Allt svårare för SaaS-leverantörer att skydda företagskundernas integritet

[KRÖNIKA] Runt om i världen ställer företagskunder krav på att B2B SaaS-leverantörer ska skydda deras användningsdata.

Framför allt vill de veta hur SaaS-företaget använder denna typ av data.

Till skillnad från personuppgifter genereras användningsdata varje gång som företagskunder brukar en B2B SaaS-produkt, vilket innebär både för- och nackdelar. Ta till exempel de data som en användares interaktioner med tjänsterna genererar. SaaS-leverantörer använder denna information för att förbättra sin produkt som en tjänst och därigenom smidigare kunna betjäna sina företagskunder. Å andra sidan kan de mönster som framgår av ett företags användningsdata avslöja mycket kring dess fokus och vilka sorters insikter de försöker få fram. Informationen kan till och med indikera hur företagets framtida strategi ser ut.

Med tanke på hur ofta organisationer som t ex Facebook har kritiserats för sin integritetspolicy är det inte överraskande att konsumenterna är mer oroade över hur företag får tillgång till och använder sina data. I en färsk konsumentstudie utförd av undersökningsföretaget Propeller Insight om teknik och dataintegritet, där över 1000 amerikaner tillfrågades, ansåg 73 procent att det finns ett behov av mer datapolicy och regleringar. Endast 6 procent ansåg att det behövdes mindre, medan de återstående 21 procenten tyckte att dagens datapolicy och regleringar är tillräckliga.

Konsumentkraven påverkar företagskraven

Denna push för integritet bubblar upp till B2B-världen, vilket får många företag att kräva samma slags integritetsskydd för tjänster som t ex SaaS-lösningar och andra B2B-plattformar. Tyvärr kan dessa förväntningar inte enkelt översättas från konsumentvärlden till B2B-världen.

Beakta följande: Bör ett företag ha samma integritetsskydd som privatanvändare? Eller en ännu klurigare fråga – Bör enskilda anställda, som använder tredjepartsleverantörstjänster på ett företagsnätverk, ha samma integritetsskydd som de har när de agerar privatpersoner i sina hemmanätverk?

Vid en första anblick kan det verka ok att göra integritetsrelaterade snedsteg utanför privatlivet. Men varför bör man inte ha ett maximalt skydd även för sina B2B-användardata?

Anledningen är denna:

Företagen som tillhandahåller dessa B2B-tjänster behöver ha möjligheten att samla in vissa uppgifter, av flera olika anledningar. Om du till exempel kan spåra IP-adresser, hur kan du då skydda dina kunders data eller förhindra applikationsattacker? Om du kan anknyta personligt identifierbara data till en företagskunds konto, hur kan du då erbjuda bästa möjliga service när kunden behöver support? B2B-leverantörer samlar vanligtvis in data för att förbättra sin produkt, till exempel för att spåra buggar eller pensionera funktioner som ingen längre använder. Vem ska äga och kontrollera dessa data?

Organisationer som lagrar sina egna kunddata på andra företags servrar, som t ex Salesforce eller Oracle, har ett bestående intresse av att dessa partners skyddar informationen på allra högsta säkerhetsnivå. Men integritet och säkerhet går inte alltid hand i hand.

I slutändan gör dessa trender dock att det blir både svårare och mycket dyrare för B2B-företag att göra affärer i ett multinationellt privatlivsfrämjande klimat. Men företagen kan inte fly från problemet. Faktum är att de verksamheter som effektivt kan hantera en myriad av regler och kundförfrågningar kommer att ha en konkurrensfördel.

En väg som B2B-företag väljer för att hantera dessa komplikationer är att noggrant lokalisera vissa roller och funktioner i jurisdiktioner baserade på lokala regleringar. Om till exempel sekretessbestämmelserna är för restriktiva i ett visst land, kan det vara meningslöst att placera supportagenter där. I verkligheten kan vissa företag bli varse om att kunderna begär ett ännu striktare integritetsskydd än den rådande lokala lagstiftningen.

Tyvärr så finns det ingen tydlig guidebok för B2B-företag kring dessa frågor. Eftersom företagskunder i allt högre utsträckning granskar leverantörskontrakt, är det utan tvivel många företag som gör bedömningen från fall till fall. Det är en komplicerad process som kräver att juridik-, säkerhets- och integritetsexperter kopplas in. Men tills lagarna och normerna hinner ikapp teknologin kan det vara den enda vägen framåt.

Av: Mario Duarte, Vice President of Security, Snowflake Computing