SaaS合同多缺乏详细的安全条款

云计算 SaaS
Gartner 分析师Jay Heiser和Alexa Bona在报告中称:“在SaaS合同的内容中极少会出现关于安全的描述。通常,合同的安全部分都是一些陈词滥调,笼统地提一句‘提供商将采取合理的措施设置和维护安全防护措施。’虽然这些安全防护措施常常被描述为‘符合行业标准’,但是它们却几乎从来都没有被明确定义过。”

市场研究公司Gartner近期在报告中指出,大部分从事IT采购的人员都对SaaS(软件即服务)厂商在合同中对安全的描述“极为不满”,并且这种情况可能会持续至2015年。

Gartner 分析师Jay Heiser和Alexa Bona在报告中称:“在SaaS合同的内容中极少会出现关于安全的描述。通常,合同的安全部分都是一些陈词滥调,笼统地提一句‘提供商将采取合理的措施设置和维护安全防护措施。’虽然这些安全防护措施常常被描述为‘符合行业标准’,但是它们却几乎从来都没有被明确定义过。”

Gartner 称,SaaS厂商还常常给予自己随意修改安全条款的权力,而不是坚持履行这些安全条款。Gartner对100多家SaaS厂商的“主服务协议、服务合同和服务水平协议”进行了评估。评估发现,提供商对于“服务的形式,尤其是服务水平”的表述及为含糊。报告指出“对于履行这些表述含糊的承诺,他们几乎没有或是不承担经济责任。即便已经确认这些义务无法完成,买方也没有追索权。”

尽管目前关于SaaS厂商透明度的标准已经出现,但是这些标准并不成熟。例如,对于服务水平协议中应包含哪些东西,目前还没有形成一个统一的意见。通常,SLA(服务水平协议)合同条仅涉及应用的正常运行时间和求助电话的响应速度,而这些硬性指标对于服务提供商来说很容易实现。对于其他一些措施,如“恢复时间目标”在整个行业中并不普遍。

对此,签订SaaS协议的客户应当尽量想办法将大量预防性描述写入合同中,包括进行厂商安全措施定期审计、弱点测试、“持续进行管理人员背景调查”,以及安全事故或服务损失分类。此外,Gartner还指出,客户应当要求SaaS提供商在合同中写入责任保险条款,并将客户作为受益人。

报告称,几乎所有的合同都有不可抗力条款,以将一些灾难性事故排除在外。“如果故障同时波及1000名客户,每名客户都有权获得200万美元的赔偿,那么总金额加起来将达到20亿美元。客户应当询问服务提供商,如果发生的故障影响到了他所的全部租户,那么他们应赔偿多少;并要求提供商出示充分承保的凭证。”

随着SaaS逐渐成为主流,软件行业正在持续展开相关讨论。Gartner的建议正是对这场讨论的思考。据Gartner 在去年公布的数据显示,2012年SaaS的开销已经超过了145亿美元;预计到2015年,SaaS的开销将达到220亿美元。这一数字的增长不仅仅是受到了Salesforce.com等专业SaaS厂商增长的推动。SAP和甲骨文等传统本地软件厂商向SaaS传输模式的转变也为这一数字的增长做出了贡献。如今SaaS采购的性质正在发生变化。目前,营销或人力资源等部门也开始逐渐加入到了SaaS的采购之中,而这些部门级的采购并不是统一规划的IT策略中的一部分。Gartner认为这一趋势将导致合同风险越来越大。

责任编辑:王程程 来源: 网界网
相关推荐

2013-04-07 11:31:05

云计算合同

2020-11-11 10:07:31

SaaS合同谈判公共云

2011-08-16 09:57:22

云计算

2019-03-14 09:41:28

物联网安全恶意攻击僵尸网络

2020-12-14 08:38:12

Kubernetes网络安全云安全

2021-06-30 10:55:00

SaaS 安全管理SaaS 安全

2013-06-17 10:16:53

虚拟机虚拟化安全

2015-08-13 10:20:29

2015-11-23 17:38:11

2013-07-30 10:15:25

NASA云计算安全隐患

2022-04-20 06:17:46

SaaS安全网络安全SaaS

2012-10-16 09:28:49

SaaS安全加密

2012-03-26 10:05:59

SaaS安全加密

2012-10-16 10:02:08

加密SaaS安全SaaS加密

2021-12-14 16:02:30

API安全漏洞网络攻击

2013-07-31 09:29:12

NASA云安全云托管服务器

2015-11-09 11:19:36

Linux安全Linux内核安全

2022-07-29 09:00:00

SaaS安全认证

2013-10-15 11:16:47

2022-07-15 13:44:27

安全供应商首席信息安全官
点赞
收藏

51CTO技术栈公众号