Gartner称：SaaS合同歧义引发安全隐忧

本文讲的是Gartner称：SaaS合同歧义引发安全隐忧，根据IT研究公司Gartner最新报告显示，在数据保密性、数据完整性和数据丢失事件后的恢复等方面，软件即服务(SaaS)合同往往有些含糊不清的条款，这导致云服务用户的不满。商业云服务(特别是SaaS)买家发现这些安全条款模糊不清，这些条款也使得服务提供商难以管理风险和应对审计师和监管员。

该报告指出，云服务用户至少应该确保SaaS合同允许接受第三方的年底安全审查和认证，并且，在安全泄露事故中，如果供应商未能提供任何措施，用户应该有权终止合同。

“在从潜在供应商和现有服务供应商获得透明度的程度和形式方面，我们总是看到云服务用户遇到挫折，”Gartner副总裁兼著名分析师Alexa Bona表示，“随着越来越多的买家要求透明度，以及随着标准越来越成熟，以各种方式执行评估将会变得越来越普遍，包括查看问卷调查结果，查看第三方审计报告，执行现场审核和/或监控云服务供应商。”

Gartner预测，到2015年，80%的IT采购人员将仍然会对合同中与安全相关的条款和保护感到不满。旨在推动云计算的非营利组织云安全联盟(CSA)有一个电子表格形式的云控制矩阵，其中包含CSA参与者认为重要的云计算控制目标，这种举措将帮助改善云服务服务合同。

“无论供应商使用什么术语来描述服务水平协议的具体细则，IT采购人员都希望他们的数据能够抵御攻击，或者能够从事故中恢复，这些采购人员必须确保其供应商在合同上满足这些预期要求，”Bona表示，“我们建议他们还应该在SLA中涵盖恢复时间和恢复点目标，以及数据完整性，如果这些没有实现的话，应该有处罚。”

此外，对于安全事故，服务或数据损失，云服务合同中往往缺乏相应的资金赔偿，这也代表着SaaS合同中存在一定风险。该报告称，用户应该确保某种服务形式(例如对来自第三方的未经授权访问的保护)年度认证符合安全标准，以及定期漏洞测试，以书面的形式体现。另外，SaaS用户还应该协商24到36个月的费用赔偿责任限额，而不是12个月，以及额外的责任保险—在可能的情况下。

“对于云计算的风险的担忧，正在激励着安全、连续性、恢复、隐私和合规管理人员参与到由IT采购人员负责的采购过程中，”Bona表示，“他们应该定期检查其云计算合同保护，以确保IT采购人员的采购活动包含足够的风险缓解保护。”

作者：邹铮/译 来源：it168网站 原文标题：Gartner称：SaaS合同歧义引发安全隐忧
[转]严防变相抬升小微企业综合融资成本，北京银保监局明确违规表现形式 20日，记者从北京银保监局获悉，昨日该局印发《北京银保监局关于规范小微企业贷款服务收费的通知》（下称《通知》），针对当前部分银行在发放小微企业贷款时附加不合理条件、变相抬升小微企业综合融资成本等现象提出监管要求。
《2019年上半年云上企业安全指南》详解安全建设最易忽视的问题！ 基于对2019年上半年云上企业安全建设现状及面临的安全风险的分析，我们给出响应的安全自检项目和安全建议，希望助力企业建设更高水位的安全体系。
IT人士对于SaaS治理需要了解的五件事 本文讲的是IT人士对于SaaS治理需要了解的五件事，SaaS对于所有类型和规模的IT部门都已经成为现实。首席信息官和其他IT领导者需要一些工具像管理内部安装的软件一样严格地管理SaaS应用的庞大的产品组合。下面是每一个IT专业人员都应该知道的关于SaaS的五件事情。