SaaS 규정 준수 및 보안
기존 트랜잭션 비즈니스 모델에서 SaaS로 전환하면 고객의 데이터를 보호해야 할 책임이 더 커집니다. 솔루션이 최신 보안 표준 및 필수 준수 규정을 준수하고 있는지 확인해야 합니다.
규정 준수
고객이 거주하는 지역과 서비스를 제공하는 지역에 따라 알아야 할 몇 가지 규정은 다음과 같습니다.
- EU 고객을 대상으로 하는 회사를 위한 GDPR(일반 데이터 보호 규정)
- 캘리포니아 소비자 개인 정보 보호법(CCPA)
- 브라질의 LGPD(Lei Geral de Proteçao de Dados)
- 캐나다 디지털 헌장 이행법
- 중국의 PIPL(개인 정보 보호법)
그 밖에도 지역에 따라 많은 규정이 있습니다.
보안
규정을 준수하는 것 외에도 필요한 보안 제어 및 절차를 구현해야 합니다. 다른 소프트웨어 회사와 마찬가지로 SaaS 회사는 보안이 지속적인 제품 개발 프로세스의 일부인지 확인하기 위해 SDL(Security Development Lifecycle)과 같은 방법론을 따라야 합니다.
SDL은 보안 보증 및 규정 준수 요구 사항을 지원하는 일련의 사례로 구성됩니다. SDL은 개발자가 소프트웨어 취약성의 수와 심각도를 줄이고 개발 비용을 줄여 더욱 안전한 소프트웨어를 빌드할 수 있도록 도와줍니다. Microsoft가 SDL의 일부로 정의한 사례에 대한 자세한 내용은 Microsoft Security Development Lifecycle 사례를 참조하세요.
Microsoft Azure를 솔루션의 클라우드 공급자로 사용하면 사용자와 고객의 데이터를 보호하고 최신 규정을 준수하기 위해 Microsoft가 이미 수행하고 있는 작업의 혜택을 누릴 수 있습니다. Microsoft 보안 센터에서 데이터 보호, 개인 정보 보호 및 GDPR에 대한 자세한 내용을 확인할 수 있습니다.
Azure는 워크로드 보호를 위해 기본 제공 다양한 서비스를 제공합니다. Azure 보안 기능에 대한 자세한 내용은 Azure를 통한 보안 태세 강화를 참조하세요.
Contoso 시나리오
Contoso는 영국 시장에 집중하기로 결정했기 때문에 영국 GDPR 규정을 준수해야 합니다. Contoso는 성장하여 다른 지역에서 서비스 제공을 시작하면 필요한 모든 지역 규정을 준수해야 합니다.