审核SaaS云服务合同应考虑的几个问题
来源:yaoshuming 作者:yaoshuming 发布时间:2017-05-03
摘要:生活随感 随着互联网技术的发展,互联网的服务模式也在不断地发生更新换代,从IaaS、PaaS到SaaS,更新速度如此之快,使人眼花缭乱。其中SaaS模式(Software-as-a-Service)是云计算技术发展后出现的一种新的软件服务模式, 在这种模式下,客户不再象传统模式
|
生活随感 随着互联网技术的发展,互联网的服务模式也在不断地发生更新换代,从IaaS、PaaS到SaaS,更新速度如此之快,使人眼花缭乱。其中SaaS模式(Software-as-a-Service)是云计算技术发展后出现的一种新的软件服务模式, 在这种模式下,客户不再象传统模式那样花费大量投资用于硬件、软件、人员,而只需要支出一定的租赁服务费用,通过互联网便可以享受到相应的硬件、软件和维护服务,用户可以根据需求按需订购软件应用服务,因而SaaS软件服务成为了各种企业非常青睐服务系统。 但在SaaS模式下,用户将数据统一存放于云端中,也面临着巨大的风险。用户的数据的因丢失和泄露、数据删除的不彻底、他人越权访问数据等,都是用户面临的潜在风险。而针对这种风险,云服务商通常在软件服务协议中设置某些条款规避责任或者转移风险,因而用户在采用SaaS解决方案时,不仅需要借助于技术手段来解决云计算的风险,更需要通过相应的法律规制以及合同条款的约定加以平衡。律师在审核SaaS服务协议时,必须对数据的安全性问题给予高度的重视,通过合同条款来约束服务商,规避法律风险。笔者基于几年来的工作经验,认为律师在协助客户采用软件即服务SaaS解决方案时,以下几个方面必须引起我们的高度重视:1、需要对SaaS解决方案进行安全评估。SaaS解决方案不论是线下引进,还是通过在线签署,用户需对方案的安全性进行整体评估。SaaS解决方案合同往往都包含一些措辞含糊不清的条款,这些条款涉及数据保密性、完整性和数据丢失后的恢复服务等,条款内容的设计存在诸多漏洞与规避责任之嫌疑。由于没有集中统一的Web授权策略,企业的领导者常常稀里糊涂就同意了自己根本不熟悉的软件条款,这就会为自己带来法律上的隐患。因而企业在选择SaaS解决方案时,最好要经过本方或者委托第三方公司进行安全审计和步骤认证。2、高度重视SLA条款的设计。服务水平协议(SLA)是SaaS合同中的关键组成部分。一些厂商会在合同中附带SLA条款,而其他一些厂商则会针对SLA收取额外的费用,或者根本不提供SLA。如果这是一项关键业务应用,你希望的你的数据能够得到有效的保护,并且在遭遇突发事件的情况下能够及时恢复原有的数据,你就应当要求自己的SaaS供应商在合同中明确写出SLA协议的内容,并要求服务供应商能够将这些需求书面合同化。此外,我们建议云服务购买者将数据恢复时间和恢复目标以及SLA中的数据完整性措施也纳入合同条款。同时还应在合同中写明相应的处罚规定,即若服务提供商无法完成其应尽义务,则应当按照合同规定接受一定的惩罚或是偿付补偿。3、尽量要求SaaS供应商作出安全承诺。由于SaaS解决方案对合同中安全服务条款的具体描述内容并未达成一致的共识,因此大多数SaaS供应商均在合同中做尽可能少的承诺。但对云服务购买方而言,要求服务供应商对某些服务形式以书面的形式作出承诺至关重要,其中包括对第三方未经授权的访问设立保护、每年提供安全标准认证、以及定期的漏洞排查测试等等。4、要明确SaaS解决方案的性能水平。客户应当在与SaaS供应商签订协议时,以书面形式明确定义软件的正常运行时间和可用性水平。在签订协议前,客户应当要求厂商提供过去的性能水平记录供自己参考。客户还应当要求厂商明确说明,如果发生服务中断,合同中应当有哪些规定,并要求厂商在合同中写明修复问题所需的时间。5、注意产品的基础价格与额外费用。供应商提供的SaaS解决方案,其收取的费用一般由几部分构成,除了软件使用的基础费用外,往往还会有许多额外费用产生,有时一些厂商会针对软件的配置、数据库的实施或工作流程收取一定的费用。在某些情况下,厂商会向每位用户每月多收取一些软件部署和测试费用。厂商还希望预先确定每位用户可以使用的存储容量,如果用户的使用量超出该容量限制,厂商便会收取超额费用。6、明确数据权归属。在SaaS解决方案下,客户的数据均由厂商进行收集、使用以及披露,因而在签订SaaS协议之前,客户应当确定客户私有数据的位置和客户对这些数据的访问权,应当要求厂商以书面形式保证为数据提供隐私保护和灾难恢复。此外,客户还应当确定自己是否有权将这些数据备份到自己的系统上。7、注意赔偿性约定。SaaS是一个一对多的服务模式,在这种模式下,单一的服务提供商引起的故障可能同时对成千上万的用户造成影响,对服务提供商而言这是组合风险的一种重要表现形式。因此,大都数云服务提供商对合同规定的任何形式的补偿均采取规避态度,不愿提供实物服务或合同规定的未达相应服务水平应接受的惩罚或赔付,SaaS合同中缺乏针对安全、服务或数据存在不到位和丢失等情况应当予以的财务赔偿作出明确规定,因此,作为SaaS服务的购买方,其应当尽力争取24至36个月的费用赔偿责任额度以及额外责任保险。云计算给我们带来诸多方便的同时,存在的风险也是非常大的,正是这种风险日益推动着各类负责数据安全、隐私和法规的管理人员参与到由IT采购人员主导的服务购买流程中。作为律师,我们也必须参与其中。
|
