Global SaaS Compliance: A Complete Audit Checklist

Conformidade SaaS Global: Uma Lista de Controlo de Auditoria Completa


A beleza das empresas que vendem SaaS online é que podem tornar-se globais desde o início. Qualquer pessoa com uma ligação à Internet pode tornar-se cliente, pelo que qualquer país pode ser um mercado potencial para os seus produtos.

A indústria SaaS está cheia de oportunidades. Mas é também um ambiente maciço e complexo.

Quando o COVID-19 mudou grande parte das nossas vidas em linha, seguiu-se rapidamente um aumento dos novos regulamentos de dados globais. Mais de 132 países puseram agora em vigor as suas próprias leis e regulamentos.

Está em dia com as últimas políticas? Trabalhe através da nossa lista de verificação de auditoria SaaS para iniciar a viagem no sentido de se tornar um negócio compatível com a privacidade.

O que é necessário para que os seus negócios SaaS sejam compatíveis?

Conformidade" significa que a sua empresa ou produto satisfaz o conjunto de regulamentos de uma organização certificadora, dos quais as organizações dependem tanto do local onde o cliente como do seu cliente estão baseados.

Ser um negócio global compatível com a privacidade de dados pode ser relativamente simples num contexto local. Mas se o seu alcance for mais amplo, as coisas tornam-se mais complexas. Por exemplo, se negociar em vários mercados, isto pode exigir a adesão a muitos conjuntos diferentes de leis, políticas, e regulamentos baseados tanto na sua localização como na dos seus clientes.

Na indústria SaaS, a privacidade global de dados envolve a forma como o seu negócio se envolve com clientes actuais e potenciais e os seus dados - ou seja, como lida com as suas informações sensíveis e mantém os seus direitos de privacidade.

Porque é que o cumprimento é importante?

Why Is Compliance Important

A Paisagem Global actual

Todos os dias, milhões de clientes partilham os seus dados pessoais com empresas de todo o mundo. Isto é vital para a maioria das aplicações e empresas SaaS, uma vez que a informação deve ser capturada para subscrições e serviços de conta.

No entanto, a captura destes dados coloca uma grande responsabilidade sobre as empresas. As organizações actuais devem assegurar que os dados pessoais dos seus clientes são armazenados e tratados de forma segura e que mantêm níveis adequados de privacidade. Se não o fizerem, podem tornar a informação vulnerável a violações e pirataria de segurança. Pode também levar a problemas legais e a uma falta de confiança por parte dos clientes.

A possibilidade de financiamento SaaS Startup

Como o Covid atingiu o mundo, demonstrando que a segurança é um conceito inventado, o financiamento de arranque do SaaS tornou-se mais um plano de sobrevivência. A capitalização dos processos existentes é possível desde que se tenha conseguido criar uma infra-estrutura de receitas. Esta ideia está fortemente ligada à conformidade, uma vez que não existem fluxos de receitas estáveis sem estar totalmente em conformidade. Portanto, para assegurar a possibilidade de financiamento SaaS, os promotores devem cumprir todas as regras e regulamentos de conformidade, locais e globais, caso desejem expandir-se para o estrangeiro.

Expectativas do cliente

Quando se trata de privacidade de dados, os consumidores de hoje querem que as suas informações pessoais estejam seguras. Os clientes exigem cada vez mais uma maior segurança dos dados, tal como demonstrado por um inquérito Cisco de 2019, que indicou que 32% dos inquiridos se preocupam profundamente com a privacidade. Além disso, os clientes estão dispostos a agir quando insatisfeitos e muitas vezes fazem-no mudando de fornecedor.

Muitos governos estão a responder, implementando políticas, leis e regulamentos mais rigorosos, pelo que, para as aplicações SaaS, a pressão é exercida para garantir que cumprem os requisitos relevantes.

CONHECER PAYPRO GLOBAL.

O seu parceiro profissional de comércio electrónico

Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.

