьи лица, и не скрутят винчестер с данными.
  2. Если даже SaaS поставщики пользуются услугами провайдеров, сервер все равно стоит в безопасном месте и они гарантируют его безопасность.

Безопасность программного обеспечения

  1. Защита SQL - инъекций. Не менее актуальный вопрос, потому что это я думаю один из легких путей стащить данные, которые тебе не нужно видеть.
  2. Частичное шифрование данных хранимых в базах. Типа паролей, ну и еще какой нибудь нужной вещи.
  3. Еще я думаю актуально. Что бы не было статичных адресов. Например вместо http://example-saas.kz/companyname/finance?id=2, а было так http://example-saas.kz?var=bvasgdf23213hgahd2213. И такой адрес при каждом F5 менялся.
  4. Так же ничего не передавать GET запросами все только POST.
  5. Ну и конечно же HTTPS, расширение протокола HTTP, поддерживающее шифрование.

Что еще нужно клиентам? Не понимаю. Ведь основная проблема (90%), взломов, и утечки информации, это сами сотрудники. Так же к размышлению вот одна из многих статей про безопасность, плюсы и минусы.

Теперь вопросы:

Доверите ли вы свои данные SaaS поставщику?

Что еще нужно для безопасности?

 

19 сентября 2010, 21:18
914

Loading...

Комментарии

kiRach
0
0
1) то, что сервер в казахтелекоме или еще где-то, это еще не значит, что он находится в безопасности. В любой момент спецсужбы могут явится, и под каким-нить законным предлогом его опечатать. А такой исход может быть вероятен, если на сервере хранятся данные какой-нить компании, у которой есть конкуренты с выходом на эти самые спецслужбы. В рунете полно подобных историй, то же рутрекер. И в кз думаю дело не лучше. В этом плане, физическое размещение серверов в Европе или Америке будет даже безопаснее, там закон соблюдают, в отличии от СНГ.

2) sql-иъекции. Ну это только одна из многих угроз, которые могут грозить. Тут надо уж тогда либо по всем пройтись, либо как-то в общем это описать. Смысла говорить: "у нас есть защита от sql-инъекций, поэтому вас не взломают" нет. А DDoS, а брутфорс например. И еще куча возможных атак, про названия которых я даже не знаю:)

3) Цитатат: "Что бы не было статичных адресов. Например вместо example-saas.kz а было так example-saas.kz И такой адрес при каждом F5 менялся." По f5 кстати адрес меняться не будет, так как в браузере будет переход именно на тот адрес, который в этот момент в адресной строке. И это кстати неудобство. Тут надо перехватывать нажатие f5, обрабатывать это. В общем один гимор. А смысл? Смысл закрывать строку? Что в ней такого, чего не следует знать?

4) post вместо get ничего особенного в общем -то не дает. Параметры post'a можно и посмотреть, и подделать их. И это достаточно нетрудно.

В остальном все ок:)
По поводу первого. вы такие наивные? Вы думаете SaaS будут использовать миллионеры или какие-нибудь олигархи??? или чиновники которые ведут различного рода политические игры?... Это нужно для простых людей которые работают у которых бизнес у которых куча конкурентов (прямых и косвенных) и даже если они уберут с дороги появится другой ... Поэтому они просто будут использовать новинки для поддержания себя на рынке либо для развития. Это мое видение. Информационные технологии это же не панацея для всех. Кто видит предназначение тот поймет! Я думаю нет смысла олигарху или миллионеру пояснять о безопасности... они все равно не используют Интернет... я вот спецам которые борются за свою эффективность надо. Надо пояснят что это эффективно, а не безопасно... Мы не гарантируем полную безопасность, но мы гарантируем что мы делаем все возможное чтобы повысить уровень безопасности!
kiRach
0
0
Смотря какой SaaS рассматривать. Если это будет что-нибудь, наподобие очередного "хостинга картинок" , то конечно и боятся нечего. А если будет SaaS, который будет включать в себя хранение какой-то деловой информации компании? Ее счета, документы? Разве это не представляет ценность, и не должно находится в безопасности?
А потом, если мы говорим о том, что данные, которые будут хранится на серверах SaaS не представляют никакого интереса для третьих лиц, зачем вообще тогда заботится о безопасности? К чему этот топик? Все равно данные никому не нужны, и нечего париться.
Топик к тому, что даже директор маленькой компании из 10 человек, не хочет ничего иметь с SaaS сервисами, потому что у него фобия, что его данные увидят другие. (Когда так вот поразмыслить кому они нужны, а если даже нужны он подкупит сотрудника, а не SaaS поставщика)

