Gartner：警惕云计算合同的安全陷阱

Gartner近日在一篇新闻稿中指出：商业云服务，尤其是SaaS服务的用户普遍对合同中的安全条款不满意。通常SaaS云计算服务合同在数据保密、数据完整性和数据恢复方面的条款都含混不清，这不但引起云计算用户的不满，同时也不利于提高云计算服务提供商自身的风险管理能力，更轻松地通过风险方面的审计和监管。

根据Gartner的数据，2015年仍会有80%的IT采购专业人士对云计算合同中安全相关的表述和承诺感到不满。“云计算用户对云计算服务商所提供服务的透明度的不满，这种情况还将持续”。Gartner副总裁Alexa Nona说道。

为了避免掉入SaaS云计算合同的安全陷阱，Gartner建议云计算用户在签订云计算合同之前应当强调以下几点：

每年由第三方提供安全审计和认证，如果出现数据泄漏事故，用户有权终止云计算服务合同。云计算服务商有义务选择合适的安全评估工具。例如云安全联盟CSA的云计算控制矩阵。

云计算用户不要想当然地以为SaaS服务合同已经包含了必须的安全和数据恢复服务条款。建议企业将数据恢复时间、恢复点内容以及数据完整性评估方法都列入服务水平协议中，并明确列出惩罚措施。

安全条款应当尽可能明细。将防止未授权访问、安全标准年度认证以及定期的漏洞测试等都以明文的方式列入合同。

加大赔偿力度。由于云计算服务商以一对多的方式提供服务，云计算服务的安全事故往往会影响到数以千计的用户，因此云计算服务商会尽量避免在云计算服务合同中承担任何赔偿责任，顶多是延长服务期限抵偿。这种情况下，企业应当将抵偿的服务期限延长到24-36个月，而不是常见的12个月。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友