 Apenas uma solução tão única como as necessidades do seu negócio.

Os Riscos do Não-Conformidade

O não cumprimento das leis e regulamentos sobre privacidade e dados pode custar muito caro a sua solução SaaS. O não cumprimento de políticas e regulamentos de privacidade para países específicos ou indústrias específicas pode levar a:

Em alguns casos, o não cumprimento das políticas de privacidade e regulamentos de dados pode resultar na proibição da utilização ou operação comercial do seu produto em determinadas áreas, jurisdições ou países.

The Risks of Non-Compliance

Não-Conformidade: Um estudo de caso

Um exemplo útil de um negócio global que enfrenta um litígio por incumprimento é o TikTok.

Esta popular plataforma de partilha de vídeo é propriedade da empresa chinesa ByteDance e tem mais de 800 milhões de utilizadores em todo o mundo. Em 2020, os EUA rotularam a TikTok como uma ameaça à segurança nacional por receio de que os dados dos utilizadores não estivessem seguros.

A questão levada a tribunal foi a recolha de dados das crianças sem o consentimento dos pais. Estes dados incluíam números de telefone, vídeos, locais exactos, e dados biométricos.

A queixa original de acção colectiva alegou que a TikTok não obteve o consentimento nem notificou os utilizadores sobre a recolha dos seus dados biométricos. Também alegou que a TikTok partilhou e lucrou com os dados. 

A reclamação foi feita em nome de todos os utilizadores menores de idade, quer tivessem ou não contas activas. Em Abril de 2021, a TikTok solicitou um acordo de 92 milhões de dólares (mas este ainda não foi aprovado).

Embora a TikTok não seja uma empresa SaaS, o seu alcance global e a recolha de dados pessoais são paralelos aos de qualquer solução SaaS. A partir deste caso, é evidente que as questões de privacidade de dados podem ter consequências dispendiosas.

5 Passos para a Conformidade Empresarial: Lista de verificação de auditoria SaaS

5 Steps To Check Your Business Is Compliant: SaaS Audit Checklist

1. Educar-se sobre os diferentes regulamentos

É vital manter-se actualizado com os mais recentes regulamentos de privacidade de dados para se tornar ou permanecer em conformidade. Isto é particularmente importante se estiver à procura de expandir o seu negócio para outros países ou regiões ou dentro de uma indústria específica, uma vez que os regulamentos podem diferir muito.

Incluímos algumas das mais comuns e amplamente conhecidas para que possa dar uma vista de olhos mais atenta, mas esta é apenas uma pequena selecção dos regulamentos de privacidade de dados em todo o mundo que podem afectar o seu negócio.

Exemplos de Regulamentos e Normas de Conformidade SaaS Importantes

Serviço de Controlo Organizacional 2 é um processo de auditoria baseado nos 'Critérios de Serviços Fiduciários' do American Institute of Certified Public Accountants (AICPA). As empresas podem utilizá-lo para verificar se os seus sistemas de informação aderem aos princípios do SOC 2.

O SOC 2 foi especificamente concebido para organizações que armazenam dados de clientes na nuvem. Por conseguinte, é aplicável a quase todas as aplicações SaaS e é um dos quadros de conformidade mais comuns. Para se tornar compatível com o SOC 2, a sua empresa terá de estabelecer e seguir políticas de dados rigorosas. Estas abrangem a segurança, disponibilidade, integridade de processamento e confidencialidade de quaisquer dados armazenados na nuvem.

O Regulamento Geral de Protecção de Dados é uma legislação abrangente da União Europeia que proporciona direitos de dados aos indivíduos e aumenta as responsabilidades de conformidade para organizações e empresas. A GDPR impede que as empresas se excedam e oferece aos cidadãos a garantia de que as empresas estão a tratar os seus dados correctamente. A função central do GDPR é dar aos cidadãos mais controlo sobre os seus dados. Também dá mais poder aos reguladores para as organizações que infringem esta lei.

