Gartner 分析师Jay Heiser和Alexa Bona在报告中称：“在SaaS合同的内容中极少会出现关于安全的描述。通常，合同的安全部分都是一些陈词滥调，笼统地提一句‘提供商将采取合理的措施设置和维护安全防护措施。’虽然这些安全防护措施常常被描述为‘符合行业标准’，但是它们却几乎从来都没有被明确定义过。”

Gartner 称，SaaS厂商还常常给予自己随意修改安全条款的权力，而不是坚持履行这些安全条款。Gartner对100多家SaaS厂商的“主服务协议、服务合同和服务水平协议”进行了评估。评估发现，提供商对于“服务的形式，尤其是服务水平”的表述及为含糊。报告指出“对于履行这些表述含糊的承诺，他们几乎没有或是不承担经济责任。即便已经确认这些义务无法完成，买方也没有追索权。”

尽管目前关于SaaS厂商透明度的标准已经出现，但是这些标准并不成熟。例如，对于服务水平协议中应包含哪些东西，目前还没有形成一个统一的意见。通常，SLA（服务水平协议）合同条仅涉及应用的正常运行时间和求助电话的响应速度，而这些硬性指标对于服务提供商来说很容易实现。对于其他一些措施，如“恢复时间目标”在整个行业中并不普遍。

对此，签订SaaS协议的客户应当尽量想办法将大量预防性描述写入合同中，包括进行厂商安全措施定期审计、弱点测试、“持续进行管理人员背景调查”，以及安全事故或服务损失分类。此外，Gartner还指出，客户应当要求SaaS提供商在合同中写入责任保险条款，并将客户作为受益人。

报告称，几乎所有的合同都有不可抗力条款，以将一些灾难性事故排除在外。“如果故障同时波及1000名客户，每名客户都有权获得200万美元的赔偿，那么总金额加起来将达到20亿美元。客户应当询问服务提供商，如果发生的故障影响到了他所的全部租户，那么他们应赔偿多少；并要求提供商出示充分承保的凭证。”

随着SaaS逐渐成为主流，软件行业正在持续展开相关讨论。Gartner的建议正是对这场讨论的思考。据Gartner 在去年公布的数据显示，2012年SaaS的开销已经超过了145亿美元；预计到2015年，SaaS的开销将达到220亿美元。这一数字的增长不仅仅是受到了Salesforce.com等专业SaaS厂商增长的推动。SAP和甲骨文等传统本地软件厂商向SaaS传输模式的转变也为这一数字的增长做出了贡献。如今SaaS采购的性质正在发生变化。目前，营销或人力资源等部门也开始逐渐加入到了SaaS的采购之中，而这些部门级的采购并不是统一规划的IT策略中的一部分。Gartner认为这一趋势将导致合同风险越来越大。