Gartner认为在SaaS合同中经常会出现一些模棱两可的条款，尤其是涉及数据机密性，数据完整性和数据丢失后的恢复问题。这些都导致了云服务使用者的不满，同时加大了服务提供商进行风险管理的难度。云服务尤其是SaaS服务的购买者，都已开始研究合同中安全方面的条款的缺失。

    Gartner称，到2015年，80%的IT采购人员会对SaaS合同中涉及安全的条款和保护措施不满。Gartner副总裁兼著名分析师Alexa Bona说：“目前看来，用户对云服务提供商的形式和透明度都有些不满。”

    至少，云服务的用户要保证SaaS合同中有每年的第三方安全监察及证明的相关规定，并且如果是供应商方面的原因造成的安全问题，用户可以解除合同。此外，用户使用评估工具的要求也是合理的。例如，CSA（The Cloud Security Alliance，云安全联盟）的参与者以电子表格的形式制定了CCM（Cloud Controls Matrix，云控制矩阵），规定了云服务的控制目标。Bona女士认为：“随着更多买家的需要，以及标准的成熟，多种评估方式会越来越普遍，包括审查调查问卷的回复，审查第三方监察报告，对云服务提供商进行现场审计和检测等。”

    此外，云服务用户不应该假设SaaS合同中已经规定了足够的安全和恢复的服务。Bona女士说：“不管SLA（服务水平协议）中是怎样遣词造句的，IT采购人员必须要确保供应商提供的服务可以保证数据免遭攻击，以及事故下服务是可恢复的。我们建议在SLA中加入恢复时间和恢复点目标以及数据完整性标准的相关规定，以及不能满足这些要求的相关赔偿问题。”

    由于各SaaS服务提供商并没有就合同上安全条款的写法达成共识，多数的SaaS服务提供商都将承诺降到了最低。某些形式的服务，例如保护服务免遭未经授权的第三方访问，每年的安全标准认证，以及定期的漏洞检测，都是很重要的，需要作出书面承诺。

    安全、服务或数据损失的财政补偿也缺乏相关的规定，也是SaaS合同中的潜在风险。SaaS是一个一对多的情况，单个服务提供商的失败会立即影响到成千上万的用户。因此，大多数云服务提供商都会避免在合同中提到赔偿。SaaS用户应该协商获得24-36个月的赔偿责任期，而不是12个月，并且尽可能的获得额外的责任保险。

    鉴于云计算的风险问题，除了IT采购人员，更多的角色，包括安全、恢复、隐私方面的相关人员都应该参与到云服务的购买中。他们应该定期审查云计算的合同，确保IT采购人员制定可以缓解风险的采购计划。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。