对于供应商和客户来说，可以明显的看出经济效益，用户使用SaaS的成本，和自己购买软件加上布署的成本比起来是吸引的多。因为集中化的特质，SaaS供应商可以更迅速和容易地去更新以及管理软件和服务，可以直接观察客户使用模式来改善应用程序。而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力。另外，它也提供更有弹性的整合能力和开放界面，许多SaaS供应商开始提供社群媒体模式的协作功能或开放界面（APIs）。

    虽然SaaS能够提供灵活和具有成本效益的应用使用环境来取代传统模式，但它并非没有风险。因为转移到托管平台，而不是留在自己内部，企业必然会牺牲许多对于营运环境的控制。特别是在SaaS里，你几乎只能选择要上传或不上传某些数据，而剩下的就不是你能掌控了。但是你还是得为自己的数据保护负起法律和监管责任。

    SaaS环境下的风险有许多种，而且大多数都和它所提供的好处相关。正如前面提到的，你的供应商透过某些网络分析来了解你对服务平台的使用状况，他们也能够存取你所有的数据，这会产生未经授权存取或被内部员工监控的风险。

    五个关键的安全问题要问你的SaaS供应商：

    1.渗透测试：如何以及多常进行整个环境的渗透测试，是否有能力自己独立对部分环境进行渗透测试？如果没有常常进行深入的渗透测试，你就不能得知当前安全状况的全貌。

    2.数据安全：在使用资源共享的SaaS供应商数据中心时，如何对储存和传输中的数据进行加密？谁可以拿到加密金钥？是否有做权责区分（separation of duties），并将加密金钥和数据维护分开负责？供应商是否能提供你SAS 70报告？

    3.多租户：是否有提供单一租户托管的选项？还要确认单一租户是否只包括应用程序，还是也包括数据储存的部份？

    4. 灾难复原：当发生灾难性故障、受到外部入侵或数据遗失时，有准备备份和回复的程序吗？备份的数据储存在哪里（再次提醒，需要加密）以及如何有效地回复？

    5.用户验证：SaaS应用程序的登入程序为何？是否使用多因子认证？是否可以和客户正在使用中的认证机制做整合？

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。