6 ważnych kwestii w umowach na usługi z chmury

Chmurowa infrastruktura i aplikacje są częścią architektury IT prawie w każdej firmie. Nawiązując relacje z dostawcami tych usług, warto nie tylko uważnie czytać, ale również negocjować warunki kontraktu, określającego parametry SLA, kwestie bezpieczeństwa, ochrony prywatności, czy warunki wypowiedzenia.

Wspólne zrozumienie z jednej strony potrzeb użytkownika, a z drugiej możliwości i oferty operatora chmury prowadzi do zbudowania udanych relacji. W związku z tym bardzo ważne jest, aby osoby podejmujące decyzje o zakupie usług chmurowych były w stanie jasno przedstawić dostawcy potrzeby swojej firmy, historię korzystania z chmury czy relacje z innymi dostawcami chmury i powody poszukiwania tego rodzaju infrastruktury. Dzięki temu nowy dostawca będzie mógł już na wstępie przedstawić ofertę dobrze dostosowaną do oczekiwań klienta. Podczas negocjacji kontraktu dostawcy usług mają w zwyczaju przedstawiać klientom dodatkowe informacje na temat swoich usług i plan ich kompleksowego wykorzystania. Powinni również przedstawić szczegółowe informacje na temat bezpieczeństwa, dostępu do danych i ogólnego ryzyka. To ważne, ponieważ wciąż dość powszechnie funkcjonują błędne przekonania na temat usług chmurowych, jak kwestie przetwarzania danych po opuszczenie przez nie firmowego centrum danych.

Symbiotyczna wymiana informacji prowadzi obie strony do bardziej owocnych negocjacji nad warunkami kontraktu, szczególnie jeśli chodzi o sześć kluczowych obszarów, które są najbardziej sporne.

Zobacz również:

Parametry SLA

Po pierwsze, dział IT musi dokładnie wiedzieć, co rozumie pod terminem SLA, jak definiuje te parametry oraz reakcje operatora. Dyrektor IT musi jasno rozumieć, w jakim stopniu dostawca jest w stanie spełnić wymagania firmy w zakresie parametrów SLA. Musi też wiedzieć, jak operator reaguje w przypadku wystąpienia awarii lub braku dostępu do usługi. Większość usług jest oferowana na poziomie dostępności wynoszącym 99,999 procent.

Dodatkowo obie strony kontraktu muszą jasno wyartykułować, co może się stać, jeśli warunki SLA nie zostaną dotrzymane. Czy klient otrzyma rabat w związku z niedotrzymaniem warunków SLA i w jakiej wysokości? Klient może być również zainteresowany monitorowaniem, jak często dostawca nie realizuje zapisów SLA i dochodzeniem, czy są jakieś przyczyny za powtarzającymi się awariami oraz szukaniem sposobu rozwiązania problemów. Tego rodzaju rozpoznanie dostarczy solidnej wiedzy o podejściu dostawcy do klientów.

Bezpieczeństwo

Bezpieczeństwo informacji i danych klienta jest najważniejsze i każdy CIO chce wiedzieć, jak solidna jest oferta bezpieczeństwa operator chmury i czy spełnia wszystkie wymagania przepisów branżowych. Dostawcy usług na pewno przedstawią wykorzystywane przez siebie zabezpieczenia i zgodność ich architektury z różnymi standardami (ISO, SSAE, HIPAA) oraz innymi wymaganiami. Udostępnią również metody szyfrowania danych w spoczynku i w ruchu. Jednocześnie dostawcy usług muszą jasno nakreślić, w jakim stopniu mają dostęp do danych klienta i aplikacji.

Regulacje prawne

Należy pamiętać nie tylko o przepisach branżowych, dotyczących, np. instytucji finansowych czy służby zdrowia, ale również o różnych regulacjach związanych z lokalizacją centrum danych dostawcy. Suwerenność danych określa, jak i gdzie dane są przechowywane oraz przetwarzane, a także z jakich regionów geograficznych jest do nich dostęp.

Kierownictwo IT powinno również ustalić, w jaki sposób operator chmury przestrzega zasad prywatności i czy dla każdej oferty jest przeprowadzana analiza wpływu na prywatność. Czy dostawca przestrzega przepisów o suwerenności danych we wszystkich regionach geograficznych? Należy też ustalić, czy skorzystanie z usług w chmurze będzie bezpieczne dla danych osobowych. Decydując się na taką ofertę, podejmuje się ryzyko związane z wynikami ewentualnej kontroli GIODO w zakresie ochrony danych osobowych. W przypadku operatorów, których centra danych są zlokalizowane w USA, należy sprawdzić, czy posiadają oni certyfikat Safe Harbour Departamentu Handlu USA. Dla GIODO jest to wystarczający dokument potwierdzający bezpieczeństwo danych osobowych. W przypadku kontroli czy skarg klientów nie będą wymagane dodatkowe dokumenty.

Ryzyko

Dostawcy usług chmurowych i ich klienci stale dyskutują, gdzie wdrożyć zabezpieczenia, aby uchronić dane przed utratą. Im lepiej dostawca usług potrafi przedstawić swoje możliwości w zakresie bezpieczeństwa i zgodność z regulacjami prawnymi, tym mniejsze ryzyko, że po stronie dostawcy wydarzy się złego.

Procedura rozwiązania kontraktu

Procedura rozwiązania umowy między klientem a operatorem chmury powinna być jasno opisana w umowie i zrozumiana przez obie strony. Ponadto operator powinien udostępniać klientowi przez określony czas jego dane, zanim zostaną usunięte z infrastruktury chmurowej. Średnio dostawcy trzymają dane i aplikacje przez kolejne 30 dni po zakończeniu umowy, aby klient miały wystarczająco dużo czasu na przeniesienie ich w nowe miejsce. Po tym okresie powszechną praktyką jest kasowanie danych i aplikacji, a następnie udostępnianie zwolnionych zasobów innym klientom. Zapewnienie realności wyprowadzenia danych i ich kasacji u dostawcy to bardzo ważny element i powinien być dobrze opisany w regulaminie czy w umowie w paragrafach opisujących procedurą rozwiązania kontraktu.

Niezależne audyty

Ważną kwestią dla klienta biznesowego są audyty infrastruktury chmurowej przez niezależnych konsultantów. Taka zewnętrzna forma kontroli umożliwia sprawdzenie, jak chmura jest zbudowana i zarządzana, a także umożliwia zweryfikowanie deklaracji operatora chmury.


TOP 200