如何議定SaaS合約

避免成為程式下的犧牲者
倘若你尚未體驗過「軟體即服務」(SaaS)，那麼肯定在不久的將來你就會有這樣的機會。根據最近IDC的預測，在2009年之前，花在「軟體即服務」(SaaS)的費用將達到約110億美金。CIO瞭解這種軟體的傳遞模式，這種模式考慮到從中心位置而非公司的網站管理應用。它也使得顧客可以透過Web從遠端存取應用，在IT基礎架構中這樣的模式會越來越普遍。

不過，CIO應當對SaaS合約協商要有具體的認知。本文將強調，處理SaaS合約的兩個觀點，並提供建議方法，讓您可以避免成為拙劣廠商制式設計下的犧牲者。



SaaS的價值在合約中縮水
當我們與市場上市佔率極高的SaaS廠商合作。廠商的網站上寫到，他們的應用服務提供「百分百的可用性」且「可達到365天全天候的監控」。然而，公司制式的服務協議並未考慮到百分百的可用性及服務。

在修訂廠商制式合約時，我們增加了一些提供防護的條款（原本廠商是拒絕的）。在SaaS交易中，應用軟體的可用性和效能監控是很重要的，因此SaaS合約應該包括服務水準保證。服務水準的條文應該詳加說明清楚可接受的最低效能水準（包括反應時間、正常運行時間，以及顧客滿意度等）。 此外，貴公司應該考慮增加終止權，對於效能下降的任何一家廠商給予終止合約。若沒有這樣的最低效能保證，那麼對貴公司而言，SaaS的價值將會大大地被削弱。最後，我們合作的廠商終於點頭同意某些服務標準以及與可用性有關的效能。 但是在合約中的表達文字就是不願意與廠商在網站上的相符合。廠商的網站也表示「資料安全」是公司「最優先考慮的事」，以及它的「資料中心是使用最先進的防火牆技術」，並且在操作的「各方面都是以資料安全為優先考量」。但廠商制式的合約並未提及廠商的資料安全防護的步驟，也沒包含任何關於我們委託人的資料安全防護的義務。而且，實際上廠商的形式是拒絕承認任何有關於資料遺失的責任。雖然這是廠商一般會採取的立場，但通常在SaaS交易中是不被接受的，因為牽扯在內的資料往往都是很關鍵的。



SaaS合約的基本規則
在我們處理過程中，我們納入了幾條關於資料安全的條款，例如：(1)要求廠商要符合我們委託人的資料安全實務規範；(2)關於資料安全、遺失、修改的擔保；(3) 委託人有權執行稽核以及週期性的安全性評估；(4)災難復原及企業永續經營計畫中廠商相關的義務，加上妥善擬定不可抗力條款；(5)明確地聲明關於資料的所有權及歸屬；(6)廠商有義務要執行頻繁的備份；(7)廠商必須提列資料復原演練證據。

在我們的案例中，廠商並未接受我們全部的條款，但是同意其中大部分項目。結論是這樣的合約遠比由廠商設計的原始形式更能保護我們的委託人。有一件事是可以肯定的：當SaaS遍及整個企業時，IT行政部門就必須要意識到可能出現的合約陷阱。