部署SaaS对TOC的影响分析

HealthPlex打算加入要求服务衡量指标更细化的条款，比如应用软件的响应时间――60秒过后才更新用户屏幕内容的服务从技术上来说仍是“正常的”，但用户的生产力及满意度会随之下降。该公司将评审提供商的业务连续性功能。对方有应急发电机来提供备用电吗？对方在多个地域分散的数据中心提供服务吗？

至于内部部署软件方面，HealthPlex必须评估厂商的许可证协议，尤其是与技术支持有关的条款。HealthPlex需要弄清楚许可证要求对方提供哪种级别的支持，还要与提供商和内部部署软件厂商的参考客户（reference account）进行交谈。

对SaaS和内部部署软件项目而言，SLA和许可证的评审往往需要同样长的时间。

若采用服务模式，HealthPlex还需要另一笔费用，因为尽职调查迫使它需要评审提供商的安全基础设施。正如读者调查表明的那样，SaaS方面的一个首要问题在于，提供商可能无法为数据提供足够高的安全性，以满足内部政策和外部法规。比如要是采用CRM应用软件，HealthPlex的客户信息和销售数据将放在提供商的托管中心。所以在签合同之前，HealthPlex要花时间详细了解提供商如何保护其数据中心及放在数据中心的应用服务器和数据库的安全。

无论你的SaaS提供商是运行自己的数据中心，还是向托管服务提供商租用，它都应当有牢固的物理和逻辑访问控制机制，包括有限制的机器访问，以及借助多因子验证进入作业区。

HealthPlex很可能会与提供商的另外一家或者多家客户（有可能是HealthPlex的竞争对手）共享一个数据库。因而，提供商必须能够证明它可以安全地分隔数据。另外，提供商的网络应落实足够有效的控制，包括防火墙和入侵检测系统。数据中心应当有物理安全机制，防止未授权者访问硬件、控制系统。

另一个问题是应用软件。SQL注入等攻击旨在诱骗Web应用软件透露数据，并不要求攻击者访问数据库。因而，HealthPlex会询问提供商的软件开发流程。开发人员是否在安全地编写代码方面受过良好培训？开发生命周期是否包括安全评估？应用软件在部署之前是否经过漏洞测试？如何进行这种测试？

最后，HealthPlex会询问提供商是否定期请第三方审查应用软件，包括Web应用漏洞扫描及人工渗透测试。

请注意，安全评审的全面性取决于诸多因素，比如客户及业务的规模：一家大型金融服务公司可能会派首席技术官飞赴数据中心，亲自进行审查、评审软件代码。而小公司可能只是下载提供商的安全白皮书就了事。

我们估计，HealthPlex会派有安全专长的内部IT员工花40个小时来评审提供商自己的编制文档和第三方审查报告，与参考客户交流，打电话给提供商的某位安全或者操作工程师了解情况。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友