隨著加入SaaS ERP陣營的服務商越來越多，中小企業的選擇范圍也越來越大。然而，不管采用那種方法來選擇服務商，都不要忽略安全調查的重要性。IDG報告表示有2/3以上參與調查的受訪者表示會把安全問題作為SaaS ERP選型時重要的考慮因素，因為在安全問題上，SaaS ERP的風險一般來說會大于用戶在內部自行架設軟件，而且對于企業內部IT人員而言，外部式的SaaS ERP安全風險也頗難掌控。

　　1 網絡傳輸安全和穩定性問題

　　目前SaaS ERP產品大都處于初級階段，產品的成熟度、穩定性尚不足。許多SaaS ERP產品看起來很美，但有時中看不中用，并無想象中好。用戶在使用SaaS ERP軟件的過程中，是通過互聯網而非企業局域網來傳輸數據，這樣商業數據就會在互聯網上的客戶端瀏覽器和服務器端之間傳輸。因此，數據傳輸安全、客戶端安全和服務器端安全是三個大問題。如何保證在網絡傳輸過程中數據的安全問題，成為用戶關注的焦點。

　　同時，網絡的穩定性也是另一個受到用戶關注的問題，比如企業運營不能因為網絡的中斷或SaaS 主機被宕掉而停擺，網絡平臺必須保證網絡7*24小時安全可用。但網絡不穩定性的變數很多，而且掌握在SaaS ERP服務商和網絡連接提供商手中，不能由企業用戶所能完全控制，存在風險高安全低。因此，網絡傳輸安全和穩定性成了是SaaS ERP 選型第一個頭痛的問題。

　　2 災難恢復時間和服務水準問題

　　說到安全性問題必然會涉及災難恢復時間和服務水準問題。因為對于大多數企業來說，當一個托管型SaaS ERP應用出現了故障時，業務人員可能在幾分鐘或者幾小時內無法工作，簡單的損失還可以勉強接受。但是如果托管的SaaS ERP應用系統突然崩潰了，一些對企業來說至關重要的核心功能，比如制造或物流運輸就有可能出現停頓。更嚴重的話，可能會對財務業績造成極大的影響。因此，災難性安全恢復時間就是一個大的核心問題。

　　如果SaaS ERP服務商的銷售代表根本不知災難恢復時間和服務水準為何物的話，那么還是趕緊另尋別家吧。如果服務商聲稱其服務具有“五個九”(99.999%)的系統可用時間，那也不能輕信其一面之詞，必須看它的安全災難恢復白皮書。當然，企業最好還應當要求服務商對災難恢復時間和災難恢復水準出具書面承諾。

　　3 數據存儲保護和備份安全問題

　　SaaS ERP服務商的數據安全采用什么存儲保護模型、采取了什么備份復制策略，也是企業在選型時應最為關注的問題，簡單的說就是數據存儲是否安全。例如，SaaS ERP服務商存儲數據的安全保護方案是否有能力抵御互聯網黑客和病毒的攻擊，因為在新聞媒體上時不時會聽說到黑客可以進入數據服務器獲取數據，或受到病毒攻擊而受到數據損壞或丟失，這些聽起來好像都很可怕，當然也就更讓用戶擔心他們的商業數據安全問題了。

　　另外，SaaS服務商提供了什么樣的數據備份機制也是選型的核心問題之一。一旦出現重大問題時是如何恢復數據的?有沒有業務連續和災難恢復保障策略?有沒有實現災難異地恢復方案?其中，在解決和處理數據恢復和備份時，是否需要用戶中斷業務操作等。有些SaaS ERP服務商在做好應有的保護措施時，還能同時提供給用戶自行備份服務，這些服務能夠讓用戶對其數據進行訪問和操作，當然也就讓用戶更為放心。

　　4 防滲透保護和安全隔離問題

　　根據SaaS ERP模式的定義和方案，我們知道SaaS ERP和傳統自建的套裝ERP之間有一個重要的區別，就是標準的SaaS ERP系統是多重租賃的，也就是多個不同的企業共用一套軟件和數據庫平臺。雖然是經過隔離及保密技術，但其特點是多個企業同時使用。因此，有沒有嚴格的防滲透保護安全技術很重要，也是選型的關注點之一。例如，SaaS ERP應用程序和數據有沒有安全隔離和防滲透保護策略，還有所有涉及用戶機密數據部分是否采用密文保存，即便是系統管理人員也無法得到原文。

　　5 服務商的安全誠信問題

　　把企業營運資料全盤委托給服務商保管，還會遇到一些非技術性的困境，就是誰可以保證機密資料不會被泄露。換句話說就是：SaaS ERP服務商能否值得信任和服務商的誠信問題。SaaS ERP的特點是由服務商完成所有的系統維護，如果當服務商提供服務時，技術人員可以很方便接觸到用戶商業數據時，這時就存在著用戶對SaaS ERP服務商的信任問題。畢竟，我們在新聞媒體上經�？吹皆S多技術人員因為對公司的不滿而造成損毀數據、泄漏數據、出賣數據的事件。

　　SaaS ERP服務商信譽問題可從兩個方面考察：一是服務商的誠信程度;二是服務商有沒有部署規范化的安全管理制度。但不幸的是，許多調查結果顯示規范化安全管理制度是許多SaaS ERP服務商的安全軟肋。因此，如何保證在沒有客戶的許可下，SaaS ERP服務商不會查看或更改數據，用戶數據不會被非法泄露，是選型時一個不容忽視的問題。

　　6 是否有第三方監理或相關資質認證

　　目前許多SaaS ERP提供商尚缺乏第三方監督和相關權威的資質認證，這是SaaS ERP在安全保障問題上的重大欠缺之一。許多SaaS服務商的安全保證只是自家的說法，都說滿足相關的法律法規監管，是王婆賣瓜，自賣自夸性質。因此，在選型時考察和驗證第三方資質認證是最基本的動作之一。