Вот к чему, это тормозит развитие. Вопрос в том, почему люди где то доверяют, а у нас в стране не доверяют?
Ну так значит обеспечение безопасности нужно, вне зависимости от того, будут ли сервисом пользоваться олигархи и миллионеры, или это будут обычные люди:) А значит снова возвращаемся к вопросу о том, как эту безопасность обеспечить. Ну это больше к вопросу о том, наивен ли я или нет, думая что нудно защищать данные только сильных мира сего предыдущего комментатора.
Безопасность нужна всегда.
1) С коррупцией согласен, она есть и будет. И это кстати очень даже не радует. Насчет серверов, если клиенту сказать сказать, что его данные будут находиться в тысячах километров от Казахстана в другой стране, он вообще сразу откажется, не знаю менталитет это или просто не знание, но это уже было проверено на собственном опыте. Клиент думает, что раз данные в Америке, то их там могут украсть. =)

2) Здесь я скорее всего делал упор на безопасность данных. Тот же брутфорс - как может SaaS поставщик защитить, если у пользователя пароль "111"?

3) Очень много взломов, и техник взломов, проводят через строку браузера. Поэтому (ИМХО) шифровать строку не помешает.

4) Да, но куда отправлять их будешь, если статичного адреса нет?
kiRach
0
0
По первому вопросу надо просветлять клиентов. То, что сервера находятся в другой стране, это уже нормальная практика. Весь рунет только и говорит об этом,а там больше прецедентов по этому поводу, поэтому стоит доверять.
А остальное в общем-то вопрос людей, не по наслышке знающих о безопасности. Для ее обеспечения надо привлекать профессионалов. А шифрование строки, ну лично мне кажется что есть и более красивый и незаметный для пользователя способ.
Во во, профи напишите комментарий, интересно мнение эксперта.
Z полностью доверяю SaaS, приведу свои доводы:
- во первых, я участвую в разных и многих делах (проектах), где мне очень трудно отслеживать и связываться со многими людьми. а SaaS мне помогает, мне не важно кто может украсть мои данные, потому что ничего сверх секретного я не храню для работы... Секретная работа предполагает секретных людей и т.д. а если вы открыты и работаете с такими же, то смысл вкладываться в безопасность. Маневренность и гибкость вот что должно быть в приоритете.
Если я буду во главе компании в 15-25 человек то доверю, если больше то задумаюсь о своих серверах. Сервера в ДИСЕ от КТ еще не гарантируют 100% надежность их работы, даже если свой сервер на коллокейшне. Поэтому я буду больше доверять иностранцам, тому же гуглу.
Во, наконец то мнение со стороны. Да это действительно так. Но у тебя адекватная реакция к этому, потому что ты молодой. А что делать с нашими агашками? Они не хотят доверять даже гуглу.
Агашки это гос? Так у них всякие базы обычно коннектятся к серверам в астане, хотя в госструктурах почти везде бардак и толкового документооборота почти нигде нет. Им saas не нужен, они делают что сверху скажут, saas нужен мелкому бизнессу и среднему немножко. Крупные компании не выносят бизнесс-процессы на аутсорс обычно.
Нет, не гос. Я говорю о директорах чей возраст за 50, так сказать старой закалки. Гос, это понятно, им ничего не нужно, они сами программу сделают через компанию за 700 млн тнг, а на след год нужно переписывать и опять 700, и так бесконечно, им SaaS не пойдет =)
а те идут на экспермиенты кста =) не все но идут =)
Я бы скорее доверил. Но еще зависит от репутации компании предоставляющей сервис, так же посмотрел на то как она подошла к реализации, к деталям.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Бесспорные доказательства – путь к упрощенному судопроизводству

