市場研究公司Gartner近期在報告中指出，大部分從事IT采購的人員都對SaaS(軟件即服務)廠商在合同中對安全的描述“極為不滿”，并且這種情況可能會持續至2015年。

Gartner 分析師Jay Heiser和Alexa Bona在報告中稱：“在SaaS合同的內容中極少會出現關于安全的描述。通常，合同的安全部分都是一些陳詞濫調，籠統地提一句‘提供商將采取合理的措施設置和維護安全防護措施。’雖然這些安全防護措施常常被描述為‘符合行業標準’，但是它們卻幾乎從來都沒有被明確定義過。”

Gartner 稱，SaaS廠商還常常給予自己隨意修改安全條款的權力，而不是堅持履行這些安全條款。Gartner對100多家SaaS廠商的“主服務協議、服務合同和服務水平協議”進行了評估。評估發現，提供商對于“服務的形式，尤其是服務水平”的表述及為含糊。報告指出“對于履行這些表述含糊的承諾，他們幾乎沒有或是不承擔經濟責任。即便已經確認這些義務無法完成，買方也沒有追索權。”

盡管目前關于SaaS廠商透明度的標準已經出現，但是這些標準并不成熟。例如，對于服務水平協議中應包含哪些東西，目前還沒有形成一個統一的意見。通常，SLA(服務水平協議)合同條僅涉及應用的正常運行時間和求助電話的響應速度，而這些硬性指標對于服務提供商來說很容易實現。對于其他一些措施，如“恢復時間目標”在整個行業中并不普遍。

對此，簽訂SaaS協議的客戶應當盡量想辦法將大量預防性描述寫入合同中，包括進行廠商安全措施定期審計、弱點測試、“持續進行管理人員背景調查”，以及安全事故或服務損失分類。此外，Gartner還指出，客戶應當要求SaaS提供商在合同中寫入責任保險條款，并將客戶作為受益人。

報告稱，幾乎所有的合同都有不可抗力條款，以將一些災難性事故排除在外。“如果故障同時波及1000名客戶，每名客戶都有權獲得200萬美元的賠償，那么總金額加起來將達到20億美元。客戶應當詢問服務提供商，如果發生的故障影響到了他所的全部租戶，那么他們應賠償多少;并要求提供商出示充分承保的憑證。”

隨著SaaS逐漸成為主流，軟件行業正在持續展開相關討論。Gartner的建議正是對這場討論的思考。據Gartner 在去年公布的數據顯示，2012年SaaS的開銷已經超過了145億美元;預計到2015年，SaaS的開銷將達到220億美元。這一數字的增長不僅僅是受到了Salesforce.com等專業SaaS廠商增長的推動。SAP和甲骨文等傳統本地軟件廠商向SaaS傳輸模式的轉變也為這一數字的增長做出了貢獻。如今SaaS采購的性質正在發生變化。目前，營銷或人力資源等部門也開始逐漸加入到了SaaS的采購之中，而這些部門級的采購并不是統一規劃的IT策略中的一部分。Gartner認為這一趨勢將導致合同風險越來越大。