RSAC 2023创新沙盒十强解读 | Relyance.AI & SafeBase - 新鲜讯息

本期分析

Relyance.AI（美国）：基于AI驱动的代码扫描方法推动隐私和数据治理范式的转变

SafeBase（美国）:自动化技术评估第三方供应商构建信任新标准

关注一、Relyance.AI（美国）：基于AI驱动的代码扫描方法推动隐私和数据治理范式的转变

关键词：Relyance.ai AI 代码扫描隐私和数据治理 RSAC2023 创新沙盒

2023年3月28日，美国初创公司Relyance AI入选RSAC 2023创新沙盒十强。

公司：Relyance.ai
创始人：Abhi Sharma和Leila Golchehreh
成立时间：2020
领域：隐私保护和数据治理
总部：美国硅谷
融资：3000万美元

摘要：美国初创公司Reliance.ai因提供完整的隐私和数据治理运营解决方案入选RSAC 2023创新沙盒十强。该公司是一家在代码级实现隐私保护和数据治理（Ops）的解决方案提供商，致力于为组织提供一个单一的隐私保护平台，可实时提供到源代码级的隐私保护透明度和可见性，就像在代码中放置了一位隐私保护专家。该公司由拥有15年隐私安全及律师经验的Leila R. Golchehreh和连续创业者、编译器和大型机器学习专家Abhi Sharma共同创立。该公司的创新型代码扫描技术，在数据分类、隐私设计（PbD）和数据治理方面，可与公司现有的软件开发和安全工作流程无缝集成。目前已经获得了3000万美元融资。拥有30+名员工。Unusual Ventures和Menlo Ventures领投了该项目。该公司还邀请一些顶级机构的首席阴司官共同建立了一个隐私保护委员会。

Relyance.ai的创始人团队

Relyance.ai由Leila R. Golchehreh和Abhi Sharma共同创立, 他们也是多年的朋友。其中Leila Golchehreh（联合创始人兼CEO）拥有15年隐私和安全专家以及律师的经验。Abhi Sharma（联合创始人兼CEO）是连续创业者，是机器学习专家、编译器和大型ML产品的专家，也是Foghorn Systems的创始成员和AppDynamics的平台工程师。两位创始人拥有对机器学习、编译器和大规模基础设施运营的深刻理解与数据保护、隐私运营、法律专业知识以及大型组织在隐私和数据保护方面面临的主要问题的第一手经验。

Relyance.ai的融资情况

Relyance.ai共获得3000万美元种子和A轮融资。

最新一轮融资是由Unusual Ventures和Menlo Ventures共同领导。在融资的同时，Unusual Ventures的Jyoti Bansal（AppDynamics、Harness和Traceable的创始人）也加入了董事会，而Menlo Ventures的合伙人Matt Murphy作为观察员加入。Unusual Ventures的联合创始人和管理合伙人John Vrionis自Relyance AI成立以来一直是董事会成员。

该公司拥有30 +员工，建立了包括Phil Lee在内的精英顾问委员会，并得到了其他天使投资人和顾问的支持，包括MongoDB首席执行官Dev Ittycheria;亨利·沃德，Carta首席执行官;Rob Hull，Adaptive Insights前首席执行官;梅雷迪思·哈拉马（Meredith Halama），一家大型律师事务所的隐私主席，网络广告计划（Network Advertising Initiative）的前合规主管;Ashok Banerjee，VMWare安全与隐私副总裁，赛门铁克前首席技术官;Susan Hintze，隐私律师，Cooley LLP前隐私主席和RSA隐私跟踪负责人;以及隐私律师、微软前首席隐私顾问、未来隐私论坛高级研究员 Mike Hintze。

Relyance.ai解决了哪些安全挑战

今天，数据隐私保护越来越重要。随着CCPA、GDPR等严格的新监管制度的不断深入，对于组织的数据隐私保护以及合规管理团队而言，对整个组织内个人数据或敏感数据的实时流动却知之甚少。据统计，大约70%的数据泄露与第三方数据处理活动有关。对数据隐私和治理而言，最难回答的一些基本问题是：

