Gartner稱:SaaS合同歧義引發(fā)安全隱憂
該報告指出,云服務(wù)用戶至少應(yīng)該確保SaaS合同允許接受第三方的年底安全審查和認(rèn)證,并且,在安全泄露事故中,如果供應(yīng)商未能提供任何措施,用戶應(yīng)該有權(quán)終止合同。
“在從潛在供應(yīng)商和現(xiàn)有服務(wù)供應(yīng)商獲得透明度的程度和形式方面,我們總是看到云服務(wù)用戶遇到挫折,”Gartner副總裁兼著名分析師Alexa Bona表示,“隨著越來越多的買家要求透明度,以及隨著標(biāo)準(zhǔn)越來越成熟,以各種方式執(zhí)行評估將會變得越來越普遍,包括查看問卷調(diào)查結(jié)果,查看第三方審計報告,執(zhí)行現(xiàn)場審核和/或監(jiān)控云服務(wù)供應(yīng)商。”
Gartner預(yù)測,到2015年,80%的IT采購人員將仍然會對合同中與安全相關(guān)的條款和保護(hù)感到不滿。旨在推動云計算的非營利組織云安全聯(lián)盟(CSA)有一個電子表格形式的云控制矩陣,其中包含CSA參與者認(rèn)為重要的云計算控制目標(biāo),這種舉措將幫助改善云服務(wù)服務(wù)合同。
“無論供應(yīng)商使用什么術(shù)語來描述服務(wù)水平協(xié)議的具體細(xì)則,IT采購人員都希望他們的數(shù)據(jù)能夠抵御攻擊,或者能夠從事故中恢復(fù),這些采購人員必須確保其供應(yīng)商在合同上滿足這些預(yù)期要求,”Bona表示,“我們建議他們還應(yīng)該在SLA中涵蓋恢復(fù)時間和恢復(fù)點目標(biāo),以及數(shù)據(jù)完整性,如果這些沒有實現(xiàn)的話,應(yīng)該有處罰。”
此外,對于安全事故,服務(wù)或數(shù)據(jù)損失,云服務(wù)合同中往往缺乏相應(yīng)的資金賠償,這也代表著SaaS合同中存在一定風(fēng)險。該報告稱,用戶應(yīng)該確保某種服務(wù)形式(例如對來自第三方的未經(jīng)授權(quán)訪問的保護(hù))年度認(rèn)證符合安全標(biāo)準(zhǔn),以及定期漏洞測試,以書面的形式體現(xiàn)。另外,SaaS用戶還應(yīng)該協(xié)商24到36個月的費用賠償責(zé)任限額,而不是12個月,以及額外的責(zé)任保險—在可能的情況下。
“對于云計算的風(fēng)險的擔(dān)憂,正在激勵著安全、連續(xù)性、恢復(fù)、隱私和合規(guī)管理人員參與到由IT采購人員負(fù)責(zé)的采購過程中,”Bona表示,“他們應(yīng)該定期檢查其云計算合同保護(hù),以確保IT采購人員的采購活動包含足夠的風(fēng)險緩解保護(hù)。”

責(zé)任編輯:和碩涵
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司