SaaS 型初创企业安全 101

真希望我的第一个老板告诉我这些

如果你在一家初创企业工作，并一直在思考应该在何时开始研究安全注意事项和合规性？哪些技术债务应该推迟到以后，哪些系统应该马上强化？主要考虑因素是什么？

技术债务越堆越高，并且多数情况下比起现在偿还拖到以后会更容易。比如，如果你不是用用户名密码的方式使用 ElasticSearch ，你应该再三检查你的防火墙设置。等到 B 轮融资之后，你的初创企业很可能有了足够的人力物力来正确的保障 ElasticSearch 集群。

初创企业文化使得它更难“以后”再改。让我们举一个简单的例子：习惯于不做代码审查而直接提交的开发者，会抱怨说同行评审会拖慢整个开发，并让他们觉得这“太企业”。

那么早期应该做哪些安全方面的考虑？

产品中的哪些安全特性是客户愿意买单的？
你们产业（医疗，金融，企业）对安全的期待是什么？
目标市场（国家）法规（数据隐私，数据驻留）是什么？众所周知欧洲国家有更严格的法规。美国各州有不一样的法规。
哪些工具和政策不会伤害你的团队的士气。
您需要多长时间准备安全风险计划（参见本文档底部的示例）？
- 知识产权盗窃，商业计划盗窃，比特币 /ec2 盗窃，丢失所有数据的影响是什么？它将如何影响您的销售，客户，投资者？
- 如何防止数据泄露？
- 如何在数据泄露后减少损失？

我们归纳总结了一个初创企业在各个阶段所期待的安全建议，初创企业所掌握的资金和数据越多，那么对于安全的投资也要越多：

目前尚无回复