Gartner：SaaS云服务合同需增加透明度

ZDNet至顶网软件频道消息：日前，商用云服务（特别是软件即服务SaaS解决方案）的采购商们纷纷表示，采购服务合同的安全条款存在诸多漏洞与不足之处。Gartner公司曾透露，SaaS解决方案合同往往都包含一些措辞含糊不清的条款，这些条款涉及数据保密性、完整性和数据丢失后的恢复服务等。这种情况的出现日益引起云服务购买用户的不满。而与此同时，云服务的供应商们也将更加难以对风险进行管控或是应对来自审计师和监管机构的风险质疑。

根据Gartner的调查和预测，到2015年，对涉及安全方面的SaaS合同条款用语和保护措施仍将不满的IT采购人员比例将达80%。Gartner公司副总裁兼知名分析师Alexa Bona表示：“就云服务合同的外在表现形式和透明程度而言，我们仍将看到许多云服务使用者的不满情绪，他们期望未来或当前的云服务提供商能够增大云服务合同的透明程度。”

对云服务使用者而言，他们至少需要确保SaaS合同每年都能够经过第三方公司的安全审计和认证步骤，并且，若发生安全问题而供应商未能采取有效补救措施的话，云服务购买者有权选择终止合同。此外，于情于理，云服务购买者都可以要求云服务供应商对审计评估结果进行回应。举例来说，云安全联盟开发了一个名为“云控制矩阵”的标准并以Excel电子表格形式进行分发，该标准包含了云安全联盟成员设定的控制目标，对云计算有着重要的影响作用。Bona女士表示：“随着该标准的成熟以及云服务采购人员对其越来越大的需求，这个标准将成为业内越来越普遍的参照依据，企业可以通过这个标准以多种方式对云服务进行评估，包括查看问卷调查结果、审查第三方审计报告、进行现场审计工作以及监测云服务提供商等等。”

此外，云服务使用者不能假设SaaS合同就一定包含有足够的安全和数据恢复服务内容。Bona女士称：“无论采取何种措辞描述具体的服务水平协议（SLA），IT采购人员们都希望他们的数据能够得到有效的保护免受攻击，并且在遭遇突发事件的情况下能够及时恢复原有的数据。他们必须确保其服务供应商能够将这些需求书面合同化。此外，我们建议云服务购买者将数据恢复时间和恢复目标以及SLA中的数据完整性措施也纳入合同条款。同时还应在合同中写明相应的处罚规定，即若服务提供商无法完成其应尽义务，则应当按照合同规定接受一定的惩罚或是偿付补偿。”

而由于本行业对合同中安全服务条款的具体描述内容并未达成一致的共识，因此大多数SaaS供应商均在合同中做尽可能少的承诺。但对云服务购买方而言，要求服务供应商对某些服务形式以书面的形式作出承诺至关重要，其中包括对第三方未经授权的访问设立保护、每年提供安全标准认证、以及定期的漏洞排查测试等等。

此外，SaaS合同中缺乏针对安全、服务或数据存在不到位和丢失等情况应当予以的财务赔偿作出明确规定，这点也同样表明了SaaS合同存在不良风险。Bona女士说：“SaaS是一个一对多的服务模式，在这种模式下，单一的服务提供商引起的故障可能同时对成千上万的用户造成影响，对服务提供商而言这是组合风险的一种重要表现形式。因此，大都数云服务提供商对合同规定的任何形式的补偿均采取规避态度，不愿提供实物服务或合同规定的未达相应服务水平应接受的惩罚或赔付。因此，作为SaaS服务的购买方，其应当尽力争取24至36个月（而非12个月）的费用赔偿责任额度以及额外责任保险。

Bona女士还表示道：“人们对云计算存在的风险后果的担忧从另一层面来说，也正日益推动着各类负责数据安全、连续、恢复、隐私和法规的管理人员参与到由IT采购人员主导的服务购买流程中。他们应该继续对其云服务合同进行定期审查，确保IT采购人员在购买到合适云服务的同时又能够规避足够的风险。”