托管型CRM保护客户隐私和法律风险研究
来源:支点 更新时间:2012-04-15
             近年来由信息系统安全问题引发的客户信息泄露事件不绝于耳,上月“日产汽车客户信息外流”事件再次吸引了人们的视线,信息安全成为公众日益关注的问题。

    随着SaaS和ASP模式的持续升温,系统数据和信息的安全性问题对这种模式的制约影响也逐渐显现出来,如何保证托管系统的信息安全?将成为无论是系统托管商还是用户所不得不面对的问题。本文介绍了美国在托管型CRM客户隐私保护方面的一些实践,希望能够对托管商和用户有所借鉴。

  出于其良好的服务支持、投资回报率,以及更新的及时性等方面的考虑,许多公司都选择了hosted or on-demand CRM(托管型客户管理)。由一个托管型CRM供应商来管理整个系统,不用再由公司打理全盘事务,IT部门也不用再对此劳心伤神,同时还可节省大笔IT预算。

  虽然CRM系统没有架构在公司内部,但并不意味着IT人员就可以置身事外,把所有客户管理的职责全权交托给CRM托管商。正如公司有必要对诸如存储等托管应用进行管理一样,对托管型CRM系统中的客户信息,尤其是客户隐私问题,也要与供应商之间进行协调管理。

  托管型CRM 需兼顾安全和客户隐私

  “选择托管型CRM供应商时,除安全因素之外,另一个必须首要考察的问题就是了解托管商是怎样处理客户隐私的,这样的考察来得越周详越好。” SAP公司负责CRM解决方案的市场部副总裁Angela Bandlow女士这样认为,“按照我们的规矩,把一切都做到尽可能完善以满足需求很有必要,要确保没有冒犯这类隐私规则。”

  托管商如果做不到这些,终将祸及到委托其管理数据的公司,让他们在面对自己客户的隐私问题上下不了台。

  Bandlow同时认为,需要谈判和讨论的话题很多,比如说从地理位置上讲,数据究竟要存储在什么地方?是通过什么方式来存取的?旧的存储记录是否转移到了什么不同的存储媒介上?存储媒介发生改变之后,早先的记录又是如何处理的?……当然,还有很重要的一点,就是要搞清楚托管商与其它公司的合作关系。

  “你必须要了解是谁来管理主机,谁来具体负责软件运作。”她说道,“有时候并非在同一个地方,而是通过某种合作关系共同完成的。”

  Bandlow还指出,公司还必须要知道数据是存在物理数据分区还是虚拟分区?通常存放在逻辑分区上的数据能获得更高的安全性,能采取更有效的安全控制策略。

  Bandlow最后提醒道:“即使托管供应商分区管理这些都没有问题,但黑客的风险是依然存在的,分区之后供应商仍然需要确保数据的安全。”

  托管型CRM存在法律风险

  另一个关于托管型CRM热门话题是如何管理其它国家客户的信息,Bandlow特别强调了欧洲国家。就如何管理客户数据的问题,欧盟和美国法律不尽相同。让情况更为复杂的是,欧盟内部的国家也是各树一帜,在欧盟法律的基础上添油加醋。

  Bandlow特意为此举例说明。在英国有关税收的法律中,对客户数据作出了明确规定,诸如,未经英国本地托管的信息是不能存储在数据库中的。

  这意味着,若一个托管供应商在英国有一个托管中心,那么公司要合法存储数据是比较容易的。但如果托管中心在美国爱荷华州,它想迎合客户的要求,把数据记录存储在爱荷华州首府得梅因,那就成问题了。

  “你必须确保托管供应商了解各国法规,” Bandlow女士进一步说明,“有些国家法律很严格,并且对于跟客户如何联系以及客户信息如何使用这些问题穷追不放。所以,如果你的客户在国外,那你必须了解托管商所在地的政策。”

  制定自己的隐私保护策略

  Oracle的CRM产品高级主管Grant Emeny-Smith指出,显然托管供应商有自己默认的隐私保护策略,而公司也可以定制自己的隐私策略。Oracle也是与其它CRM托管商合作的,他们共同推出适应需要的隐私标准。这些有章可循的隐私管理,比起仅仅依赖托管供应商来维护客户隐私来说,更能让企业灵活自如的实施各自的策略。

  Emeny-Smith强调说,这种隐私管理也可以适用于任何与CRM系统相关的应用,仿佛就像某种“黄金管理员”一样,通过一系列应用方案不断改善隐私问题的管理。换句话说,隐私管理本身就可以成为CRM系统的一部分。

  “我们现有的CRM产品隐私管理的通用规则引擎是基于美国的隐私法律的,利用这个通用规则引擎有助于构建一个具体实际、有章可循的隐私管理平台,但多多少少会偏向根深蒂固的美国特色。”Emeny-Smith进一步分析。

  不同的公司可以有不同的规则,比如欧洲公司对隐私有欧洲特色的需求,甚至不同行业领域,如医疗或金融领域,也具有不同的规则。

  Emeny-Smith指出,要想改进这个平台的性能,首先一步就是要掌握客户对隐私的需求。举例说明:如果客户不乐意接到来电,更愿意通过电子邮件交流,那么就要把这些相关信息输入,并且把这些数据存放到一个事务处理体系中。

  对隐私的要求会因人、因地而异,一个好的托管系统必须能够满足这类需求。用来自Oracle的Grant Emeny-Smith的话来说,隐私就是“虽说有时候受法律保护,但更多时候却仅仅是个客户选择的问题,关键是要适应不同环境的需要,托管供应商理应关注这些需求的不同。”