Qu'est-ce que la conformité SaaS ?

Pour comprendre ce qu'est la conformité SaaS, il vaut la peine de prendre du recul et d'examiner la relation entre la technologie et la conformité en général. Bien que certains types de conformité ne concernent pas du tout spécifiquement la technologie, comme les contrôles financiers dans Sarbanes-Oxley, en réalité, presque tous les aspects de la conformité sont liés à un certain type de technologie de l'information. Étant donné que les entreprises utilisent des ordinateurs pour pratiquement tous les processus opérationnels et financiers, tous les logiciels, infrastructures et données qui affectent ces processus sont soumis à la conformité.

Le SaaS ne fait pas exception. Tout comme les informations personnelles identifiables (PII) des consommateurs sont réglementées par les lois sur la confidentialité lorsqu'elles sont stockées dans des systèmes de données sur site, elles sont également soumises à ces lois lorsqu'elles sont stockées sur une application SaaS. Peu importe que l'application SaaS s'exécute sur l'infrastructure du fournisseur SaaS. Vous êtes toujours responsable d'assurer la conformité. La différence avec le SaaS est qu'une partie de la conformité est votre travail, tandis que d'autres choses, comme la sécurité de l'infrastructure, sont du devoir du fournisseur SaaS.

En pratique, cela signifie s'assurer que votre entreprise répond aux critères fixés par un organisme de certification de conformité. Par exemple, avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), votre fournisseur SaaS devra passer un audit de certification PCI DSS. Et, quels que soient les systèmes que vous avez qui s'intègrent à cette application SaaS, ils devront posséder des contrôles capables de réussir un audit de certification PCI DSS.

Exemples de conformité SaaS

Voici quelques-uns des domaines de conformité les plus courants qui concernent les applications SaaS :

Le Règlement Général sur la Protection des Données (RGPD) — Cette loi de l'Union européenne (UE) vise à protéger la vie privée des individus. Il garantit les droits sur les données pour les résidents de l'UE, ce qui se traduit par des obligations de conformité de la part des entreprises. La violation du RGPD peut entraîner de lourdes amendes. La loi donne aux résidents de l'UE un grand contrôle sur leurs données personnelles. Par exemple, ils peuvent accéder à leurs données, les effacer ou corriger des erreurs. Le SaaS entre en jeu si une entreprise stocke les données privées des résidents de l'UE sur l'application SaaS, par exemple, via un système de gestion de la relation client (CRM). Pour être conforme au SaaS, le fournisseur de SaaS doit fournir le type d'accès aux données et de rapports requis par la loi. Sur un front connexe, certaines lois européennes exigent la «souveraineté des données», qui appelle à stocker les données des citoyens dans leur pays de résidence, par exemple, les données des citoyens allemands doivent être stockées en Allemagne, etc.

Service Organization Control 2 (SOC2) — SOC2 est un processus d'audit basé sur les critères des services de confiance (TSC) de l'American Institute of Certified Public Accountants (AICPA). SOC2 vérifie si les systèmes informatiques d'une entreprise respectent les principes TSC, qui concernent principalement la gestion sécurisée des données clients. Devenir certifié SOC2 signifie développer et appliquer des politiques de sécurité des données strictes. De nombreuses applications SaaS populaires, en particulier celles qui traitent des transactions commerciales, ont passé un audit SOC2.

L'Organisation internationale de normalisation (ISO) ISO/CEI 27001 — Il ne s'agit pas d'une réglementation ou d'un ensemble de règles spécifiques à l'industrie. ISO/IEC 27001 est plutôt une norme, un ensemble de lignes directrices pour la sécurité de l'information. En termes de SaaS, ISO/IEC 27001 recommande des politiques pour confier des données à un tiers, tel qu'un fournisseur de SaaS.

Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) - Cette loi américaine de 1996 exige que certains types de données de santé, telles que les dossiers médicaux des patients, soient stockés sur une infrastructure appartenant au fournisseur de soins de santé. Le fournisseur doit réussir un audit HIPAA, qui peut impliquer de démontrer que le fournisseur ne stocke pas les données des patients dans un système SaaS.

PCIDSS - cette norme de sécurité à multiples facettes a été développée par le Conseil des normes de sécurité PCI, qui représente l'industrie des cartes de paiement. Ce n'est pas une loi comme le GDPR, mais elle est requise pour les entreprises qui traitent les transactions par carte de paiement. Tout fournisseur SaaS qui souhaite gérer les cartes de paiement doit passer une certification PCI DSS. Pour les clients SaaS, le processus d'audit PCI DSS peut examiner la manière dont un fournisseur SaaS gère les informations de carte client. Il examine la gestion de la sécurité, la conception des logiciels, les politiques et les procédures.

Parmi les autres régimes réglementaires susceptibles d'affecter le fonctionnement des fournisseurs de SaaS, ainsi que la manière dont leurs clients interagissent avec le SaaS, citons le New York Cybersecurity Regulations, qui traite de la cybersécurité des entreprises de services financiers, et les règles du Federal Financial Institutions Examination Council (FFIEC).

Mise en conformité SaaS

S'assurer que le SaaS de votre entreprise est conforme ne doit pas être une entreprise majeure. Dans certains cas, il s'agira simplement de vérifier que vos fournisseurs SaaS sont conformes aux exigences de conformité pertinentes. De votre côté, vous devez comprendre où les applications SaaS gèrent les données applicables à la conformité. Par exemple, si vous disposez d'un système de planification des ressources d'entreprise (ERP) basé sur SaaS, vous devez savoir quelles données financières et clients il stocke. Vous devrez peut-être également déterminer comment un ERP SaaS gère les contrôles sur les procédures comptables, si cela est nécessaire pour la conformité.

La mise en conformité SaaS tend à être un processus inter-organisationnel. Les parties prenantes de l'informatique, de la sécurité, de l'audit et du droit doivent s'impliquer et collaborer. Cela est vrai pour de nombreux domaines de conformité, mais avec le SaaS, il existe un risque supplémentaire que les unités commerciales organisent elles-mêmes le SaaS, sans en informer l'informatique ou la sécurité. Il existe un risque de manquements accidentels à la conformité en raison de telles situations de « shadow IT ». Un dialogue ouvert sur la conformité SaaS peut éviter ces risques.

Conclusion

L'utilisation de SaaS peut affecter la conformité. Les applications SaaS peuvent stocker des données soumises à des règles de conformité, telles que le RGPD et les informations privées des résidents de l'UE. Il est essentiel de savoir quelles données sont gérées par les fournisseurs SaaS dans votre organisation et qu'ils sont en mesure de passer des audits de conformité ou des certifications. Pour réussir, il faut inclure le SaaS dans les processus de préparation et d'audit de conformité existants, ce qui peut nécessiter une coopération inter-organisationnelle.