Segundo o GDPR, os cidadãos da UE podem aceder aos seus dados, corrigir erros, apagar os seus dados, opor-se ao processamento dos seus dados e exportar os seus dados. Pelo contrário, a GDPR exige que as empresas forneçam informações sobre a finalidade, natureza, e duração do armazenamento dos dados.

As empresas que operam dentro das directrizes da GDPR devem também informar os seus clientes em caso de violação da segurança, logo que tenham conhecimento da mesma. Devem existir protecções para evitar estas violações, e se não existirem, a empresa pode enfrentar multas maciças.

Mesmo que o seu software como empresa de serviços esteja baseado nos EUA ou noutro lugar, a GDPR continua a ser vital para compreender, uma vez que pode ter algum alcance em países europeus ou com clientes europeus.

Lançado em 2006, o Payment Card Industry Data Security Standard é um conjunto de requisitos destinados a assegurar que todas as empresas que processam, armazenam, ou transmitem informações sobre cartões de crédito mantenham um ambiente seguro. A norma foi criada para aumentar os controlos em torno dos dados do titular do cartão e reduzir a fraude com cartões de crédito, introduzindo normas de segurança rigorosas e melhorando a segurança das contas ao longo de todo o processo de transacção.

O PCI DSS é administrado e gerido pelo PCI SSC (Conselho de Normas de Segurança), um organismo independente formado pela Visa, Mastercard, American Express, Discover, e JCB. O PCI DSS aplica-se a qualquer organização que aceite, armazene, ou transfira informação do titular do cartão, independentemente do seu tamanho ou do número de transacções que efectue.

Embora existam 12 condições claras para a obtenção do PCI DSS, cada uma vem com muitos sub requisitos específicos. O cumprimento também exige a adopção e adesão a uma política específica de segurança da informação, o que torna incrivelmente difícil a sua obtenção.  Existem quatro níveis diferentes de conformidade PCI, cada um dos quais é atribuído a uma empresa com base no número de transacções que esta processa anualmente.

A Lei da Privacidade do Consumidor da Califórnia de 2018 proporciona aos consumidores californianos direitos de privacidade e protecção do consumidor reforçados. Os regulamentos da CCPA fornecem orientação sobre a implementação dos direitos dos consumidores californianos à lei da privacidade e dão maior controlo sobre o que as empresas recolhem sobre eles e como são utilizados e armazenados.

Também proporciona aos consumidores o direito de eliminar informações pessoais recolhidas sobre eles, o direito de optar por não ter as suas informações pessoais vendidas, o direito à não discriminação no exercício destes direitos, e o direito a avisos que expliquem as suas políticas de privacidade.

A Organização Internacional de Normalização prepara normas através da utilização de comités ISO. Trabalha também com a Comissão Electrotécnica Internacional (IEC) em matéria de normalização electrotécnica e fornece critérios para Sistemas de Gestão da Segurança da Informação (SGSI). Estes analisam os riscos da informação e ajudam as empresas a identificá-los e a geri-los.

A ISO/IEC não é um regulamento enquanto tal, mas sim um conjunto de normas que pode utilizar para gerir a sua conformidade com os riscos de segurança. Pode utilizá-la como ponto de partida para uma avaliação formal para obter a acreditação oficial dos auditores certificados. Isto requer a apresentação de uma política de segurança da informação, um processo de avaliação de risco e provas de controlo de segurança.

As empresas SaaS podem utilizar a norma ISO/IEC. Além disso, pode ser aplicada a qualquer indústria, tamanho, e mercado.

