问：实施平台即服务（platform-as-a-service，PaaS）环境有什么样的数据保护风险？
   
　　答：一次又一次地，令人兴奋的网络技术的开发在恰当地解决安全和数据保护上失败。在我考虑PaaS的数据保护问题之前，我们在给它之前的SaaS或者软件即服务一些时间。

　　SaaS已经取代了早期的acronym, ASP或应用服务提供商。软件及服务是基于Web的应用程序，它是软件提供商在网络上保存和提供的。尽管如此，它和通常的软件的关键去别在于SaaS用户为应用程序支付租金，而不是购买持有。

　　平台即服务是Web服务进化的下一步。PaaS提供了托管平台——主要是瘦客户机（thin client）的现代版本——在这里的电脑从服务器上接收操作系统和应用程序。PaaS是企业和它的开发人员可以关注他们的应用程序在做什么，而不是运行他们的时候需要什么软件和架构。幸亏有了PaaS，商务过程可以逐渐的虚拟化、可共享，而且企业可以从经济规模、运行时间和灵活性上获益。但是和它前面的SaaS一样，它也存在很多相同的数据保护问题，主要是那些数据都正被或在第三方系统上处理货存储。

　　有了这些种类的服务，企业用户的数据安全就可以依赖于SaaS或PaaS开发人员的技术和能力。对于只有一两个开发人员的小企业来说，PaaS大概是安全的可选方法。没有可以的过度劳累的开发人员，小团队、繁重的工作负担和紧张的最后期限会趋向于降低安全的重要性。当考虑SaaS和PaaS的时候，确保提供商的开发团队有专门的技术——并且已经给予了时间——来建立拥有强大的信息安全基础的应用程序。

　　尽管如此，大型企业可以负担得起假设在第三方提供商的手里他们的数据很安全吗？放弃对数据存储方式和访问的控制需要很大的信心和对数据处理的位置和方式的理解。对我来说。“位置”是关键的问题。

　　以一家使用美国提供的PaaS的英国公司为例。在欧盟数据指令下（European union Data Directive），公司有在责任保证任何管理他们的数据的第三方要有适当的安全措施。在美国和欧盟的安全海港数据保护协议（Safe Harbor data protection agreement）下，英国的公司只有在第三方在处理满足欧洲隐私保护标准的数据是才能在美国存储数据。因此，在PaaS环境中操作的数据保护措施需要清楚地理解；否则英国的公司可能会违反一部或更多的法律。

　　最后，只能通过其他人的服务器访问的数据请求正常运行时间的保证。在线服务的可能正常运行时间有99.9%的可用性。即使如此，每年仍然有几乎半天的停工期。还会有服务正常但是负担了性能问题的时候。PaaS提供商可能会提供比其它机构更多的正常运行时间，但是需要比在PaaS环境中更加理解和实施服务等级的协议（SLAs）。