云服务合同需要更透明

Gartner认为在SaaS合同中经常会出现一些模棱两可的条款，尤其是涉及数据机密性，数据完整性和数据丢失后的恢复问题。这些都导致了云服务使用者的不满，同时加大了服务提供商进行风险管理的难度。云服务尤其是SaaS服务的购买者，都已开始研究合同中安全方面的条款的缺失。

Gartner称，到2015年，80%的IT采购人员会对SaaS合同中涉及安全的条款和保护措施不满。Gartner副总裁兼着名分析师Alexa Bona说：“目前看来，用户对云服务提供商的形式和透明度都有些不满。”

至少，云服务的用户要保证SaaS合同中有每年的第三方安全监察及证明的相关规定，并且如果是供应商方面的原因造成的安全问题，用户可以解除合同。此外，用户使用评估工具的要求也是合理的。例如，CSA(The Cloud Security Alliance，云安全联盟)的参与者以电子表格的形式制定了CCM(Cloud Controls Matrix，云控制矩阵)，规定了云服务的控制目标。Bona女士认为：“随着更多买家的需要，以及标准的成熟，多种评估方式会越来越普遍，包括审查调查问卷的回复，审查第三方监察报告，对云服务提供商进行现场审计和检测等。”

此外，云服务用户不应该假设SaaS合同中已经规定了足够的安全和恢复的服务。Bona女士说：“不管SLA(服务水平协议)中是怎样遣词造句的，IT采购人员必须要确保供应商提供的服务可以保证数据免遭攻击，以及事故下服务是可恢复的。我们建议在SLA中加入恢复时间和恢复点目标以及数据完整性标准的相关规定，以及不能满足这些要求的相关赔偿问题。”

由于各SaaS服务提供商并没有就合同上安全条款的写法达成共识，多数的SaaS服务提供商都将承诺降到了最低。某些形式的服务，例如保护服务免遭未经授权的第三方访问，每年的安全标准认证，以及定期的漏洞检测，都是很重要的，需要作出书面承诺。

安全、服务或数据损失的财政补偿也缺乏相关的规定，也是SaaS合同中的潜在风险。SaaS是一个一对多的情况，单个服务提供商的失败会立即影响到成千上万的用户。因此，大多数云服务提供商都会避免在合同中提到赔偿。SaaS用户应该协商获得24-36个月的赔偿责任期，而不是12个月，并且尽可能的获得额外的责任保险。

鉴于云计算的风险问题，除了IT采购人员，更多的角色，包括安全、恢复、隐私方面的相关人员都应该参与到云服务的购买中。他们应该定期审查云计算的合同，确保IT采购人员制定可以缓解风险的采购计划。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友