Gartner稱：SaaS合同歧義引發(fā)安全隱憂

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

根據(jù)IT研究公司Gartner最新報(bào)告顯示，在數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)丟失事件后的恢復(fù)等方面，軟件即服務(wù)(SaaS)合同往往有些含糊不清的條款，這導(dǎo)致云服務(wù)用戶的不滿。商業(yè)云服務(wù)(特別是SaaS)買(mǎi)家發(fā)現(xiàn)這些安全條款模糊不清，這些條款也使得服務(wù)提供商難以管理風(fēng)險(xiǎn)和應(yīng)對(duì)審計(jì)師和監(jiān)管員。

該報(bào)告指出，云服務(wù)用戶至少應(yīng)該確保SaaS合同允許接受第三方的年底安全審查和認(rèn)證，并且，在安全泄露事故中，如果供應(yīng)商未能提供任何措施，用戶應(yīng)該有權(quán)終止合同。

“在從潛在供應(yīng)商和現(xiàn)有服務(wù)供應(yīng)商獲得透明度的程度和形式方面，我們總是看到云服務(wù)用戶遇到挫折，”Gartner副總裁兼著名分析師Alexa Bona表示，“隨著越來(lái)越多的買(mǎi)家要求透明度，以及隨著標(biāo)準(zhǔn)越來(lái)越成熟，以各種方式執(zhí)行評(píng)估將會(huì)變得越來(lái)越普遍，包括查看問(wèn)卷調(diào)查結(jié)果，查看第三方審計(jì)報(bào)告，執(zhí)行現(xiàn)場(chǎng)審核和/或監(jiān)控云服務(wù)供應(yīng)商。”

Gartner預(yù)測(cè)，到2015年，80%的IT采購(gòu)人員將仍然會(huì)對(duì)合同中與安全相關(guān)的條款和保護(hù)感到不滿。旨在推動(dòng)云計(jì)算的非營(yíng)利組織云安全聯(lián)盟(CSA)有一個(gè)電子表格形式的云控制矩陣，其中包含CSA參與者認(rèn)為重要的云計(jì)算控制目標(biāo)，這種舉措將幫助改善云服務(wù)服務(wù)合同。

“無(wú)論供應(yīng)商使用什么術(shù)語(yǔ)來(lái)描述服務(wù)水平協(xié)議的具體細(xì)則，IT采購(gòu)人員都希望他們的數(shù)據(jù)能夠抵御攻擊，或者能夠從事故中恢復(fù)，這些采購(gòu)人員必須確保其供應(yīng)商在合同上滿足這些預(yù)期要求，”Bona表示，“我們建議他們還應(yīng)該在SLA中涵蓋恢復(fù)時(shí)間和恢復(fù)點(diǎn)目標(biāo)，以及數(shù)據(jù)完整性，如果這些沒(méi)有實(shí)現(xiàn)的話，應(yīng)該有處罰。”

此外，對(duì)于安全事故，服務(wù)或數(shù)據(jù)損失，云服務(wù)合同中往往缺乏相應(yīng)的資金賠償，這也代表著SaaS合同中存在一定風(fēng)險(xiǎn)。該報(bào)告稱，用戶應(yīng)該確保某種服務(wù)形式(例如對(duì)來(lái)自第三方的未經(jīng)授權(quán)訪問(wèn)的保護(hù))年度認(rèn)證符合安全標(biāo)準(zhǔn)，以及定期漏洞測(cè)試，以書(shū)面的形式體現(xiàn)。另外，SaaS用戶還應(yīng)該協(xié)商24到36個(gè)月的費(fèi)用賠償責(zé)任限額，而不是12個(gè)月，以及額外的責(zé)任保險(xiǎn)—在可能的情況下。

“對(duì)于云計(jì)算的風(fēng)險(xiǎn)的擔(dān)憂，正在激勵(lì)著安全、連續(xù)性、恢復(fù)、隱私和合規(guī)管理人員參與到由IT采購(gòu)人員負(fù)責(zé)的采購(gòu)過(guò)程中，”Bona表示，“他們應(yīng)該定期檢查其云計(jì)算合同保護(hù)，以確保IT采購(gòu)人員的采購(gòu)活動(dòng)包含足夠的風(fēng)險(xiǎn)緩解保護(hù)。”