1. 企业的个人数据去了哪里？

2. 企业到底在用数据做什么？

3. 有权访问企业数据的供应商或内部系统是否会使企业面临风险？

4. 企业是否按照其向客户承诺的方式保护数据？

Relyance.ai的解决方案定位为回答上述问题。传统的隐私保护和数据安全治理方法，主要依赖于手动数据输入或静态信息, 这些方法跟不上当前的人工智能复兴时代的需求。为了使隐私真正跟上组织和技术发展的速度，它必须嵌入到工程工作流程之中。Relyance.ai从代码级入手，为解决隐私保护问题提供了一种新的思路。

Relyance.ai的解决方案

Relyance .ai是第一个隐私和数据治理Ops解决方案，可实时提供一直到源代码的透明度和可见性，就像在代码中放置了一位隐私保护专家。

图B-3 Relyance.ai技术框架

图B-3描述了Relyance.ai的技术框架，该框架使企业能够将隐私和合规操作的速度与工程和业务操作的速度相匹配。Relyance.ai不仅仅是向左移动，而是通过利用机器学习建立一个全球性的、跨职能的、全面的解决方案来无缝管理隐私、数据治理和法律操作，从而颠覆了数据保护的方法。它是唯一在代码层面提供隐私保护的数据保护平台。

Relyance.ai的核心区别在于快速实时、自动化、代码和合同集成以及智能洞察力。同类解决方案依赖于手动工作流程或需要过多的数据访问，并且不提供对应用程序如何处理个人和敏感数据的实时可见性。

Relyance.ai宣称其实施不到5个小时就能获得连续、自动化的全球数据地图和数据清单，以及数据驱动的业务洞察力。

如图B-4所示，Relyance.ai跟踪并管理供应商和第三方持有的整个数据生命周期。除了自动生成和维护处理记录（ROPA）外，其供应商数据生命周期管理模块还扫描合同和协议，以浮现整个供应链中围绕安全、协议终止和ROPA的重要条款。

图B-4 Relyance 数据治理图谱

该公司的创新型代码扫描技术，在数据分类、隐私设计（PbD）和数据治理方面，可与公司现有的软件开发和安全工作流程无缝集成。该技术框架可以对代码进行分析，以创建一个语义表达（这是一种在编译器中常见的技术），为企业内部和外部系统如何处理个人信息以及敏感信息提供了一个清晰、完整和最新的视图。然后，该信息与运行时所监控的元数据、所扫描的静态数据进行关联，并利用自然语言处理（NLP）的最新技术，与公司合同和策略中的约束条件进行比较，在代码层面跟踪个人信息或敏感信息。

Relyance.ai的解决方案主要通过如下五个组件来实现：

1. 实时数据清单和地图： Relyance.ai 快速连接到代码存储库、基础设施工具和外部供应商API。它自动清点内部API和第三方系统中的数据资产，并映射数据流和继承的拓扑结构。

2. 通用ROPA： Relyance.ai自动生成通用处理活动记录(ROPA)，可灵活满足全球合规要求。它扫描代码、策略和协议以了解数据的实际处理方式，然后生成识别敏感数据类型和类别、处理目的、终止条款、传输基础、安全措施和处理活动的ROPA。

3. 智能洞察： Relyance.ai发送有关潜在问题的告警，以便隐私、数据治理和合规团队可以快速确定行动项目的优先级。它检测缺失的供应商和数据处理协议(DPA)、协议中无效的合规性框架、DPA中缺失的数据类别、广泛的DPA语言等。

4. 数据主体访问请求： Relyance.ai通过对数据生命周期、供应商数据流和跨职能数据处理的判断，帮助组织快速准确地实现合规性。它根据全球最佳实践进行培训，以自动突出显示数据主体访问请求(DSAR)异常、扩展等，以运行适用于每个组织的自定义规则。

