在CRM的实际应用中，或许你对一个问题一直疑惑，即如何为CRM软件制定基于角色的安全计划需要参照大公司的客户隐私保护方针。根据NeoCase Software的CEO Herve Pluche建议，要制定这一方针，必须将现有的商业流程与合规要求匹配起来，并以现有实践作为切入点。
  　　在CRM数据库中，每一条记录都可能包含了隐私信息，而这些信息可能关系到客户，也可能关系到你的销售队伍和商业运作。在一个B2C的商业环境中，客户隐私信息会涉及到社保卡号码，信用卡信息和家庭住址等。在B2B的商业环境里，隐私信息可能包含了数百万美元的采购历史记录，比如是销售团队的佣金、销售目标、销售战略等商业机密信息。
  　　在一个单一数据库中存集大量信息的优点是其可以针对每一名客户与公司之间的关系为你提供一个清晰的全貌，有助于你回顾过去和规划未来。
  　　但问题是，有没有必要让销售代表、支持人员、顾问和库房人员等等所有的CRM用户，都可以像你的C层管理人员那样拥有访问所有数据的权限呢? 当然是不能，因为，有时让员工看到其它同事的佣金信息并不是件好事。而让顾问看到所有的客户数据也要冒上他在为你的竞争对手工作时泄露数据的巨大风险。现实中由于员工跳槽而带走客户数据的事已是屡见不鲜。
  　　其实，在一定程度上保护客户隐私信息并不代表要去完全限制用户访问，或强迫他们在每次使用系统时征求许可。反之，建立一套基于角色的结构能确保在控制隐私的同时又不至于会影响员工的工作效率。
  角色扮演
  　　所谓的基于角色，其实就是指管理人员依照用户在企业内部所扮演的角色来限制或允许他们对信息的访问。建立一套基于角色的安全流程需要针对不同用户来设立许可权限，从而确保每一名用户只能访问到与他的岗位职责相关的信息。
  　　例如，某家公司决定只让高级市场人员访问与近期一场市场活动有关的特定客户数据。或者只让副总裁访问销售佣金数据。另外，这种基于角色的功能还可以被进一步延伸，如按照销售区域来划分访问权限，这样销售代表只能看到属于自己区域范围内的信息记录。其实大多的CRM应用中都自带了这类功能，公司可以按照自身的需要来酌情使用。软件公司TechExcel的发言人Jason McNally表示，简单地去封锁信息传输或者email记录其实并不管用。
  “只让员工无法向外部发送记录起不了什么作用，任何在屏幕上显示的信息都能被复制粘贴到另一个文件中。他们甚至能够将客户数据截图保存下来。在员工跳槽转投竞争对手时，这些数据仍可以被带走。”Jason McNally说。
  量体而裁
  　　Salesforce.com的产品市场总监Al Falcione指出：“一家公司如何进行访问权限设置要视很多因素而定，其中包括公司文化，有些公司的系统很开放。他们拥有透明的数据共享模式，除可以让员工访问外，还可以让客户访问，他们不在乎每个人都能访问这些信息。”
  　　那些不愿使用基于角色的安全措施的公司普遍认为这种做法会破坏员工之间的协同。如果销售队伍能浏览部分数据记录而市场部门不能，那么这两个部门之间的工作交流就会产生阻碍。
  　　而Herve Pluche则认为，绝大多数公司一开始还是会倾向于保守的方法。而随着时间的推移，他们才会慢慢放宽限制，允许更多的协同。
  　　“关键是要建立一套良好的方针和设置，对信息访问采取恰当的限制，在开始时谨慎一些并没有错，因为一旦你的数据在公司内部全面流通，那么今后很可能就覆水难收。”Herve Pluche表示。
  　　有些公司采取基于角色的安全保护措施的原因仅仅是为了防止给销售代表的信息过量。“有时候，较少的信息反而能增加效率，”Salesforce.com的Al Falcione说道，他将CRM的全部数据比作是一家在线购物站点，用户可能会因为太多的数据而眼花缭乱，哪怕他们知道自己想要找的是什么信息。
  　　“信息泛滥很容易就让人感到不知所措，所以，这类安全措施对控制隐私并没有帮助，让用户访问他们所需要的信息才可以提高他们的工作效率。”Al Falcione补充说道。
  灵活性，不可失
  　　事实上，实施一套基于角色的安全保护并不会给管理上带来太大的麻烦，它只是需在系统内设立一些规则而已。 Falcione建议让一名享有最高权限的管理员来管理所有的需求和变化，而不是将管理权限拆分给几个部门的主管。
  　　同时，不仅要确保数据安全，你也要兼顾到操作的灵活性，TechExcel的Jason McNally说道。灵活性和安全性其实也与数据的输入方式有关，销售代表和其它员工输入的数据要得当。那种先快速上传数据，然后再来分类到正确栏目的做法可能会造成很大的问题。在那些数据被正确分类前，用户可能会在共用栏目(比如备注栏)访问到它。
  　　总而言之，基于角色的安全保护应当参照大公司的客户数据隐私规范，NeoCase的Herve Pluche说道，公司需要将现有的商业流程与合规要求匹配起来，并采取现有实践作为切入点。只有如此，管理人员才会以新的眼光来看待隐私保护措施。
  　　 “通过使用富有更多功能的新技术，公司可以在一定程度上再评估它的商业流程和关于隐私方面的规则和方针。”Herve Pluche说。