En tjänstespecifikation bör definieras tillsammans med leverantören. Häri definieras vilka åtaganden leverantören (och kunden har), exempelvis hur snabbt säkerhetsincidenter ska åtgärdas, återrapporteringsvägar etc.
Villkor och ansvar bör också definieras tydligt. Vem är ansvarig för vad och vilka blir påföljderna om till exempel leverantören inte lyckas leverera?
Glöm inte: Den som har mest att förlora i sammanhanget är alltid kunden eftersom det är dess kunddatabas eller liknande som kan spridas på internet efter ett intrång. Detta är viktigt att ha i åtanke när man gör en tjänstespecifikation och definierar villkor och ansvar.