yzkx

在使用SSL或者TLS的时候，大家需要注意关注目前暴露出来的一些漏洞，比如说SSL，会有心脏出血和水牢漏洞，需要进行及时弥补。另外在传输过程中，建议采用MAC消息认证码的算法。对于发送的信息进行认证，在服务器端对于收到的信息通过MAC码进行认证，保证信息是从一个合法的渠道发送过来的，数据没有被篡改过。
是在数据使用过程中，第一个需要注意的是权限管理。不同的人需要有不同的访问权限，看到不同的信息，越是SaaS企业服务的客户规模越大，这一点就越重要。第二点是在客户端的数据显示的时候，除非必要，否则不要去显示不必要的一些信息。第三点，也就是说对于一些敏感信息可以通过星号的形式来进行隐藏。
目前很多SaaS软件习惯的注册模式就是通过手机号来登陆，这在企业用户中基本是不可行的。因为对于企业用户来说，一般都有一个统一的管理员来管理企业内部用户，手机号并不是企业内部管理员所熟悉的一个管理方式，因此所有面向企业的SaaS服务，都需要和企业内部的域用户的帐号进行一个集成，目前业内有一些通用的标准。所以对于SaaS厂商来说，软件在开发过程中必须符合这样一些域集成的标准。大家可以参考比方说SAML，OpenID 等等一些规则来定义这一块的功能。
第二点就是随着移动化的普及，很多时候SaaS软件是在手机终端上使用的，因此单纯的只是一个域帐号的集成可能还不够，在此推荐采用两重认证，比方说你可以通过一些挑战性的问题，或者说把SaaS的一个帐号和我的手机IMEI码进行绑定，来保证安全。与此同时需要保证当手机丢失的时候，管理员可以远程对于这个手机上的SaaS信息进行擦除。
最后是关于整个SaaS使用中的一些隐私保护，这个隐私并不是指的个人隐私，更多指的是所服务企业的一些关键信息。
正如第一部分所提到的，企业对于它的所有数据负有最终的安全治理管理的责任，也是整个的监管的直接对象，因此如果绕开企业直接拿SaaS后台的数据来用，可能会让企业处于一个比较危险的处境。
所以很多时候，在对企业提供SaaS服务的时候，除非企业有一个明确的授权，否则这些数据是不可以被SaaS厂商用做其他用途的。一般在SaaS导入前，企业需要和SaaS厂商签署保密协议，所有的数据需要由SaaS厂商进行相应保密，不能用于商业用途。
如果有些SaaS厂商希望通过这样一种SaaS模式提供一个大数据服务，个人建议这些SaaS厂商要对自己的商业模式进行一个仔细考量，这些数据对于企业来说愿不愿意公开?可以公开到什么程度等等，都需要有一个全面的评估。