在国家推动企业上云、用数、赋智的战略下,电子签约SaaS已经是企业核心数字化转型领域之一,而随着电子签约SaaS在企业应用中越来越深入,电子签约SaaS的安全性备受关注。
近期,央视融媒体平台央视频推出《数字办公“云安全”,赋能企业数字化转型》直播节目,邀请行业专家聚焦企业SaaS云服务,探讨企业上云背后的安全议题。
作为电子签约行业*厂商代表,上上签电子签约解决方案总监范征韬受邀,与中国信通院云计算与大数据研究所专家卫斌、中国500强亨通集团CIO张征平共同参与该直播节目,分享了企业电子签约SaaS安全应用实践。
一、电子签约SaaS成为企业云办公的重点应用
中国信通院云计算与大数据研究所专家卫斌分享指出,近几年云计算、SaaS迎来了高速发展。2020年受到疫情影响,企业对于数字化采购、CRM、协同办公这些SaaS类产品都有显著的需求增长。SaaS产品如OA、CRM、财务等在线应用在企业公有云产品应用中占比达到了32.9%。
在SaaS产品中,电子签约作为业务数字化的关键环节受到企业青睐。直播中,亨通集团CIO张征平分享了企业在SRM系统(供应商管理系统)引入电子签约SaaS的实践。
亨通SRM系统是亨通供应链管理系统中衔接供应链上游供应商的重要链接渠道,引入电子签约SaaS与供应商签署电子合同后,亨通可以立体式、可视化地管理整个采购过程。同时,围绕电子签约,亨通实现了供应商合作管理全流程线上化,历史信息清晰可查,确保了与供应商的高效协同。
目前像亨通这样采用电子签约的企业正在不断增多,据电子签约厂商上上签新披露的服务数据,截至2022年6月,已经有超过1486万家企业使用上上签电子签约SaaS服务,其中超过150家世界/中国500强企业。
“电子签约SaaS正在显著提高企业的签约效率。”上上签解决方案总监范征韬指出企业转型电子签约背后的价值。
他以近一家上线电子签约SaaS的某全球TOP50药企举例。近期,该企业中国区与合作讲师和供应商的签约形式由纸质签约转为电子签约。据该企业统计,采用电子签约后,讲者协议的签署仅用时两分钟,与供应商签署用时30分钟。而以往通过纸质合同签署,需要2、3天。
电子签约也更有利于企业风控。范征韬分享,企业签署合同的相对方类别众多,比如合作商、员工甚至政府部门,不管是哪一类合作场景,过程当中都有很多的合同、单据。
“在以往的ERP里面系统,单据的流转并非与实际情况吻合,导致企业管理的可视化、时效性不足。电子签约SaaS因为数据都在云端,合同签署线上流转,全流程可查可控,对于企业而言,具备了更强的可视化风险穿透能力。”
“除此之外,越来越多的企业使用电子签约SaaS后,大家都在一个协同互信网络中互连互通,信任成本大大降低,这是传统电子签软件所不能达成的。”
范征韬指出,电子签约SaaS具备天生的网络效应,将合同进行了线上化,本质上就是企业与内外部、产业链上下游各类实体,包括供应商、经销商、消费者、员工、乃至政府等公共服务机构,全部进入了统一的电子签约SaaS协同网络,企业和签约相对方基于互信的基础,能够便捷地互发、互签合同,有利于产业链接与互信。
他分享了清华大学互联网产业研究院院长、清华大学经济管理学院教授朱岩的观点:数字经济下的经济整体发展环境新机遇可以用低碳、数据、诚信来概括。电子签约则完全契合了三大创新方向:无纸化低碳办公,数据线上流通,打造数字社会的信任基础设施。
二、电子签约安全实践分享:500强企业为何更信赖SaaS?
电子签约应用场景持续扩展而且日益深入企业核心业务的今天,企业对电子合同的安全合规需求在不断升级。我国近年来颁布了《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律,为企业数字化转型提供了安全合规参考。
上上签在电子签约SaaS安全领域积累了丰富实践,也因此受邀在央视频直播节目中进行了主题分享。
“法律出台的意义是要求对数据进行合法保护的前提下,不损害数据生产者的权益,不损害个人隐私,让它合理合法、有效率地流转起来。那么,数据流转过程中就需要有很强的安全投入。”
范征韬分享指出:“国家鼓励企业上云,让专业机构和厂商来为企业和个人提供相关的云服务,不仅确保企业数据的管理存储和利用符合国家相关法律要求,也能够让数据有效流动和使用。”对于企业而言,也可以更有效地管理信息安全投入。
结合服务世界500强的数字化项目实践,范征韬指出了这样一种现象:国际大型企业如500强往往更信任SaaS云服务。不过企业的信任不是盲目的,而是形成了一整套信息安全管理审查机制,只要供应商满足了安全管理机制审核,安全就是可控的。
例如企业会对云服务供应商进行严格审查,有些公司会进行年审、突击审查、渗透测试,甚至请第三方的机构来审查等。上上签就曾经接受了世界500强企业赛诺菲邀请的国际独立第三方专业安全厂商CyberVadis的安全测试,高分通过审核成为赛诺菲的供应商。
企业的所有这些安全合规审查工作表明,企业信任SaaS本身的安全性,只是在选择SaaS供应商时,企业需要审核每一个供应商是否达到了SaaS安全运营能力。
国际企业的实践同样值得一般企业参考,那么企业如何评估SaaS厂商已经做到了比较好的合规治理?范征韬为企业提供了一个参考,即国际大型企业的评估方式:审计SaaS厂商是否具备行业标准。
如电子签约行业常见的标准包括ISO27001国际安全认证,ISO27018隐私数据保护认证,ISO 22301:2019业务连续性管理体系认证,ISO38505-1数据治理认证证书,还有公安部“信息安全等级保护三级”认证、工信部“可信云服务”认证。如果电子签约SaaS厂商持有这些证书和标准,对于业务决策者来说,可认为该供应商符合国家以及国际通用的安全体系架构标准。
范征韬指出,通过与云服务厂商的合作,企业在保障安全合规的基础上,可以减少在个别专业领域的安全管理投入,更加聚焦到核心业务的数字化管理当中。
结语
云安全建设需要企业、SaaS厂商、行业组织以及国家等多方共同参与,在当天央视频直播的圆桌分享环节,几位专家也分享了云安全建设的策略。
在这其中,作为云服务提供者,随着更多企业向云端转型,电子签约SaaS厂商更需要加强安全投入,提升行业标准以符合国家与国际安全合规规范。
此外,电子签约SaaS与一般企业SaaS的不同之处在于,电子签约不仅提供合同签署的功能服务,它更是连接企业与企业、企业与个人之间的信任基础设施。
这就意味着,在符合法律法规基础上,如何发挥SaaS公有云的连接优势,打破组织间数据壁垒,让广大企业与个人在统一云平台上安全地进行社会经济活动,降低数字社会的信任成本,这也是电子签约厂商必须考虑的问题。