市场研究公司Gartner近期在报告中指出,大部分从事IT采购的人员都对SaaS(软件即服务)厂商在合同中对安全的描述“极为不满”,并且这种情况可能会持续至2015年。
Gartner 分析师Jay Heiser和Alexa Bona在报告中称:“在SaaS合同的内容中极少会出现关于安全的描述。通常,合同的安全部分都是一些陈词滥调,笼统地提一句‘提供商将采取合理的措施设置和维护安全防护措施。’虽然这些安全防护措施常常被描述为‘符合行业标准’,但是它们却几乎从来都没有被明确定义过。”
Gartner 称,SaaS厂商还常常给予自己随意修改安全条款的权力,而不是坚持履行这些安全条款。Gartner对100多家SaaS厂商的“主服务协议、服务合同和服务水平协议”进行了评估。评估发现,提供商对于“服务的形式,尤其是服务水平”的表述及为含糊。报告指出“对于履行这些表述含糊的承诺,他们几乎没有或是不承担经济责任。即便已经确认这些义务无法完成,买方也没有追索权。”
尽管目前关于SaaS厂商透明度的标准已经出现,但是这些标准并不成熟。例如,对于服务水平协议中应包含哪些东西,目前还没有形成一个统一的意见。通常,SLA(服务水平协议)合同条仅涉及应用的正常运行时间和求助电话的响应速度,而这些硬性指标对于服务提供商来说很容易实现。对于其他一些措施,如“恢复时间目标”在整个行业中并不普遍。
对此,签订SaaS协议的客户应当尽量想办法将大量预防性描述写入合同中,包括进行厂商安全措施定期审计、弱点测试、“持续进行管理人员背景调查”,以及安全事故或服务损失分类。此外,Gartner还指出,客户应当要求SaaS提供商在合同中写入责任保险条款,并将客户作为受益人。
报告称,几乎所有的合同都有不可抗力条款,以将一些灾难性事故排除在外。“如果故障同时波及1000名客户,每名客户都有权获得200万美元的赔偿,那么总金额加起来将达到20亿美元。客户应当询问服务提供商,如果发生的故障影响到了他所的全部租户,那么他们应赔偿多少;并要求提供商出示充分承保的凭证。”
随着SaaS逐渐成为主流,软件行业正在持续展开相关讨论。Gartner的建议正是对这场讨论的思考。据Gartner 在去年公布的数据显示,2012年SaaS的开销已经超过了145亿美元;预计到2015年,SaaS的开销将达到220亿美元。这一数字的增长不仅仅是受到了Salesforce.com等专业SaaS厂商增长的推动。SAP和甲骨文等传统本地软件厂商向SaaS传输模式的转变也为这一数字的增长做出了贡献。如今SaaS采购的性质正在发生变化。目前,营销或人力资源等部门也开始逐渐加入到了SaaS的采购之中,而这些部门级的采购并不是统一规划的IT策略中的一部分。Gartner认为这一趋势将导致合同风险越来越大。