2024,企业加速出海。在历经了数十年的出海成长,中国出海企业已经迈向了从标准化产品到高附加值产品,从品牌出海到建立全球产业链的发展升级之路。
然而:
随着海外收购公司越来越多,海外员工和分子公司员工如何统一管理?
海外收入占整体收入持续提升,跨境业务与数据频繁交互,如何建立可信统一身份权威源,保障跨境数据安全?
全球化导致企业安全暴露面持续扩大,传统边界安全架构无法应对新场景下的安全挑战?
各个国家和地区纷纷建立个人信息保护和数据安全法律法规,安全合规成企业出海的第一道门槛,也是开展一切业务的基础,如何应对?
......
面对企业出海带来的系列安全与管理问题,出海企业如何在保障安全合规的基础上,加强企业安全风险管控,赋能企业高效运营管理,并兼顾用户的服务办公体验?
01
熟悉掌握各国家地区法律法规
派拉软件作为国内最早从事数字身份安全的技术原厂商,早在多年前就与国内多家大型国有企业、制造企业、电商零售企业等进行合作,并在近几年客户企业出海过程中,成为保障企业安全合规的重要一环。
因此,派拉软件在助力企业出海的实践过程中,也总结出一些出海安全合规建设经验。
首先,中国企业要出海,首要任务是快速、及时了解和掌握国内外各个国家与地区当地相关的法律法规,并详细整理出可能存在的安全挑战,包括每一条违规背后的罚金成本。
例如,派拉软件作为数字身份安全厂商,在助力某大型制造企业出海过程中,仔细研究了有关法律法规,如GDPR、CCPA等。
尤其是就其中有关个人身份数据安全保护等内容进行一一整理,以确保在后期IAM建设过程中,严格按照要求,将用户身份信息存储在本地IDM,确保合规合法。
02
梳理企业内外部数据跨境场景
其次,随着数据上升为最重要的生产要素,数据安全风险正变得十分突出。各主权国家(地区)争相制定数据治理规则,对数据的产生、收集、存储、流动等活动进行诸多规范。数据跨境流动成为安全合规热点。
因此,在掌握了法律法规基础上,企业要梳理并掌握自身企业内外部管理经营过程中可能涉及的数据跨境场景。
例如,总部需要对分布在各国的下属机构的经营数据进行集中管理,而下属机构也需要访问总部和其他子机构的数据。这就导致出海企业在管理过程中会频繁涉及数据跨境操作。下图列举了常见的内部管理数据跨境场景:
此外,企业在外部经营中也存在大量数据跨境需求。例如,采购境外企业的产品时会涉及供应商信息和采购商品信息,在海外销售时会涉及企业营销和售后服务信息,而这些都与数据的跨境传输有关。下图列举了企业外部经营常见的数据跨境场景:
如何确保企业在数据跨境流动过程中,既要满足安全合规要求,又要高效应用以匹配企业经营管理,还要兼顾用户体验,需要企业在数字化建设过程中统筹考量。
03
以身份优先构建出海安全合规建设
派拉软件提出了全球化身份基座建设解决方案,以身份优先支撑数字业务,链接全球化各类型子公司和机构,建设安全合规的统一身份平台,围绕‘人’持续提升全球化业务协同与办公体验。
整个方案以“三个统一”为核心,即统一用户、统一认证、统一授权。通过将用户中心与认证中心分离,根据不同区域法律法规等实际情况进行分离部署与管理。
在此基础上,平台还会提供一个统一能力,将企业所有区域的用户身份与认证授权能力进行统一管控,确保集团总部能够在一定程度上统管统控。
1
用户中心
通过建设一个身份汇聚中心,把企业不同类型用户或不同业务系统的用户数据进行统一汇聚与统一存储,并进行统一安全合规管控。
从而构建企业全域OneID建设,并基于此进行用户画像分析、审计与数字化业务赋能等,实现整个用户全生命周期管控。
在上述过程中,涉及跨区域的数据交换能力,平台会根据法律法规要求,严格映射到身份管理平台技术层面,确保安全合规。
2
认证中心
平台可以根据不同用户类型,建设不同的认证中心,包括C端的消费者、E端的内部员工、S端的供应商经销商等。根据国内外用户认证习惯的差异,提供不同的多因素认证能力。
例如,国内用户喜欢用微信/钉钉登录,而国外则偏向用谷歌登录;国内大多选择用手机号验证码登录,而国外则倾向于邮件验证码登录等,真正融入本地化,平衡用户体验与安全管理,实现无摩擦的跨国办公能力。
此外,提供统一细粒度授权,灵活定义和管理全球用户对资源和功能的访问权限。通过对业务应用系统重要程度等级划分,将访问权限根据需求不断细化到每个应用、菜单栏、行、列,甚至数据级等。
基于定义角色、权限策略和访问规则,实现自动化、智能化、动态化与最小化的授权管理,确保每个用户只能访问其所需的资源,提高数据安全性和合规性。
3
场景建设
以中国企业出海为例。中国作为全球化公司的总部,通过建设一个全球化的身份集群,在各个集群节点上建设子身份平台,中国总部作为总平台,可以对各个业务系统用户、认证、权限、审计、分析等进行统管统控。
每个子区域也都会有独立的用户中心、认证中心、授权中心。它们只管本地人员的用户、认证和授权。总部可以做统一的控制下发,随时启动或关停哪个区域的哪个应用或哪个用户的纳入纳管。
而这个过程中,为了满足合规要求,总部回收的是去标识化的数据,保证本地用户数据信息,本地化存储。
另外,针对全球多个区域的认证中心,派拉更是做到了跨域数据中心的联邦互信。
例如,一个欧洲员工出差到中国总部,那么基于个人同意的基础上,把用户在欧洲的个人基本信息在总部进行联邦互信,并在总部存储该人员的画像,按策略定义授予相应业务系统的访问权。对于出差用户本身而言,其访问体验基本不变。
4
数据安全
针对身份数据安全合规,派拉软件IAM平台还建立了健全数据安全管理体系,以落实各项数据安全管理要求。
数据安全管理覆盖了数据全生命周期,包括分类分级、去标识化、数据跨境、风险评估等,对数据的收集、存储、传输、处理、使用、删除和销毁进行全方位的安全管理。
管理制度在设计上,上承法律要求、下接标准支撑,在实践方面能有效规范数据共享,确保身份数据共享组织管理机构职责明确、共享活动流程清晰、共享过程安全可控