Ennek a "rendszer részének tekintjük-e" kérdésnek akkor volna jelentősége, ha ez a szoftver, dobozos, saját telepítésű kiszerelésben is elérhető lenne. Akkor valóban lényeges megkülönböztetni, hogy maga a szoftver sebezhető-e, vagy csak rosszul üzemeltették. Esetleg a default konfiguráció teszi-e sebezhetővé stb. stb.
Mivel itt egy "as a service" jelleggel üzemeltetett dologról van szó, a szoftvernek egy példánya van használatban, egy konfigurációval, egy környezettel, egy üzemeltetéssel. Ebben a kontextusban sokan - szerintem jogosan - tekintik úgy, hogy egyszerűen nem releváns kérdés, hogy ez a támadási vektor (social engineering + a defense in depth teljes hiánya) pontosan minek is számít. Önkényesen meghúzhatod a "rendszer" határvonalát úgy hogy ez kívül essen, meg úgy is, hogy belül legyen. Semmivel nem vagyunk se előrébb, se hátrébb tőle.
My 2cents...