• 8388
  • 64
  • 12
Нравится блог?
Подписывайтесь!

Доверите ли вы SaaS приложению жизнь своей компании?

Мне интересен этот вопрос все больше и больше, так как первый вопрос клиентов при покупке SaaS - это безопасность. Один из основных факторов, сдерживающих развитие SaaS и концепции аренды в целом, - вопрос доверия стороннему сервису, который хранит данные пользователей.

Хочу перечислить защиту, которую может предоставить SaaS в Казахстане(ИМХО):

 

 

 

 

Физическая безопасность

  1. Я так понимаю, если сервер стоит в ДИСЕ Казахтелекома - он в безопасности. Я имею ввиду, что к нему не получат доступ третьи лица, и не скрутят винчестер с данными.
  2. Если даже SaaS поставщики пользуются услугами провайдеров, сервер все равно стоит в безопасном месте и они гарантируют его безопасность.

Безопасность программного обеспечения

  1. Защита SQL - инъекций. Не менее актуальный вопрос, потому что это я думаю один из легких путей стащить данные, которые тебе не нужно видеть.
  2. Частичное шифрование данных хранимых в базах. Типа паролей, ну и еще какой нибудь нужной вещи.
  3. Еще я думаю актуально. Что бы не было статичных адресов. Например вместо http://example-saas.kz/companyname/finance?id=2, а было так http://example-saas.kz?var=bvasgdf23213hgahd2213. И такой адрес при каждом F5 менялся.
  4. Так же ничего не передавать GET запросами все только POST.
  5. Ну и конечно же HTTPS, расширение протокола HTTP, поддерживающее шифрование.

Что еще нужно клиентам? Не понимаю. Ведь основная проблема (90%), взломов, и утечки информации, это сами сотрудники. Так же к размышлению вот одна из многих статей про безопасность, плюсы и минусы.

Теперь вопросы:

Доверите ли вы свои данные SaaS поставщику?

Что еще нужно для безопасности?

 

19 сентября 2010, 21:18
900

Загрузка...
Loading...

Комментарии

kiRach
0
0
1) то, что сервер в казахтелекоме или еще где-то, это еще не значит, что он находится в безопасности. В любой момент спецсужбы могут явится, и под каким-нить законным предлогом его опечатать. А такой исход может быть вероятен, если на сервере хранятся данные какой-нить компании, у которой есть конкуренты с выходом на эти самые спецслужбы. В рунете полно подобных историй, то же рутрекер. И в кз думаю дело не лучше. В этом плане, физическое размещение серверов в Европе или Америке будет даже безопаснее, там закон соблюдают, в отличии от СНГ.

2) sql-иъекции. Ну это только одна из многих угроз, которые могут грозить. Тут надо уж тогда либо по всем пройтись, либо как-то в общем это описать. Смысла говорить: "у нас есть защита от sql-инъекций, поэтому вас не взломают" нет. А DDoS, а брутфорс например. И еще куча возможных атак, про названия которых я даже не знаю:)

3) Цитатат: "Что бы не было статичных адресов. Например вместо example-saas.kz а было так example-saas.kz И такой адрес при каждом F5 менялся." По f5 кстати адрес меняться не будет, так как в браузере будет переход именно на тот адрес, который в этот момент в адресной строке. И это кстати неудобство. Тут надо перехватывать нажатие f5, обрабатывать это. В общем один гимор. А смысл? Смысл закрывать строку? Что в ней такого, чего не следует знать?

4) post вместо get ничего особенного в общем -то не дает. Параметры post'a можно и посмотреть, и подделать их. И это достаточно нетрудно.