Para além dos regulamentos e normas mais gerais ou comummente encontrados acima mencionados, terá de estar familiarizado com todas as outras regras específicas que se aplicam às suas aplicações SaaS em qualquer país em que opere. Nos Estados Unidos, por exemplo, poderá ter de considerar o seguinte:

      • Lei de Portabilidade e Responsabilização dos Seguros de Saúde
      • Regulamento de Segurança Cibernética de Nova Iorque
      • Conselho de Exame das Instituições Financeiras Federais

Industry-Specific Regulations in the U.S

2. A lei e o processamento de dados

As empresas SaaS precisam de se manter do lado certo da lei no que diz respeito ao seu processamento de dados de clientes, ou então poderá correr o risco de um processo judicial. É preciso ser muito claro sobre a razão pela qual se está a processar as suas informações e para que as está a utilizar. Vamos analisar isto com um pouco mais de detalhe como parte da sua lista de verificação de auditoria SaaS.

É essencial realizar uma avaliação do impacto da protecção de dados. Esta avaliação deve incluir os tipos de dados que processa, a finalidade desse processamento, quem tem acesso aos mesmos na organização e fora dela, como planeia proteger a informação dos seus utilizadores, e quando pretende apagá-la. O Information Commissioners Office (ICO) fornece toda a informação necessária para criar o seu próprio DIPA, incluindo um modelo de amostra.

A seguir, pense cuidadosamente sobre a razão pela qual está a processar dados, depois informe os seus clientes sobre o seu raciocínio. Esta comunicação deve explicar como os dados dos clientes estão a ser processados, quem tem acesso aos mesmos, e como os está a garantir. Explique tudo de forma clara e simples na sua política de privacidade.

3. Segurança de dados

Os fornecedores SaaS precisam de ser sempre explícitos sobre a segurança de dados. Incluir ambos os factores abaixo para garantir a sua conformidade:

      • Protecção de dados por desenho

        Isto significa que se considera privacidade e segurança de dados na fase de concepção de qualquer novo sistema, serviço, processo, ou produto. É necessário manter a segurança durante todo o ciclo de vida.

      • Protecção de dados por omissão

        Isto significa que só se processam os dados necessários para atingir um objectivo específico. Especifique o que isto implica, e depois informe os seus clientes antes de o processo começar.

É importante também criar uma política de segurança interna para os membros da sua equipa. Certifique-se de que todos estão cientes dos processos e prioridades da sua empresa no que respeita à privacidade e segurança dos dados.

Além disso, é necessário ter em vigor um processo que determine a forma como se lida com quaisquer violações de dados (ou potenciais violações). Este processo deve abranger a forma como as autoridades e os titulares dos dados serão notificados, e todas as notificações devem ser feitas por escrito.

 

Data Security

4. Responsabilização e Governação

Há mais algumas coisas a considerar como parte da sua lista de verificação de auditoria SaaS:

Todas as empresas SaaS devem nomear um Chief Compliance Officer interno. Esta pessoa terá o poder e a responsabilidade de avaliar os processos e pôr em prática políticas para proteger os dados dos clientes. Também serão responsáveis por se manterem actualizados com as leis e regulamentos em mudança.

Em seguida, identifique quaisquer terceiros que lidem com os dados pessoais dos seus clientes. Estes podem incluir serviços de correio electrónico, servidores em nuvem, ou software analítico. Assine um acordo de processamento de dados com cada um deles. A maioria destes serviços já deve ter um documento padrão em vigor. Utilizar apenas serviços de terceiros que satisfaçam normas industriais e regionais rigorosas.

Assegurar-se de que é nomeado um responsável pela protecção de dados. O GDPR declara que um responsável está envolvido em todas as questões relacionadas com a protecção de dados pessoais. Esta pessoa terá um vasto leque de diferentes responsabilidades. Ficarão protegidos contra interferências da organização e reportarão ao mais alto nível de gestão. Esta pessoa tem de possuir os conhecimentos jurídicos e técnicos necessários para compreender e implementar avaliações e políticas de privacidade.

CONHECER PAYPRO GLOBAL.

O seu parceiro profissional de comércio electrónico

Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.

 Apenas uma solução tão única como as necessidades do seu negócio.