5. 供应商生命周期管理： Relyance.ai管理完整的供应商生命周期，以确保组织按照其承诺的方式处理个人数据。它通过提供对内部服务和外部供应商之间如何共享个人数据的可见性来显示DPA的关键术语，例如安全性、DSAR和对其代码库的检查。组织可以通过将数据共享精确定位到API方法来快速修复隐私问题。

Relyance.ai的解决方案所实现的价值有：

1. 风险管理:Relyance.ai提供人工智能驱动的风险管理解决方案，帮助企业识别、评估和减轻风险。

2. 法规遵从性管理:Relyance.ai的平台自动化了合规流程，并提供了合规活动的实时监控，从而通过提供法规遵从性管理解决方案，帮助企业遵守法规和标准。

3. 网络安全风险管理:Reliyance.ai的平台使用先进的代码扫描技术来分析来识别潜在的威胁和漏洞，从而帮助企业识别和减轻网络安全风险。

4. 供应商风险管理:Reliyance.ai的平台自动化了供应商风险评估，并提供对供应商活动的实时监控，从而帮助企业管理与其供应商相关的风险。

目前Zoom、New Relic、Fivetran、Notion、Dialpad、Samsara、Patreon、ThriveTRM、True等包括金融、医疗保健和零售等各行各业的企业客户已经使用Relyance的解决方案来构建他们的全球隐私保护计划。

市场分析

数据泄露和隐私事件可以对组织品牌、客户和用户信任带来生存风险。根据麦肯锡最近的一项研究显示，绝大多数受访者(87%)表示，如果他们担心一家公司的网络安全水平，他们就不会与其开展业务。71%的受访者表示，如果一家公司未经许可泄露了敏感数据，他们将停止与该公司联系【1】。

据统计，全球隐私和数据治理市场规模从2021年的21亿美元增长到2025年的57亿美元，复合增长率为22.3%【2】；预计到2030年将达到116.8亿美元，2022年到2030年间的复合增长率约为21%【3】。主要驱动因素为巨额资金正在推动数字化转型，组织不断采用新技术，连接设备，正在源源不断产生大量的数据，然而，落后的数据管理导致大量数据隐私问题出现，相关的法律法规，以及关键的业务决策等正在推动全球隐私和数据治理市场的增长。

目前已经看到类似于Relayance.ai提供隐私保护的一些初创公司，如Dialpad，Patreon，Samsara，ThriveTRM，True等品牌在生产和概念验证中的已被客户快速采用。

总结

软件开发和交付的速度不断加快，与之伴生的数据以及隐私泄露等问题也越来越多。无论是各个组织机构的法规、安全和IT团队之间的协调，还是对个人或敏感数据治理的跟踪，均变得越来越具有挑战性。

此时此刻我的数据在哪里？Relyance.ai试图回答这一个对隐私行业而言最基本也最具挑战性的问题。传统的隐私合规方案主要通过手动的方式，耗时久，效果差。Relyance.ai是唯一一个在代码层面提供隐私保护的数据保护平台，和同行相比，其核心差异化因素是快速实施时间、自动化、代码和合同集成以及智能洞察力。Relyance.ai宣称可以在4-5小时内实现持续全面的数据流可见性。这无疑是一个数量级的进步。

隐私保护和数据治理无疑是一个快速增长的巨大市场，从代码入手，基于人工智能技术，实现安全左移的思路对行业将具有很大的启发。

二、全社会共同协作来应

二、SafeBase（美国）:自动化技术评估第三方供应商构建信任新标准

关键词：SafeBase 供应商评估 RSAC2023 创新沙盒智能信任中心

2023年3月22日，美国初创公司SafeBase入选了RSAC 2023年创新沙盒十强。

公司：SafeBase
创始人：Al Yang和Adar Arnon
成立：2020年5月
领域：供应商信任度调查
孵化器：Y Combinator
总部：美国加利福尼亚州
融资：1800万美元