В остальном все ок:)
По поводу первого. вы такие наивные? Вы думаете SaaS будут использовать миллионеры или какие-нибудь олигархи??? или чиновники которые ведут различного рода политические игры?... Это нужно для простых людей которые работают у которых бизнес у которых куча конкурентов (прямых и косвенных) и даже если они уберут с дороги появится другой ... Поэтому они просто будут использовать новинки для поддержания себя на рынке либо для развития. Это мое видение. Информационные технологии это же не панацея для всех. Кто видит предназначение тот поймет! Я думаю нет смысла олигарху или миллионеру пояснять о безопасности... они все равно не используют Интернет... я вот спецам которые борются за свою эффективность надо. Надо пояснят что это эффективно, а не безопасно... Мы не гарантируем полную безопасность, но мы гарантируем что мы делаем все возможное чтобы повысить уровень безопасности!
kiRach
0
0
Смотря какой SaaS рассматривать. Если это будет что-нибудь, наподобие очередного "хостинга картинок" , то конечно и боятся нечего. А если будет SaaS, который будет включать в себя хранение какой-то деловой информации компании? Ее счета, документы? Разве это не представляет ценность, и не должно находится в безопасности?
А потом, если мы говорим о том, что данные, которые будут хранится на серверах SaaS не представляют никакого интереса для третьих лиц, зачем вообще тогда заботится о безопасности? К чему этот топик? Все равно данные никому не нужны, и нечего париться.
Топик к тому, что даже директор маленькой компании из 10 человек, не хочет ничего иметь с SaaS сервисами, потому что у него фобия, что его данные увидят другие. (Когда так вот поразмыслить кому они нужны, а если даже нужны он подкупит сотрудника, а не SaaS поставщика)

Вот к чему, это тормозит развитие. Вопрос в том, почему люди где то доверяют, а у нас в стране не доверяют?
Ну так значит обеспечение безопасности нужно, вне зависимости от того, будут ли сервисом пользоваться олигархи и миллионеры, или это будут обычные люди:) А значит снова возвращаемся к вопросу о том, как эту безопасность обеспечить. Ну это больше к вопросу о том, наивен ли я или нет, думая что нудно защищать данные только сильных мира сего предыдущего комментатора.
Безопасность нужна всегда.
1) С коррупцией согласен, она есть и будет. И это кстати очень даже не радует. Насчет серверов, если клиенту сказать сказать, что его данные будут находиться в тысячах километров от Казахстана в другой стране, он вообще сразу откажется, не знаю менталитет это или просто не знание, но это уже было проверено на собственном опыте. Клиент думает, что раз данные в Америке, то их там могут украсть. =)

2) Здесь я скорее всего делал упор на безопасность данных. Тот же брутфорс - как может SaaS поставщик защитить, если у пользователя пароль "111"?

3) Очень много взломов, и техник взломов, проводят через строку браузера. Поэтому (ИМХО) шифровать строку не помешает.

4) Да, но куда отправлять их будешь, если статичного адреса нет?
kiRach
0
0
По первому вопросу надо просветлять клиентов. То, что сервера находятся в другой стране, это уже нормальная практика. Весь рунет только и говорит об этом,а там больше прецедентов по этому поводу, поэтому стоит доверять.
А остальное в общем-то вопрос людей, не по наслышке знающих о безопасности. Для ее обеспечения надо привлекать профессионалов. А шифрование строки, ну лично мне кажется что есть и более красивый и незаметный для пользователя способ.
Во во, профи напишите комментарий, интересно мнение эксперта.
Z полностью доверяю SaaS, приведу свои доводы:
- во первых, я участвую в разных и многих делах (проектах), где мне очень трудно отслеживать и связываться со многими людьми. а SaaS мне помогает, мне не важно кто может украсть мои данные, потому что ничего сверх секретного я не храню для работы... Секретная работа предполагает секретных людей и т.д. а если вы открыты и работаете с такими же, то смысл вкладываться в безопасность. Маневренность и гибкость вот что должно быть в приоритете.
Если я буду во главе компании в 15-25 человек то доверю, если больше то задумаюсь о своих серверах. Сервера в ДИСЕ от КТ еще не гарантируют 100% надежность их работы, даже если свой сервер на коллокейшне. Поэтому я буду больше доверять иностранцам, тому же гуглу.
Во, наконец то мнение со стороны. Да это действительно так. Но у тебя адекватная реакция к этому, потому что ты молодой. А что делать с нашими агашками? Они не хотят доверять даже гуглу.
Агашки это гос? Так у них всякие базы обычно коннектятся к серверам в астане, хотя в госструктурах почти везде бардак и толкового документооборота почти нигде нет. Им saas не нужен, они делают что сверху скажут, saas нужен мелкому бизнессу и среднему немножко. Крупные компании не выносят бизнесс-процессы на аутсорс обычно.
Нет, не гос. Я говорю о директорах чей возраст за 50, так сказать старой закалки. Гос, это понятно, им ничего не нужно, они сами программу сделают через компанию за 700 млн тнг, а на след год нужно переписывать и опять 700, и так бесконечно, им SaaS не пойдет =)
а те идут на экспермиенты кста =) не все но идут =)
Я бы скорее доверил. Но еще зависит от репутации компании предоставляющей сервис, так же посмотрел на то как она подошла к реализации, к деталям.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Казком берет комиссии за оплаты по карте. Почему на это закрывают глаза Visa и MasterCard?!

