市場(chǎng)研究公司Gartner近期在報(bào)告中指出，大部分從事IT采購(gòu)的人員都對(duì)SaaS(軟件即服務(wù))廠商在合同中對(duì)安全的描述“極為不滿”，并且這種情況可能會(huì)持續(xù)至2015年。

Gartner 分析師Jay Heiser和Alexa Bona在報(bào)告中稱：“在SaaS合同的內(nèi)容中極少會(huì)出現(xiàn)關(guān)于安全的描述。通常，合同的安全部分都是一些陳詞濫調(diào)，籠統(tǒng)地提一句‘提供商將采取合理的措施設(shè)置和維護(hù)安全防護(hù)措施。’雖然這些安全防護(hù)措施常常被描述為‘符合行業(yè)標(biāo)準(zhǔn)’，但是它們卻幾乎從來都沒有被明確定義過。”

Gartner 稱，SaaS廠商還常常給予自己隨意修改安全條款的權(quán)力，而不是堅(jiān)持履行這些安全條款。Gartner對(duì)100多家SaaS廠商的“主服務(wù)協(xié)議、服務(wù)合同和服務(wù)水平協(xié)議”進(jìn)行了評(píng)估。評(píng)估發(fā)現(xiàn)，提供商對(duì)于“服務(wù)的形式，尤其是服務(wù)水平”的表述及為含糊。報(bào)告指出“對(duì)于履行這些表述含糊的承諾，他們幾乎沒有或是不承擔(dān)經(jīng)濟(jì)責(zé)任。即便已經(jīng)確認(rèn)這些義務(wù)無法完成，買方也沒有追索權(quán)。”

盡管目前關(guān)于SaaS廠商透明度的標(biāo)準(zhǔn)已經(jīng)出現(xiàn)，但是這些標(biāo)準(zhǔn)并不成熟。例如，對(duì)于服務(wù)水平協(xié)議中應(yīng)包含哪些東西，目前還沒有形成一個(gè)統(tǒng)一的意見。通常，SLA(服務(wù)水平協(xié)議)合同條僅涉及應(yīng)用的正常運(yùn)行時(shí)間和求助電話的響應(yīng)速度，而這些硬性指標(biāo)對(duì)于服務(wù)提供商來說很容易實(shí)現(xiàn)。對(duì)于其他一些措施，如“恢復(fù)時(shí)間目標(biāo)”在整個(gè)行業(yè)中并不普遍。

對(duì)此，簽訂SaaS協(xié)議的客戶應(yīng)當(dāng)盡量想辦法將大量預(yù)防性描述寫入合同中，包括進(jìn)行廠商安全措施定期審計(jì)、弱點(diǎn)測(cè)試、“持續(xù)進(jìn)行管理人員背景調(diào)查”，以及安全事故或服務(wù)損失分類。此外，Gartner還指出，客戶應(yīng)當(dāng)要求SaaS提供商在合同中寫入責(zé)任保險(xiǎn)條款，并將客戶作為受益人。

報(bào)告稱，幾乎所有的合同都有不可抗力條款，以將一些災(zāi)難性事故排除在外。“如果故障同時(shí)波及1000名客戶，每名客戶都有權(quán)獲得200萬美元的賠償，那么總金額加起來將達(dá)到20億美元?？蛻魬?yīng)當(dāng)詢問服務(wù)提供商，如果發(fā)生的故障影響到了他所的全部租戶，那么他們應(yīng)賠償多少;并要求提供商出示充分承保的憑證。”

隨著SaaS逐漸成為主流，軟件行業(yè)正在持續(xù)展開相關(guān)討論。Gartner的建議正是對(duì)這場(chǎng)討論的思考。據(jù)Gartner 在去年公布的數(shù)據(jù)顯示，2012年SaaS的開銷已經(jīng)超過了145億美元;預(yù)計(jì)到2015年，SaaS的開銷將達(dá)到220億美元。這一數(shù)字的增長(zhǎng)不僅僅是受到了Salesforce.com等專業(yè)SaaS廠商增長(zhǎng)的推動(dòng)。SAP和甲骨文等傳統(tǒng)本地軟件廠商向SaaS傳輸模式的轉(zhuǎn)變也為這一數(shù)字的增長(zhǎng)做出了貢獻(xiàn)。如今SaaS采購(gòu)的性質(zhì)正在發(fā)生變化。目前，營(yíng)銷或人力資源等部門也開始逐漸加入到了SaaS的采購(gòu)之中，而這些部門級(jí)的采購(gòu)并不是統(tǒng)一規(guī)劃的IT策略中的一部分。Gartner認(rèn)為這一趨勢(shì)將導(dǎo)致合同風(fēng)險(xiǎn)越來越大。