SaaS コンプライアンスとセキュリティ
従来のトランザクション ビジネス モデルから SaaS に切り替えると、顧客のデータを保護する責任がさらに大きくなります。 ソリューションがセキュリティ標準および必要なコンプライアンス規制に準拠した最新のものであることを確認する必要があります。
コンプライアンス
お客様の顧客が居住している地域およびお客様がサービスを提供する地域に応じて、いくつかの規制に留意する必要があります。
- 一般データ保護規則 (GDPR。顧客が EU 内に居住している企業の場合)
- カリフォルニア州消費者プライバシー法 (CCPA)
- ブラジルの Lei Geral de Proteçao de Dados (LGPD)
- カナダの Digital Charter Implementation Act
- 中国の個人情報保護法 (PIPL)
地域によっては、他にも多くの規制があります。
セキュリティ
規制に確実に準拠することに加えて、必要なセキュリティ コントロールおよび手順を適切に適用することが重要です。 SaaS 企業は、他のソフトウェア企業と同様に、セキュリティ開発ライフサイクル (SDL) などの手法に従って、継続している製品開発プロセスにセキュリティが含まれていることを確認する必要があります。
SDL は、セキュリティの保証とコンプライアンスの要件をサポートする一連の厳格なプラクティスで構成されています。 SDL は、開発者がソフトウェアの脆弱性の数と重大度を低減しながら、開発コストを削減することで、より安全なソフトウェアを構築するために役立ちます。 SDL の一部として Microsoft が定義するプラクティスの詳細については、「Microsoft セキュリティ開発ライフサイクル プラクティス」を参照してください。
ソリューションのクラウド プロバイダーとして Microsoft Azure を使用すると、お客様およびお客様の顧客のデータを保護し、最新の規制に準拠するために Microsoft が既に行っているすべての取り組みから恩恵を受けることができます。 データ保護、プライバシー、GDPR の詳細については、Microsoft トラスト センターを参照してください。
Azure には、ワークロードを保護するためのすぐに使えるサービスが多数用意されています。 Azure のセキュリティ機能の詳細については、「Azure でセキュリティ体制を強化」を参照してください。
Contoso のシナリオ
Contoso は英国市場に注力することを決定したため、英国の GDPR 規則に準拠する必要があります。 Contoso が他の地域にもサービスの提供範囲を広げ、サービスを開始する場合、必要とされるすべての地域の規制に確実に準拠する必要があります。