在SaaS環(huán)境中，廠商擁有大多數(shù)的控制權(quán)和訪問權(quán)，本質(zhì)上，廠商控制整個堆棧，從hypervisor到應(yīng)用和安全監(jiān)控。很少廠商能提供應(yīng)用核心功能之外的訪問，想要令人信服的證明廠商自稱的安全設(shè)計、實施和配置是一種挑戰(zhàn)。同時IaaS服務(wù)客戶采用非常技術(shù)的方法確保其云實例的安全，SaaS應(yīng)用客戶則采取合同和流程性質(zhì)的方法，著重強調(diào)評估。

　　客戶的最初任務(wù)是評估SaaS產(chǎn)品的安全設(shè)計、實施和配置。問題涉及廣泛，從回顧和評估安全策略到確保SaaS產(chǎn)品之后的代碼是否編寫安全。在評估一項產(chǎn)品中，目的是理解流程、策略和技術(shù)的成熟度，旨在確保SaaS實例（以及和應(yīng)用數(shù)據(jù)相關(guān)的）的安全。會話文檔細(xì)節(jié)，尤其是策略和控制非公開。這個文檔隨后會用到。

　　一旦SaaS實例是功能，同廠商工作來執(zhí)行最初的法規(guī)遵從評估。目的不是“捕捉”廠商的任何東西，也不是敵對的。目的就是確保策略能被村手、控制實現(xiàn)和功能以及期望可實現(xiàn)的產(chǎn)出。

　　評估完成且完成補充，還需要做很多事。廠商環(huán)境升級會導(dǎo)致控制關(guān)閉或者被忽視。你的SaaS廠商可能也在升級之后失敗或者對于威脅概況趨勢響應(yīng)失敗。訂立一些內(nèi)容仍舊重要：要求廠商在改變的環(huán)境中為你升級，確保評估在規(guī)則基礎(chǔ)中執(zhí)行。

　　記住，安全水平應(yīng)該與數(shù)據(jù)敏感性或SaaS應(yīng)用功能重要性相對應(yīng)。如果SaaS應(yīng)用簡單的為你的公司菜單服務(wù)，就別設(shè)置的過高。但是如果你計劃存入企業(yè)戰(zhàn)略運營計劃，就要花時間評估唱上了，確保他們能夠保護(hù)你的數(shù)據(jù)且也能服務(wù)你本身。