在SaaS環(huán)境中，廠商擁有大多數的控制權和訪問權，本質上，廠商控制整個堆棧，從hypervisor到應用和安全監(jiān)控。很少廠商能提供應用核心功能之外的訪問，想要令人信服的證明廠商自稱的安全設計、實施和配置是一種挑戰(zhàn)。同時IaaS服務客戶采用非常技術的方法確保其云實例的安全，SaaS應用客戶則采取合同和流程性質的方法，著重強調評估。

　　客戶的最初任務是評估SaaS產品的安全設計、實施和配置。問題涉及廣泛，從回顧和評估安全策略到確保SaaS產品之后的代碼是否編寫安全。在評估一項產品中，目的是理解流程、策略和技術的成熟度，旨在確保SaaS實例（以及和應用數據相關的）的安全。會話文檔細節(jié)，尤其是策略和控制非公開。這個文檔隨后會用到。

　　一旦SaaS實例是功能，同廠商工作來執(zhí)行最初的法規(guī)遵從評估。目的不是“捕捉”廠商的任何東西，也不是敵對的。目的就是確保策略能被村手、控制實現和功能以及期望可實現的產出。

　　評估完成且完成補充，還需要做很多事。廠商環(huán)境升級會導致控制關閉或者被忽視。你的SaaS廠商可能也在升級之后失敗或者對于威脅概況趨勢響應失敗。訂立一些內容仍舊重要：要求廠商在改變的環(huán)境中為你升級，確保評估在規(guī)則基礎中執(zhí)行。

　　記住，安全水平應該與數據敏感性或SaaS應用功能重要性相對應。如果SaaS應用簡單的為你的公司菜單服務，就別設置的過高。但是如果你計劃存入企業(yè)戰(zhàn)略運營計劃，就要花時間評估唱上了，確保他們能夠保護你的數據且也能服務你本身。