Die Experton Group hat für Software-as-a-Service (SaaS) eine Checkliste zusammengestellt, die Anwendern Orientierung geben soll. „Für CIOs sollte SaaS eine geschäftliche Entscheidung sein“, so Analyst Luis Praxmarer. Ein SaaS-Anbieter müsse ein paar Grundanforderungen erfüllen, um in die Wahl zu kommen.
Die Experton-Liste umfasse viele, aber nicht alle wichtigen Merkmale eines potenziellen SaaS-Partners. „In den meisten Fällen sollte die Antwort vom Anbieter positiv beantwortet werden“, so Praxmarer. Dies hänge allerdings auch vom jeweiligen Anwenderunternehmen und dem angebotenen Service beziehungsweise Produkt ab. „Je nach Land und den gesetzlichen Vorgaben kommen unter Umständen weitere Fragen hinzu“, so der Analyst weiter.
Von Stabilität bis Gesamtbetriebskosten
Abzuklopfen sind laut Experton insgesamt 15 Themengebiete: Stabilität der Umgebung und Hochverfügbarkeit, physische Sicherheit, Systemsicherheit, Datentrennung, Datenmanagement, Business Continuity & Disaster Recovery, Identitätsmanagement, Service Desk Support, Ressourcen und Unterstützung, Benachrichtigungen und formale Prozesse bei Serviceunterbrechungen und Störungen, „Vorgaben, Regeln, Richtlinien, Abläufe“, Integration, Service Level Agreements (SLAs), Stabilität des SaaS-Anbieters sowie Gesamtbetriebskosten.
Zur Stabilität der Umgebung und Hochverfügbarkeit ist laut Experton danach zu fragen, ob der Anbieter mit gehostetem oder eigenem Rechenzentrum arbeitet. Wesentlich ist außerdem die Skalierbarkeit der Anlage, die Stromversorgung auch im Notfall sowie die Notfallbeleuchtung. Außerdem ist abzuklopfen, ob der SaaS-Anbieter mit einem oder mehreren Netzwerkbetreibern zusammenarbeitet.
Kreist die physische Sicherheit um Fragen nach Zugangskontrollen, Kameraüberwachung und Intrusion Detection im Rechenzentrum, ist bei der Systemsicherheit nach SAS 70 Type II-Zertifizierung sowie PCI- und HIPPA-Kompatibilität zu fragen.
Support sollte immer verfügbar sein
„Bietet der SaaS-Anbieter ausreichende Kontrollen der Datensicherheit/Datentrennung? Welche Art von Kontrollen?“, lauten von Praxmarer formulierte Fragen zur Datentrennung. Eine weitere: „Ist der Zugriff auf Kundendaten auf erfahrene, überprüfte SaaS-Administratoren beschränkt?“
Beim Datenmanagement ist unter anderem auf Verschlüsselung und Archivierung zu achten, bei Business Continuity und Disaster Recovery darauf, ob die Leistungen Teil des Grundpaketes sind und ob Daten und Services im Rahmen der jeweiligen Unternehmens-Parameter wiederhergestellt werden können. Beim Identitätsmanagement sollten Single Sign-on und Integration mit Active Directory im Mittelpunkt des Interesses stehen.
Der Service Desk Support sollte mehrere Kontaktmöglichkeiten beinhalten – also Telefon, E-Mail und mehr. Auf permanente Verfügbarkeit ist ebenso zu achten wie auf schnelle und den Anforderungen entsprechende Antwortzeiten. „Wird die Verarbeitungsumgebung aktiv überwacht?“, ist laut Experton ebenfalls eine Schlüsselfrage. An Ressourcen und Unterstützung gibt es im Idealfall einen dedizierten Betreuer für das Unternehmen sowie Berater für Integration und Anpassung.
Über Upgrades, Patches und Wartungsarbeiten sollten Kunden am besten vorab informiert werden, wobei auch ein Augenmerk auf den Kommunikationsweg gelegt werden sollte. Überdies sollte der Anbieter über einen Change Management Prozess verfügen.
Darüber hinaus sollte sich der Anbieter an einen Architektur-Framework halten und Projekte auf Basis einer Standard-Methodik managen. Dokumentation und Kommunikation der Vorgaben, Regeln, Richtlinien und Abläufe sind ebenso wichtig wie formelle Prozesse für das Change, Problem- und Incident Management.
Auf SLA-Gutschriften pochen!
Nutzerfreundliche Standard-APIs und direkter Zugriff auf die Daten für den Kunden sind wesentliche Punkte im Bereich der Integration. SLAs sollten auf Basis einer durchgängigen Performance angeboten werden – mit Gutschriften, falls die Vorgaben nicht erfüllt werden. Regelmäßige Treffen mit dem Dienstleister zum SLA-Prozess sind ebenso wünschenswert wie Eskalations- und Benachrichtigungs-Prozesse.
Indikatoren für die Stabilität eines Anbieters sind die Jahre im Business, Gewinne, Besitzverhältnisse und Mitarbeiterzahl. Zu fragen ist laut Praxmarer ebenfalls nach einer Roadmap für die Produkt- und Serviceentwicklung. „Bittet der SaaS-Anbieter seine Kunden um ihr Feedback, um diesen Input in die Roadmap einfließen zu lassen?“, lautet eine Leitfrage. „Wird potenziellen Kunden eine Testversion der Services/Software zur Verfügung gestellt?“ Anhaltspunkte liefert ferner die Frage nach einem Angebot dedizierter Umgebungen oder Shared-Umgebungen, die von den Kunden gemeinsam genutzt werden.
Im Grundpreis sollten auch Leistungen wie Implementierung, Integration und Einrichten inbegriffen sein. Die Preisstruktur ist bestenfalls nutzerbasiert, die Mindestvertragslaufzeit ein Jahr. Auch nach Volumenverträgen sei zu fragen, so Experton.
Die vollständige Checkliste ist bei Experton erhältlich.