Бесспорные доказательства – путь к упрощенному судопроизводству

В Казахстане введен институт упрощенного (письменного) судопроизводства, который позволяет повысить доступность правосудия и сократить сроки рассмотрения дел.
mark_iceberg
20 нояб. 2017 / 15:49
  • 15965
  • 3
Новшества на орбите уголовного правосудия

Новшества на орбите уголовного правосудия

Недавно я приняла участие в международной конференции по модернизации уголовного процесса, прошедшей в Бурабае. В чем значимость данных реформ для обычного казахстанца?
mirabeisenova
20 нояб. 2017 / 16:22
  • 12742
  • 3
О «топ-30», «топ-50» и прочих понтах можно пока забыть

О «топ-30», «топ-50» и прочих понтах можно пока забыть

В объективности выводов швейцарского банка Credit Suisse усомниться трудно – его экономические рейтинги относятся к самым авторитетным и их явно трудно упрекнуть в предвзятости
openqazaqstan
18 нояб. 2017 / 17:21
  • 8153
  • 92
Опровержение на статью «Самый большой мошенник в стране – Казахтелеком»

Опровержение на статью «Самый большой мошенник в стране – Казахтелеком»

По требованию компании АО «Казахтелеком», Блог-платформы YourVision» сообщает своим пользователям, что сведения, изложенные в статье, являются непроверенными.
yvision
вчера / 15:29
Атамбаев под занавес президентства сделал всё, чтобы сжечь мосты

Атамбаев под занавес президентства сделал всё, чтобы сжечь мосты

На своей итоговой пресс-конференции в понедельник уходящий кыргызский президент говорил не об итогах своей деятельности, а о «плохом» Казахстане.
openqazaqstan
21 нояб. 2017 / 18:36
«Смех сквозь слезы», или 7 причин не любить Алматы

«Смех сквозь слезы», или 7 причин не любить Алматы

Жизнь в Алматы не всегда сладкая, как сахарная вата и мультики субботним утром. В этой ироничной статье автор блога «Almaty — My First Love» расскажет о семи причинах не любить Алматы.
AlmatyMyLove
20 нояб. 2017 / 13:12
  • 3167
  • 71
В Кызылорде нет Детского дома: мы построили 8 коттеджей для детей

В Кызылорде нет Детского дома: мы построили 8 коттеджей для детей

Тут живут будущие повара, актрисы, журналисты, боксеры, баскетболисты, певцы, поэты и многие другие талантливые дети!
socium_kzo
22 нояб. 2017 / 14:49
  • 2583
  • 0
«Развитие Казахстана самими гражданами»: миф или реальность?

«Развитие Казахстана самими гражданами»: миф или реальность?

Проблем в обществе много: даже больше, чем догадывается среднестатистический казахстанец. И тут я хочу описать несколько, с моей точки зрения, проблем нашего общества.
Advokot
18 нояб. 2017 / 23:27
«Полет ради полета»: знакомство с калужской авиацией изнутри

«Полет ради полета»: знакомство с калужской авиацией изнутри

В прошлом году на мероприятии "Слет Авиатора" я выиграла подарок - экскурсию на командно-диспетчерский пункт (КДП). Но тогда я даже не ожидала, что эта экскурсия выльется в такое интересное...
Aleksandra747
20 нояб. 2017 / 9:00
  • 1776
  • 6