5. Direitos de privacidade

Cumprir os direitos de privacidade dos seus clientes é outro passo essencial para completar a sua lista de verificação de auditoria SaaS.

Assegure-se de que os seus procedimentos são centrados no cliente. Assegure-se sempre de que os seus clientes se sentem à vontade para armazenar as suas informações de forma segura, e alivie quaisquer preocupações, sendo transparente quanto à sua utilização.

Os seus clientes precisam de ser capazes de descobrir que informação pessoal você ou terceiros com quem trabalha os retêm. Devem ser capazes de alterar dados incorrectos e pedir que os seus dados sejam apagados.

Os clientes também precisam de saber quanto tempo pretendem armazenar a sua informação e porque é que ela está a ser guardada durante esse período de tempo. Esta informação deve estar disponível livremente, pelo menos a primeira vez que é solicitada. Além disso, a informação deve estar disponível no prazo de um mês após o pedido do cliente.

Dicas de conformidade SaaS

SaaS Compliance Tips

Assegurar a Colaboração entre Equipas de Conformidade e Equipas de TI

O seu departamento de conformidade ou oficial terá de trabalhar em estreita colaboração com a sua equipa de TI. É também uma boa ideia organizar formação para o pessoal através do seu departamento de RH. Se a realizar correctamente, a formação deverá ajudá-lo a manter-se em conformidade.

Estabelecer um Código de Conduta

Estabeleça um código de conduta para o seu programa específico de conformidade para definir claramente a sua finalidade. Este código assegurará que o comportamento da sua equipa se alinha com o programa e as políticas de privacidade relacionadas.

Seguir Benchmarks do CIS

Certifique-se de que a sua infra-estrutura de dados segue os padrões de referência do Centro para a Segurança da Internet (CIS). Estes são um conjunto de directrizes para salvaguardar contra possíveis ameaças cibernéticas.

Monitorizar Alterações de Regulamentação

Mantenha-se actualizado sobre quaisquer alterações feitas aos regulamentos e novas leis promulgadas dentro da jurisdição da sua empresa. A privacidade dos dados é agora mais valorizada do que nunca, e os governos estão a reforçar os controlos em torno do processamento de dados. Não seja apanhado desprevenido.

Reflexões Finais sobre Conformidade Global para SaaS

As potenciais consequências negativas do incumprimento podem parecer assustadoras, e com boas razões. Embora o comércio electrónico torne as vendas globais um processo mais simples, a vasta gama de regulamentos complexos e em constante mudança sobre privacidade de dados significa que permanecer em conformidade pode tornar-se um trabalho a tempo inteiro. Satisfazer os requisitos globais para a sua solução SaaS é um passo essencial se estiver a levar a sério o crescimento do seu negócio e permanecer em conformidade.

A atribuição de bilhetes a todas as caixas correctas não só criará confiança junto dos clientes novos e existentes, como também garantirá a sua permanência no lado certo da lei. Quer venda jogos de vídeo online ou eBooks, software ou Saas, a verdade permanece a mesma. A melhor maneira de garantir o cumprimento e proteger os seus interesses comerciais é encontrar uma parte de confiança com anos de experiência na indústria que possa garantir a sua segurança, não importa onde se encontrem os seus clientes.

Visite PayPro Global ou entre em contacto hoje mesmo. Gostaríamos muito de discutir como se pode tornar um negócio totalmente cumpridor e bem sucedido.

 
Blogueiros

Meir Amzallag

Co-founder and CEO of PayPro Global

Ioana Grigorescu

Content Marketing Manager at PayPro Global

mais autores

Saiba primeiro. Aja depressa.

Não é preciso sorte para o fazer, mas é preciso conhecimento. Seja o primeiro a aprender os últimos conhecimentos da indústria e deve conhecer dicas e truques de marketing. Inscreva-se e divirta-se! Sempre informado. Nunca Spammed.

Junte-se ao nosso boletim informativo

Subscreva a nossa newsletter e mantenha-se actualizado com as últimas notícias!