Gartner认为在SaaS合同中经常会出现一些模棱两可的条款，尤其是涉及数据机密性，数据完整性和数据丢失后的恢复问题。这些都导致了云服务使用者的不满，同时加大了服务提供商进行风险管理的难度。云服务尤其是SaaS服务的购买者，都已经开始研究合同中安全方面的条款的缺失。

　　Gartner称，到2015年，80%的IT采购人员会对SaaS合同中涉及安全的条款和保护措施不满。Gartner副总裁兼著名分析师Alexa Bona说：“目前看来，用户对云服务提供商(如阿里云)的形式和透明度都有些不满。”至少，云服务的用户要保证SaaS合同中有每年的第三方安全监察及证明的相关规定，并且若是供应商方面的原因造成的安全问题，用户可解除合同。此外，用户使用评估工具的要求也是合理的。例如，CSA(The Cloud Security Alliance，云安全联盟)的参与者以电子表格的形式制定了CCM(Cloud Controls Matrix，云控制矩阵)，规定了云服务的控制目标。Bona女士认为：“随着更多买家的需要，及标准的成熟，多种评估方式会越来越普遍，包括审查调查问卷的回复，审查第三方监察报告，对云服务提供商进行现场审计和检测等。”

　　此外，云服务用户不应该假设SaaS合同中已规定足够的安全和恢复的服务。Bona女士说：“不管SLA(服务水平协议)中是怎样遣词造句的，IT采购人员必须要确保供应商提供的服务可保证数据免遭攻击，及事故下服务是可恢复的。我们建议在SLA中加入恢复时间和恢复点目标及数据完整性标准的相关规定，及不能满足这些要求的相关赔偿问题。”因为各SaaS服务提供商并没有就合同上安全条款的写法达成共识，多数的SaaS服务提供商都将承诺降到了最低。某些形式的服务，例如保护服务免遭未经授权的第三方访问，每年的安全标准认证，及定期的漏洞检测，都是很重要的，需作出书面承诺。

　　安全、服务或者数据损失的财政补偿也缺乏相关的规定，也是SaaS合同中的潜在风险。SaaS是一个一对多的情况，单个服务提供商的失败会立即影响到成千上万的用户。因此，大多数云服务提供商(如阿里云)都会避免在合同中提到赔偿。SaaS用户应该协商获得24-36个月的赔偿责任期，而不是12个月，并且尽可能的获得额外的责任保险。鉴于云计算的风险问题，除了IT采购人员，更多的角色，包括安全、恢复、隐私方面的相关人员都应该参与到云服务的购买中。他们应该定期审查云计算的合同，确保IT采购人员制定可缓解风险的采购计划。