众所周知，软件即服务(SaaS)业务的神奇之处在于，它不会受到地域的限制。任何拥有互联网连接的人都可以成为其用户，因此任何国家/地区都可能成为SaaS产品的潜在市场。

不过，我们常说，机遇与挑战并存。其实，SaaS也面临着一个庞大而复杂的市场环境。当新冠病毒将全球大部分人的生活范围转至线上之后，已有超过132个国家制定了自己的数据领域相关法律和法规。面对纷繁复杂的数据新政，我们在此为您整理了一套SaaS检查清单，以便您开启隐私合规之旅。

什么是全球合规性?

“合规性”是指您的企业或产品，符合某个认证性组织的一系列规定。而此类组织往往取决于您和您的用户所在的地理位置。

在传统的本地环境中，成为数据隐私合规企业相对比较简单。但是，如果您的业务突破了本区域的地理范围，甚至涵盖全球，那么合规的难度则会大幅增加。例如，如果您会在不同地区的多个市场进行交易服务，则可能需要根据您和用户所在的位置，遵守许多不同的法律、法规和政策。

而在SaaS行业，此类要求更为显著。各国的数据隐私法规，会规范服务提供方，如何与现有和潜在的用户、及其数据打交道，如何处理他们的敏感信息，并维护他们的隐私权。

合规的重要性

全球格局

每天，数以百万计的用户与全球企业，都通过各种SaaS应用，以订阅或捕获帐户服务信息等方式，分享着用户的个人详细信息。

而在捕获数据的过程中，服务提供方必须确保其用户的个人数据，得到了安全的存储和处理，并保持适当的隐私级别。否则，此类信息将很容易受到安全漏洞的威胁、以及黑客的攻击。为此，服务提供方还会招致法律的问责，以及用户信任的缺失。

用户期望

正如Cisco于2019年发布的一项调查所表明，用户对于数据安全的意识已大幅增强，有32%的受访者非常关心自己的隐私。用户一旦不满意某项服务中的安全态势，就会“用脚投票”，直接更换服务提供商。这直接造成了SaaS应用需要满足各种严格的法规的压力增加。

不合规的风险

如果在服务端过程中，不遵守特定国家或特定行业的隐私政策和法规，则往往会导致其产品在某些地区、司法管辖区内，被禁止使用或遭遇业务下架，同时会招致巨额的罚款、冗长的诉讼、甚至是企业主的牢狱之灾。

实现业务合规性的5个步骤

1. 了解不同的法规

如果您希望将业务扩展到其他国家、地区或特定行业，鉴于各地法规的巨大差异性，了解并遵守当地最新的数据隐私法规，显得尤为重要。下面，我将和您讨论各种针对SaaS的、最常见的数据隐私法规与标准示例。

→ 服务组织控制 2(Service Organizational Control，SOC 2)

SOC 2是基于美国注册会计师协会(American Institute of Certified PublicAccountants，AICPA)的“信任服务标准”的审计过程。各个公司可以使用它，来检查其信息系统是否符合SOC 2的相关原则。

由于SOC 2是专为将用户数据存储在云端的组织而设计的，因此它几乎适用于所有的SaaS应用，也是最常见的合规性框架之一。若要符合SOC2标准，您的企业需要建立并遵守严格的数据政策。其中包括：存储在云端的数据安全性、可用性、处理过程中的完整性和机密性。

→ 欧盟通用数据保护条例(General>原文标题：Global SaaS Compliance: A Complete Audit Checklist，作者：Hanna Barabakh