近年来由">信息系统安全问题引发的客户信息泄露事件不绝于耳,上月“日产汽车客户信息外流”事件再次吸引了人们的视线,信息安全成为公众日益关注的问题。随着SaaS和ASP模式的持续升温,系统数据和信息的安
全性问题对这种模式的制约影响也逐渐显现出来,如何保证托管系统的信息安全?将成为无论是系统托管商还是用户所不得不面对的问题。本文介绍了美国在托管型CRM客户隐私保护方面的一些实践,希望能够对托管商和用户有所借鉴。
出于其良好的服务支持、投资回报率,以及更新的及时性等方面的考虑,许多公司都选择了hosted or on-demand CRM(托管型客户管理)。由一个托管型CRM供应商来管理整个系统,不用再由公司打理全盘事务,IT部门也不用再对此劳心伤神,同时还可节省大笔IT预算。
虽然CRM系统没有架构在公司内部,但并不意味着IT人员就可以置身事外,把所有客户管理的职责全权交托给CRM托管商。正如公司有必要对诸如存储等托管应用进行管理一样,对托管型CRM系统中的客户信息,尤其是客户隐私问题,也要与供应商之间进行协调管理。
托管型CRM 需兼顾安全和客户隐私
“选择托管型CRM供应商时,除安全因素之外,另一个必须首要考察的问题就是了解托管商是怎样处理客户隐私的,这样的考察来得越周详越好。” SAP公司负责CRM解决方案的市场部副总裁Angela Bandlow女士这样认为,“按照我们的规矩,把一切都做到尽可能完善以满足需求很有必要,要确保没有冒犯这类隐私规则。”
托管商如果做不到这些,终将祸及到委托其管理数据的公司,让他们在面对自己客户的隐私问题上下不了台。
Bandlow同时认为,需要谈判和讨论的话题很多,比如说从地理位置上讲,数据究竟要存储在什么地方?是通过什么方式来存取的?旧的存储记录是否转移到了什么不同的存储媒介上?存储媒介发生改变之后,早先的记录又是如何处理的?……当然,还有很重要的一点,就是要搞清楚托管商与其它公司的合作关系。
“你必须要了解是谁来管理主机,谁来具体负责软件运作。”她说道,“有时候并非在同一个地方,而是通过某种合作关系共同完成的。”
Bandlow还指出,公司还必须要知道数据是存在物理数据分区还是虚拟分区?通常存放在逻辑分区上的数据能获得更高的安全性,能采取更有效的安全控制策略。
Bandlow最后提醒道:“即使托管供应商分区管理这些都没有问题,但黑客的风险是依然存在的,分区之后供应商仍然需要确保数据的安全。”
托管型CRM存在法律风险
另一个关于托管型CRM热门话题是如何管理其它国家客户的信息,Bandlow特别强调了欧洲国家。就如何管理客户数据的问题,欧盟和美国法律不尽相同。让情况更为复杂的是,欧盟内部的国家也是各树一帜,在欧盟法律的基础上添油加醋。
Bandlow特意为此举例说明。在英国有关税收的法律中,对客户数据作出了明确规定,诸如,未经英国本地托管的信息是不能存储在数据库中的。
这意味着,若一个托管供应商在英国有一个托管中心,那么公司要合法存储数据是比较容易的。但如果托管中心在美国爱荷华州,它想迎合客户的要求,把数据记录存储在爱荷华州首府得梅因,那就成问题了。
“你必须确保托管供应商了解各国法规,” Bandlow女士进一步说明,“有些国家法律很严格,并且对于跟客户如何联系以及客户信息如何使用这些问题穷追不放。所以,如果你的客户在国外,那你必须了解托管商所在地的政策。”
制定自己的隐私保护策略
Oracle的CRM产品高级主管Grant Emeny-Smith指出,显然托管供应商有自己默认的隐私保护策略,而公司也可以定制自己的隐私策略。Oracle也是与其它CRM托管商合作的,他们共同推出适应需要的隐私标准。这些有章可循的隐私管理,比起仅仅依赖托管供应商来维护客户隐私来说,更能让企业灵活自如的实施各自的策略。
Emeny-Smith强调说,这种隐私管理也可以适用于任何与CRM系统相关的应用,仿佛就像某种“黄金管理员”一样,通过一系列应用方案不断改善隐私问题的管理。换句话说,隐私管理本身就可以成为CRM系统的一部分。
“我们现有的CRM产品隐私管理的通用规则引擎是基于美国的隐私法律的,利用这个通用规则引擎有助于构建一个具体实际、有章可循的隐私管理平台,但多多少少会偏向根深蒂固的美国特色。”Emeny-Smith进一步分析。
不同的公司可以有不同的规则,比如欧洲公司对隐私有欧洲特色的需求,甚至不同行业领域,如医疗或金融领域,也具有不同的规则。
Emeny-Smith指出,要想改进这个平台的性能,首先一步就是要掌握客户对隐私的需求。举例说明:如果客户不乐意接到来电,更愿意通过电子邮件交流,那么就要把这些相关信息输入,并且把这些数据存放到一个事务处理体系中。
对隐私的要求会因人、因地而异,一个好的托管系统必须能够满足这类需求。用来自Oracle的Grant Emeny-Smith的话来说,隐私就是“虽说有时候受法律保护,但更多时候却仅仅是个客户选择的问题,关键是要适应不同环境的需要,托管供应商理应关注这些需求的不同。