Le service consiste à crypter de toutes les données considérées comme sensibles, avant qu'elles ne soient transmises au système de Salesforce.com. Selon un document rédigé par Navajo, même si ces données résident chez Salesforce.com, elles sont « totalement illisibles (et donc inexploitables) ». Toujours selon Navajo « le vol de la base de données, les fuites accidentelles, les demandes d'assignations faites au fournisseur SaaS et même le vol d'identité, deviennent inoffensifs, et la conformité réglementaire est assurée. »
Le logiciel de Navajo décrypte l'information quand elle est renvoyée à l'utilisateur final, les entreprises conservant le contrôle des clés de déchiffrement. Le service fonctionne en tâche de fond et ne requiert aucune modification du code de l'application SaaS, selon Navajo. Si les données circulant entre le data center d'un fournisseur SaaS et le navigateur d'un utilisateur final sont généralement cryptées, la copie de la base de données résidant chez le fournisseur SaaS peut ne pas l'être. Les données des utilisateurs demeurent vulnérables, même si le fournisseur SaaS procède à leur cryptage, car un employé peu scrupuleux ou un pirate pourrait y accéder et violer cette l'information, toujours selon Navajo. Le service virtuel peut être installé sur un appareil qui s'intègre au réseau du client, ou être fourni à titre de service par Navajo ou par un fournisseur tiers.
Une sécurisation polyvalente
Basé sur Linux, le système repose sur trois composants : un serveur proxy placé entre de l'application SaaS et les utilisateurs du client, un moteur de chiffrement utilisant « des méthodes de cryptage homologuées, basées sur des algorithmes NIST », et un outil de gestion et de contrôle de la sécurité avec une interface web. Le chiffrement, indépendant du hardware ou de la base de données, reste sécurisé jusqu'au déchiffrement, en partie pour permettre aux applications de continuer à fonctionner. Par exemple, la date et l'heure d'une réunion dans un agenda pourraient ne pas être chiffrées, mais d'autres détails pourraient l'être, comme le précise le document de Navajo. La technologie de sécurisation utilisée permet également à l'application de rechercher et de trier les données chiffrées.
Navajo a déjà inclus par ailleurs des fonctions comparables à celles vendues pour Salesforce.com sur d'autres applications SaaS, comme SuccessFactors, Google Apps et Oracle CRM On Demand. L'entreprise israélienne est en concurrence avec des sociétés comme PerspecSys, laquelle propose aussi un service spécialisé pour la protection des données sur Salesforce.com. Selon Steve Coplan, analyste du cabinet 451 Group, qui a rédigé un récent rapport sur Navajo, « les enquêtes montrent que les questions de confiance et de sécurité sont déterminantes pour décider une entreprise à adopter le cloud computing. « Les fournisseurs de SaaS et les entreprises savent qu'en faisant cet investissement stratégique pour résoudre ces questions, ils peuvent contribuer à faciliter l'adoption du Cloud. Ce qui rend Navajo pertinent, » a t-il ajouté. Cependant, « nous craignons que, si l'offre spécifique de cette jeune société pour le respect et la confidentialité des données peut susciter l'intérêt, la société risque de se créer un handicap, en particulier si la conformité est comprise à juste titre comme un sous-ensemble de la sécurité et que la confidentialité des données comme un aspect de la transformation structurelle, » écrit Steve Coplan.
Un service de sécurisation des données pour Salesforce.com
Avec « Virtual Private SaaS » (Software as a Service), la start-up Navajo System veut apporter aux clients de Salesforce.com une solution pour résoudre des problèmes réglementaires relatifs à la confidentialité des données dans le cloud.