SAS 70 Type II内核的确是不错的安全基础，也是确保厂商在检查期间安全控管措施正常运作的一项工具，但这并不等于安全性。并且可能给人一种安全感的假象。内核所看的是过去的状况，虽然过去的绩效对未来具指标性 (至少在数据中心安全方面)，但绝非未来的保证。一旦公司发生大规模或不预期的人事变动，就可能让原本扎实完整的安全措施一夕之间瓦解。此外，SAS 70也无法防止心生不满的员工对公司或客户挟怨报复。

SAS 70 Type II内核无法检查内核范围以外的项目。在内核检查表上的项目您或许严格控管，但漏洞却可能在检查范围之外。再者，任何流程的内核都无法涵盖执行流程的人。厂商的用人原则为何?SAS 70 Type II内核并不一定涵盖用人原则。凡人都可能犯错，当然也绝非完美。

SAS 70审查并没有一套标准作法。这类内核是内核者与受内核对象彼此共同设计出来，目的在于测试特定业务流程的控管措施。而控管措施可能无法包山包海，所以，在原先预定之外的项目，即使对业务服务很重要也不在测试范围内。因此，在将关键业务流程交给任何服务供应商之前，您应该对 SAS 70内核有所存疑。并且，理想的内核不应该只专注于信息安全，而是应该延伸至服务永续性、厂商管理、备份复原、人事制度等其他领域。

不论公共“云”或私人“云”在降低成本、提升企业灵活度方面都能提供优异的企业价值。不过，建议您在挑选之前还是应该先认清其中的安全挑战。