歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
如何議定SaaS合約
2007 / 12 / 19
編輯部
避免成為程式下的犧牲者
倘若你尚未體驗過「軟體即服務」(SaaS),那麼肯定在不久的將來你就會有這樣的機會。根據最近IDC的預測,在2009年之前,花在「軟體即服務」(SaaS)的費用將達到約110億美金。CIO瞭解這種軟體的傳遞模式,這種模式考慮到從中心位置而非公司的網站管理應用。它也使得顧客可以透過Web從遠端存取應用,在IT基礎架構中這樣的模式會越來越普遍。
不過,CIO應當對SaaS合約協商要有具體的認知。本文將強調,處理SaaS合約的兩個觀點,並提供建議方法,讓您可以避免成為拙劣廠商制式設計下的犧牲者。
SaaS的價值在合約中縮水
當我們與市場上市佔率極高的SaaS廠商合作。廠商的網站上寫到,他們的應用服務提供「百分百的可用性」且「可達到365天全天候的監控」。然而,公司制式的服務協議並未考慮到百分百的可用性及服務。
在修訂廠商制式合約時,我們增加了一些提供防護的條款(原本廠商是拒絕的)。在SaaS交易中,應用軟體的可用性和效能監控是很重要的,因此SaaS合約應該包括服務水準保證。服務水準的條文應該詳加說明清楚可接受的最低效能水準(包括反應時間、正常運行時間,以及顧客滿意度等)。 此外,貴公司應該考慮增加終止權,對於效能下降的任何一家廠商給予終止合約。若沒有這樣的最低效能保證,那麼對貴公司而言,SaaS的價值將會大大地被削弱。最後,我們合作的廠商終於點頭同意某些服務標準以及與可用性有關的效能。 但是在合約中的表達文字就是不願意與廠商在網站上的相符合。廠商的網站也表示「資料安全」是公司「最優先考慮的事」,以及它的「資料中心是使用最先進的防火牆技術」,並且在操作的「各方面都是以資料安全為優先考量」。但廠商制式的合約並未提及廠商的資料安全防護的步驟,也沒包含任何關於我們委託人的資料安全防護的義務。而且,實際上廠商的形式是拒絕承認任何有關於資料遺失的責任。雖然這是廠商一般會採取的立場,但通常在SaaS交易中是不被接受的,因為牽扯在內的資料往往都是很關鍵的。
SaaS合約的基本規則
在我們處理過程中,我們納入了幾條關於資料安全的條款,例如:(1)要求廠商要符合我們委託人的資料安全實務規範;(2)關於資料安全、遺失、修改的擔保;(3) 委託人有權執行稽核以及週期性的安全性評估;(4)災難復原及企業永續經營計畫中廠商相關的義務,加上妥善擬定不可抗力條款;(5)明確地聲明關於資料的所有權及歸屬;(6)廠商有義務要執行頻繁的備份;(7)廠商必須提列資料復原演練證據。
在我們的案例中,廠商並未接受我們全部的條款,但是同意其中大部分項目。結論是這樣的合約遠比由廠商設計的原始形式更能保護我們的委託人。有一件事是可以肯定的:當SaaS遍及整個企業時,IT行政部門就必須要意識到可能出現的合約陷阱。
SaaS
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
最新 Sunburst 目標式攻擊分析
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
「主動防禦」 勢難擋,7個整合性資安解決方案大助益
資安需求驅動三星Samsung Knox 營收年增7成
凌華科技MECS-6110邊緣伺服器透過虛擬網路功建置多樣網路通訊和網路安全方案