该报告指出,云服务用户至少应该确保SaaS合同允许接受第三方的年底安全审查和认证,并且,在安全泄露事故中,如果供应商未能提供任何措施,用户应该有权终止合同。
“在从潜在供应商和现有服务供应商获得透明度的程度和形式方面,我们总是看到云服务用户遇到挫折,”Gartner副总裁兼著名分析师Alexa Bona表示,“随着越来越多的买家要求透明度,以及随着标准越来越成熟,以各种方式执行评估将会变得越来越普遍,包括查看问卷调查结果,查看第三方审计报告,执行现场审核和/或监控云服务供应商。”
Gartner预测,到2015年,80%的IT采购人员将仍然会对合同中与安全相关的条款和保护感到不满。旨在推动云计算的非营利组织云安全联盟(CSA)有一个电子表格形式的云控制矩阵,其中包含CSA参与者认为重要的云计算控制目标,这种举措将帮助改善云服务服务合同。
“无论供应商使用什么术语来描述服务水平协议的具体细则,IT采购人员都希望他们的数据能够抵御攻击,或者能够从事故中恢复,这些采购人员必须确保其供应商在合同上满足这些预期要求,”Bona表示,“我们建议他们还应该在SLA中涵盖恢复时间和恢复点目标,以及数据完整性,如果这些没有实现的话,应该有处罚。”
此外,对于安全事故,服务或数据损失,云服务合同中往往缺乏相应的资金赔偿,这也代表着SaaS合同中存在一定风险。该报告称,用户应该确保某种服务形式(例如对来自第三方的未经授权访问的保护)年度认证符合安全标准,以及定期漏洞测试,以书面的形式体现。另外,SaaS用户还应该协商24到36个月的费用赔偿责任限额,而不是12个月,以及额外的责任保险—在可能的情况下。
“对于云计算的风险的担忧,正在激励着安全、连续性、恢复、隐私和合规管理人员参与到由IT采购人员负责的采购过程中,”Bona表示,“他们应该定期检查其云计算合同保护,以确保IT采购人员的采购活动包含足够的风险缓解保护。”