摘要：SafeBase入选RSAC2023创新沙盒十强。该公司是一家基于自动化技术提供第三方供应商信用调查的服务商，旨在提供一个协作和共享的统一智能信任平台，通过简化调查问卷和信任安全评估的流程帮助B2B SaaS公司更快地完成企业交易。目前已经有数百家科技公司，包括LinkedIn、Abnormal Security、Snyk、Instacart和 ClickUp等利用SafeBase的技术构建了其全球创新型信任中心平台。该公司表示，其智能信任中心可以将企业销售周期缩短数天，并将问卷数量减少50%以上。该公司由两位哈佛校友Al Yang和Adar Arnon（曾在以色列国防部8200部队任职）创立。目前该公司共获得融资1800万美元。其中全球风险投资公司New Enterprise Associates（NEA）领投，Y Combinator和Comcast Ventures（Comcast Corporation的企业风险投资部门）参与跟投。目前该公司已经拥有超过100多家包括Linkedin在内的客户。

SafeBase融资情况

SafeBase已经在全球风险投资公司New Enterprise Associates（NEA）领投的A轮融资中筹集了1800万美元，Y Combinator和Comcast Ventures（Comcast Corporation的企业风险投资部门）也参与跟投。SafeBase目前已经拥有100多个客户，包括Linkedin、Jamf和网络安全公司Snyk等。

SafeBase创始团队

SafeBase创始人均为哈佛校友。创始人兼首席执行官Al Yang入选2020年的Y Combinator创业辅导计划。另一名联合创始人兼首席技术官Adar Arnon曾在IDF 8200部队的网络安全部门任职，目前在领导SafeBase在美国和以色列的研发团队。

联合创始人 Al Yang 和 Adar Arnon 庆祝成功获得融资（图片来源：互联网）

SafeBase解决了哪些挑战

自从SolarWinds和Kaseya等软件供应商遭遇重大网络安全违规事件之后，许多企业现在开始对第三方供应商进行更深入的尽职调查，以降低再次违规对他们造成严重影响的风险。在大多数情况下，他们要求供应商填写包含数百个或有时数千个问题的定制安全问卷。对于通常人手不足的安全团队来说，这将是一个很大的挑战。

SafeBase提供一个信任通信平台，使安全和销售团队能够主动共享和自动访问安全、合规和隐私信息。借助 SafeBase，组织可以避免重复问卷、建立客户信任并更快地完成交易。

SafeBase的产品和解决方案

SafeBase为企业提供一种安全协作和数据共享解决方案—Trust Communication平台，称为“信任中心”。目前已经帮助数百家科技公司，包括LinkedIn、Abnormal Security、Snyk、Instacart和 ClickUp等构建了创新型信任中心平台。2022年，SafeBase的信任中心共收到超过400,000次浏览、14,000次访问请求和 72,000次文件下载。该平台对于加快安全审查，简化了传统复杂的调查评估工作流程，基于自动化技术提高数据和通信的安全性，为企业提供了一个可大规模建立持久信任所需的工具。

SafeBase提供的主要服务及解决方案包括：

1. 安全协作:SafeBase提供了一个安全的协作平台，允许企业与合作伙伴、客户和其他涉众共享文件、文档和其他数据。该平台采用先进的加密和认证技术，确保数据的安全性和私密性。

2. 安全数据共享:SafeBase的安全数据共享解决方案允许企业与合作伙伴、客户和其他利益相关者安全地共享数据。该公司的平台采用先进的访问控制和加密技术，以确保数据的安全性和隐私性。

3. 数据室:SafeBase的数据室解决方案为企业提供了一个安全的集中式平台，用于存储机密数据，并与合作伙伴、客户和其他利益相关者共享数据。该平台采用先进的访问控制和加密技术，以确保数据的安全性和私密性。