Казком берет комиссии за оплаты по карте. Почему на это закрывают глаза Visa и MasterCard?!

Покупаешь в супермаркете продукты на 5000 тенге и банк забирает себе еще 30-50 тенге. То есть, продукты обошлись уже не в 5000, а в 5050 тенге.
ValentinaVladimirska
25 мая 2017 / 22:56
  • 10960
  • 24
Узаконенное варварство в стране, принимающей «EPXO». Еще далеко нам до «топ-30 развитых стран»

Узаконенное варварство в стране, принимающей «EPXO». Еще далеко нам до «топ-30 развитых стран»

В продвинутых государствах едва ли поймут, почему в столь развитом, успешном и преуспевающем Казахстане от имени и по заданию властей творятся такие зверства над животными.
openqazaqstan
24 мая 2017 / 12:12
  • 10378
  • 102
Поддержим пенсией жиреющие банки! На что казахстанцам разрешат досрочно тратить свои накопления в ЕНПФ

Поддержим пенсией жиреющие банки! На что казахстанцам разрешат досрочно тратить свои накопления в ЕНПФ

Со стороны ЕНПФ в очередной раз прозвучало крайне неоднозначное заявление, от которого, на наш взгляд, лучше было бы воздержаться.
openqazaqstan
23 мая 2017 / 11:08
  • 9501
  • 32
Вырубка деревьев в Алматы под БРТ. Проект уже нанес городу экологический ущерб

Вырубка деревьев в Алматы под БРТ. Проект уже нанес городу экологический ущерб

Как ранее уже сообщалось из-за строительства БРТ в Алматы пострадают значительное количество деревьев. На прошлой неделе вырублены первые вязы и клён, - под расширение проезжей части на улице...
SKYFALL
24 мая 2017 / 17:20
  • 7897
  • 12
Системная коррупция стала главной угрозой для Казахстана. У нас воруют миллиардами

Системная коррупция стала главной угрозой для Казахстана. У нас воруют миллиардами

Коррупционные отношения вышли на такой уровень, что они уже начинают дискредитировать всю систему управления.
openqazaqstan
вчера / 13:45
  • 7127
  • 32
Что бы ни сделал пешеход – все равно водитель сядет

Что бы ни сделал пешеход – все равно водитель сядет

Вопрос о равной ответственности водителя и пешехода при наезде на последних, только-только начинают обдумывать в высоких кабинетах. Но, пока государственные головы думают, водители продолжают...
Mirogloff
22 мая 2017 / 23:29
  • 4967
  • 32
Пока полицейские будут прощать, им будут бить и по чести, и по лицу

Пока полицейские будут прощать, им будут бить и по чести, и по лицу

Судья Алмалинского районного суда Куаныш Арипов ломает стереотипы отношения граждан к представителям Фемиды. Напавшему на полицейского экс-сотруднику алматинского акимата он назначил наказание выше...
Mirogloff
24 мая 2017 / 16:41
  • 3689
  • 9
Да-да, я знаю, пора выходить замуж. Есть ли у меня еще время и, пожалуйста, уточните сколько?

Да-да, я знаю, пора выходить замуж. Есть ли у меня еще время и, пожалуйста, уточните сколько?

Итак давайте сразу начистоту. Мне 29. Не замужем, никогда не была, детей нет. В душе я совсем не чувствую этот возраст. Каждый раз когда задумываюсь об этом больше чем на 3 минуты, меня накрывает...
user2017
23 мая 2017 / 10:57
Аблязов загробным голосом декларирует «ДВК-2». Монолог обиженного человека

Аблязов загробным голосом декларирует «ДВК-2». Монолог обиженного человека

Последний монолог Аблязова о «продолжении борьбы с режимом» и «ДВК-2», при всём желании, не выглядел как какой-то политический манифест.
openqazaqstan
25 мая 2017 / 13:53
  • 2955
  • 61