Gartner表示,在SaaS合同中常常出现一些模棱两可的条款,特别是涉及数据机密性,数据完整性以及数据丢失后的恢复问题的。这些都导致了云服务使用者的不满,同时加大了服务提供商进行风险管理的难度。云服务尤其是SaaS服务的购买者,都已开始研究合同中安全方面的条款的缺失。
Gartner称,到2015年,80%的IT采购人员会对SaaS合同中涉及安全的条款和保护措施不满。Gartner副总裁兼著名分析师Alexa Bona说:“目前看来,用户对云服务提供商的形式和透明度都有些不满。”
至少,云服务的用户要保证SaaS合同中有每年的第三方安全监察及证明的相关规定,并且如果是供应商方面的原因造成的安全问题,用户可以解除合同。此外,用户使用评估工具的要求也是合理的。例如,CSA(The Cloud Security Alliance,云安全联盟)的参与者以电子表格的形式制定了CCM(Cloud Controls Matrix,云控制矩阵),规定了云服务的控制目标。Bona女士认为:“随着更多买家的需要,以及标准的成熟,多种评估方式会越来越普遍,包括审查调查问卷的回复,审查第三方监察报告,对云服务提供商进行现场审计和检测等。”
此外,云服务用户不应该假设SaaS合同中已经规定了足够的安全和恢复的服务。Bona女士说:“不管SLA(服务水平协议)中是怎样遣词造句的,IT采购人员必须要确保供应商提供的服务可以保证数据免遭攻击,以及事故下服务是可恢复的。我们建议在SLA中加入恢复时间和恢复点目标以及数据完整性标准的相关规定,以及不能满足这些要求的相关赔偿问题。”
由于各SaaS服务提供商并没有就合同上安全条款的写法达成共识,多数的SaaS服务提供商都将承诺降到了最低。某些形式的服务,例如保护服务免遭未经授权的第三方访问,每年的安全标准认证,以及定期的漏洞检测,都是很重要的,需要作出书面承诺。
安全、服务或数据损失的财政补偿也缺乏相关的规定,也是SaaS合同中的潜在风险。SaaS是一个一对多的情况,单个服务提供商的失败会立即影响到成千上万的用户。因此,大多数云服务提供商都会避免在合同中提到赔偿。SaaS用户应该协商获得24-36个月的赔偿责任期,而不是12个月,并且尽可能的获得额外的责任保险。
鉴于云计算的风险问题,除了IT采购人员,更多的角色,包括安全、恢复、隐私方面的相关人员都应该参与到云服务的购买中。他们应该定期审查云计算的合同,确保IT采购人员制定可以缓解风险的采购计划。