4. 合规管理:SafeBase的合规管理解决方案帮助企业遵守与数据隐私和安全相关的法规和标准。该公司的平台自动化了合规流程，并提供了合规活动的实时监控。

SafeBase平台的价值

1、定制公司的公共安全门户

SafeBase的智能信任中心使企业轻松地汇总和组织公司所有监管、合规、成就、信息并上传买家和客户关心的所有最新文档，包括SOC 2、Pentests等等。

2、为安全和GRC团队构建的知识库

绝大多数安全问题都由智能信任中心回答。在极少数情况下，买家需要更多的信息，安全、销售和提案团队可以利用包含最常见和不太常见的安全问题的知识库进行回答。

3、主动与买家和客户沟通

通过信任中心更新，公司可以以可控、精简的方式主动向客户和潜在客户发送重要更新，分享新的文档可用性、策略更新和对潜在安全漏洞的响应，以表明企业对客户数据安全的承诺。

4、利用自动化的NDA流程改善周转时间

SafeBase内置的自动NDA流程极大地减少了生产时间，减轻了买家、客户和内部团队在安全审查流程上的负担和时间。自动审批等高级功能进一步减少了销售周期的摩擦。

5、提升监管及透明度

利用SafeBase，安全和GRC团队可以更好地控制公司的安全信息，即使他们变得更加透明和主动。权限配置文件、粒度访问和撤销访问/过期等高级功能意味着更安全、更容易地监督谁可以访问敏感信息以及可以访问多长时间。

6、轻松集成核心应用程序和平台

通过对所有技术栈进行有意义的集成，投资于尽可能平滑的安全审查过程。高级用户可以利用他们的CRM、Salesforce和Hubspot的强大功能，包括自动批准和NDA绕过功能，以及获得全面的可视性和报告销售团队的SafeBase活动。SafeBase的客户包括金融、医疗保健和法律等各个行业的企业。

7、了解数据仓库同步和自定义分析对安全程序的影响

后端报告和连接提供对客户信任计划和沟通有效性的持续洞察，为内部可见性和持续改进铺平道路。在不需要代码的前提下，轻松安全地将关键的SafeBase数据发送到Snowflake, BigQuery, Redshift, S3和其他大多数数据仓库。

关于安全评估问卷调查市场

问卷调查是一个专门的细分市场。传统的问卷调查市场已经非常成熟。目前一些主流的尽职调查供应商有：SIG, CAIQ, HECVAT, VSA。该市场是对第三方风险管理中一个专门且必要的部分。网络安全整体市场的快速增长，也在推动这一细分市场的新机会。

根据TechBeacon最近发布的一项研究，到2024年，网络安全支出将超过1740亿美元，其中69%的受访者表示合规性是主要支出驱动因素。此外，第三方违规行为越来越普遍，80%的组织在过去一年中至少经历过一次此类违规行为。在评估来自第三方供应商的新企业技术时，评估第三方的安全状况已经成为必不可少的一个环节。传统的问卷调查和评估工具使得该过程缓慢而艰巨。

SafeBase旨在自动访问并提供符合GDPR、HIPAA合规性和SOC2等行业标准的安全性和合规性信息。可预测，SafeBase所代表的一个创新方向将开辟出一个全新的细分市场。

总结

第三方风险管理一直是企业关注的一个重要方面。在这个细分市场，传统的管理手段已经非常成熟，但是随着企业数字化进程加速，这种传统手段的方法已经无法满足企业的实际需求。SafeBase创建了一个安全策略和合规文档的集中存储库平台，自动化了合规流程，并提供了合规活动的实时监控，对于加快安全审查速度具有非常重要的作用。该技术手段解决了第三方风险管理中一个专门且非常必要的部分，可以在单一平台内简化和自动化安全审查，简化业务流程，提升客户体验。SafeBase为业界所带来的另一个启发就是企业安全态势的透明化（信任）将是未来企业增强竞争力的一个重要指标。

（分析师：360天枢智库高级研究员凉州）

参考文献：

[1]https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/the-consumer-data-opportunity-and-the-privacy-imperative

[2]Data Governance Market Size, Share & Global Forecast - 2026 (marketsandmarkets.com)

[3]Data Governance Market New Research Analysis and Forecast 2030 (straitsresearch.com)