大家下午好!我給大家介紹一下可信云、企業級SaaS評估建立客戶成功標準體系。2015年我們對在線應用評估進行修訂,更名為SaaS服務評估,在2017年我們通過跟專家討論,將SaaS服務正式更名為企業級SaaS評估服務。截止到目前位置SaaS評估服務一共有30家云服務商的35項云服務通過可信云SaaS服務評估。我們可以看到目前通過的服務,主要是以企業協同辦公,視頻,客服幾大類服務為主。所以后續我們可能會針對這幾項服務進行標準修訂,具體細化評估標準。
下面我為大家介紹一下可信云企業級SaaS評估方法,可信云企業級SaaS評估是指通過互聯網方式,向企業級客戶提供軟件的服務,服務廠商將應用軟件統一部署在云平臺服務端,企業客戶根據自己的實際需求,向廠商訂購所需的應用軟件服務,按訂購的服務內容、時間、用戶量等形式向廠商支付費用,通過瀏覽器、客戶端或者移動客戶端獲得廠商提供的在線服務。目前我們的分類在全行業有客戶關系管理類等等、垂直行業主要包括政府、金融醫療、制造、教育、能源等幾大行業。
SaaS服務評估,運維管理審查我們有運維管理審查評估細則,我們會根據細則的內容到云服務商現場進行實際查看他們運維操作系統,以及運維操作規范是否合乎要求。另外是專家評審,我們邀請業內權威專家對參評企業從架構、服務各個方面進行評審與詢問。在企業和服務基本信息審查方面,企業信息審查主要包括八個部分,主要是ICP牌照審查,經營牌照審查,規模審查,資金審查,組織機構審查,以及通過哪些權威認證,納稅證明,股權結構。在服務基本信息審查,主要是要衡量企業級SaaS目前擁有的用戶數,產品服務名稱,運行起止時間,要求是半年以上。業務功能,服務支付方式,業務采用的軟硬件。這里特別強調一下我們對于參評服務的用戶數和規模數是有要求的,對于全行業企業級SaaS,我們要求To B客戶數在2000家以上,如果面向超大型客戶,我們要求終端用戶數也要達到一定規模。對于垂直行業,要求To B客戶在兩千家以上或者達到一定行業占有率,或者虛擬CPU核數達到一定要求。
對于企業級SaaS服務ICP牌照要求,對于電子商務類要求擁有電信業務許可牌照,所有牌照應該是在線數據處理和交易處理牌照,對于語音、在線郵箱、傳真、存儲轉發類的服務,要求有存儲轉發類業務牌照,對于網盤類要求有信息服務業務牌照,呼叫類要有呼叫中心類的牌照,另外還有其他辦公類軟件和安全類軟件是可以沒有相關牌照的,我們提出必須有ICP牌照的就必須提供,如果沒有的話我們是取消認證資格的。我們看一下企業級SaaS服務具體評估指標,首先是基礎云服務評估指標,包括十六大項,數據存儲持久性,私密性、知情權、可審查性、服務功能、服務可用性、服務資源調配能力,網絡接入能力等等。在數據遷移性方面,我們主要測試用戶數據導入導出能力,比如像辦公協同類軟件,我們要求能夠進行相關文檔數據和用戶資料數據的導入和導出,便于用戶遷移,這里要求能夠提供標準的數據格式的導入導出。這部分數據可遷移性目前來說,參評服務應該在這方面做得都比較好,沒有太大的問題。第二部分,用戶的私密性,數據私密性,這個指標主要考慮不同用戶之間的數據能夠不可互訪,這里不同用戶指的是統一公司下不同用戶的數據是不允許互訪的,不同企業間的數據是堅決不能互訪,我們是通過相關技術測試手段,測試他們不同用戶數據之間確實能夠保障數據間的隔離。服務功能方面,目前采取測試方式是,根據服務商提供用戶手冊逐條進行測試,保證服務商承諾每一項功能都能夠真實可用。在服務資源調配能力,主要考察如果用戶使用七天想要增加或者減少一些資源,能夠進行自由調配。目前來說,企業級SaaS都是以簽訂線下合同為主,所以調配能力目前達到實時性的會比較找一些。網絡接入性能,主要測試云服務訪問響應速度、丟包率等等,在北上廣深我們在各個地區,對云服務接入能力進行測試,并提供相應測試報告。
在服務計量準確性方面,我們要求服務商為客戶提供詳細的計費說明以及計費日志,在計費說明方面,目前企業級SaaS還是以簽訂線下合同為主,所以我們是可以承認線下的合同,但是一定要提供線上能夠證明用戶使用量線上的界面和操作日志。在服務安全性評估方面,主要包括四個層面,一是用戶層安全,二是代碼層安全,三是數據層安全,四是管理層安全。服務安全性是在前面十六個指標項下的補充,所以用戶層安全主要對用戶身份認證,用戶授權,密碼管理,安全審計,以及對于郵件類我們會考察他們的垃圾郵件處理機制。對于支付類我們會考察他們支付和提現行為安全性。代碼安全方面,我們會對參評服務進行要求其提供詳細的logo掃描,近期logo掃描報告,包括軟件自身代碼漏洞,協議漏洞以及軟件框架漏洞。并保證沒有高危和中危漏洞。在數據安全方面,主要考察數據傳輸的加密,數據存儲加密,數據備份和數據保護。因為之前運維管理審查已經很詳細了,所以我們增加了密鑰管理。目前參評服務安全性總體來說還是做得比較好的,但是密碼管理方面,可能還有所欠缺,經過我們的要求,必須是能夠進行有密碼鎖定策略,并且對密碼長度和復雜度策略進行一定限制,這個是很多企業級SaaS初評沒有過的原因。另外在數據傳輸加密,韓國云服務器 美國云主機,我們會對數據傳輸過程進行分析,查看具體內容是不是真的,進行加密傳輸,但不會明文進行傳輸。數據存儲我們也會通過運維審查方式,對后臺數據進行查看,保證后臺數據都是密文存儲的。
