Risico’s van SaaS

De SaaS-klant moet intensief onderzoek verrichten naar de aanbieding en onderliggende voorwaarden om de risico's binnen de perken te houden.

De afgelopen tijd heb ik diverse gesprekken met klanten gehad over de veiligheid bij het gebruik van software-as-a-service (SaaS). Uit deze gesprekken wil ik graag wat ervaringen delen, gezien vanuit het perspectief van de SaaS leverancier.

Ik heb het in dit geval over SaaS-leveranciers die een toepassing bieden waar de klant gevoelige informatie invoert (verkoop gegevens, klantgegevens, personeelsgegevens, enz.).

SaaS-leveranciers verdienen geld doordat meerder klanten gebruik maken van dezelfde applicaties. Ze maken winst door de dienst zo goedkoop mogelijk aan te bieden.

Voor de meeste SaaS-leveranciers betekent dit, dat ze met een enkele infrastructuur (netwerk, servers, databases, enz.) al hun klanten bedienen.

Dit betekent dat de leverancier een infrastructuur bouwt, die voorziet in de behoeften van de meerderheid van hun (potentiële) klanten waarbij het kan gebeuren, dat er geen scheiding van klanteninformatie op de systemen is.

Het betekent ook dat ze hun best zullen doen om een one-size-fits-all product te maken. Het is voor een nieuwe klant te hopen, dat een grote voorganger de nodige eisen op het gebied van beveiliging gesteld heeft.

Voorwaarden liggen vast

Een nieuwkomer op de markt is nog te beïnvloeden door zijn klanten en kan daardoor vaak snel bijleren, maar de praktijk leert, dat het bijzonder moeilijk is om bestaande contracten en voorwaarden te wijzigen. Vaak is het dan nog zo, dat de fundamenten van het aanbod niet gewijzigd kunnen worden.

Een ander aspect waar een leverancier mee te maken heeft is risico. De SaaS-leverancier wil zijn risico's beheersen, net zoals u. Hij bouwt de controles in de infrastructuur die hem noodzakelijk voorkomen.

Echter, als het gaat om garanties of service level agreements, is het merendeel van de aanbieders erg conservatief.

Als de leverancier een garantie biedt, weegt hij zijn kosten af tegen de mogelijkheid van het niet aan het gegarandeerde niveau van dienstverlening te voldoen en het risico dat hij een boete moet betalen.

Sommige dingen kunnen vrij eenvoudig worden gecontroleerd. Beschikbaarheid is daar een goed voorbeeld van. De leverancier kan een bepaalde mate van beschikbaarheid van de applicatie garanderen.

Hij neemt de extra kosten van redundante infrastructuur (waaronder back-up en recovery sites) mee in de kostprijs. Indien de aanbieder niet aan de vereiste beschikbaarheid kan voldoen, belooft hij aan klanten restitutie voor de tijd dat de applicatie niet beschikbaar is.

In dit geval kent de verkoper de kosten van de uitvoering van de nodige redundantie en de kosten van het niet naleven van de overeenkomst.

Vertrouwelijkheid ligt moeilijker

In het algemeen zult u niet dezelfde afspraken en boetebedingen vinden rond de vertrouwelijkheid van klantgegevens. Er treden drie problemen op:

1. De aanbieder weet wellicht wat de kosten van de uitvoering van diverse beveiligingsmaatregelen zijn, maar heeft met hetzelfde dilemma te maken dat iedereen in de informatiebeveiliging kent - het is zeer moeilijk om de waarschijnlijkheid van een schending, afhankelijk van de controles binnen een omgeving, te bepalen.

2. Een schending van de geheimhoudingsplicht kan zich voordoen op veel verschillende plaatsen. Het kan zijn dat de leverancier gehacked is, maar het kan ook zijn dat een geautoriseerde gebruiker een fout gemaakt heeft waardoor de informatie op straat kwam te liggen.

De aanbieder kan in een situatie belanden waarin hij moet bewijzen dat het niet zijn schuld was, wat in sommige gevallen bijna onmogelijk kan zijn.

3. De boete voor een schending van vertrouwelijkheid ligt moeilijk. Moet een leverancier betalen voor reputatieschade van de klant of schade aan de klanten van de klant? De kosten lopen dan al snel op, hoe bepaal je in zo'n geval je risico?

Uiteindelijk zullen leveranciers de controles bieden die zij noodzakelijk achten om hun klanten te behouden. Zij zullen het bewijs leveren aan hun klanten van de controles mits hun kosten niet te hoog oplopen.

Het risico voor de klant blijft dus voorlopig bij de klant en de klant moet goed onderzoek verrichten naar de aanbieding en onderliggende voorwaarden om de risico's binnen de perken te houden.