Certyfikaty dla centrów danych – który standard wybrać?

W czasach transformacji cyfrowej i popularyzacji usług chmurowych, która już wkrótce obejmie również Polskę, rośnie znaczenie certyfikatów potwierdzających jakość świadczonych usług. Bo decyzje o skorzystaniu z oferty firmy udostępniającej usługi na bazie własnego centrum danych będą coraz częściej podejmowane w oparciu o analizę certyfikatów zgodności ze standardami. Jest to bowiem łatwiejsze i tańsze niż prowadzenie szczegółowych analiz i audytów.

Dla firm oferujących usługi na lokalnym rynku może to być dobra okazja do pozyskania klientów z sektora finansowego, dużych korporacji lub organizacji rządowych lub samorządowych, które również zaczynają korzystać z usług chmurowych.

Niestety, uznanych standardów jest przynajmniej kilka i trzeba przeanalizować, jakie certyfikaty warto uzyskać, by zachęcić kluczowe grupy klientów do skorzystania z usług tej, a nie innej firmy.

Zobacz również:

Z perspektywy klienta warto też wiedzieć, jakie certyfikacje dodają najwięcej wartości do usług, z których zamierza korzystać.

Najpopularniejsze standardy to europejski ISO/IEC TS 22237 (do niedawna funkcjonujący pod nazwą EN 50600), amerykańskie normy ANSI/TIA-942 i Uptime Institute, a także nieco mniej znany nowy standard DCOS opracowany i opublikowany w 2016 roku przez firmę EPI (Enterprise Products Integration Pte Ltd).

Wszystkie standardy zawierają różniące się zestawy oceny elementów sprzętowych, oprogramowania i sposobów zarządzania infrastrukturą centrów danych, które są podstawą do przyznawania odpowiednich certyfikatów. Pierwsze trzy z wymienionych standardów bardziej koncentrują się na infrastrukturze sprzętowej, a czwarty (EPI-DCOS) na warstwie organizacyjnej i procedurach mających zwiększyć bezpieczeństwo i niezawodność infrastruktury fizycznej.

W Polsce liczba centrów danych z różnymi certyfikatami jest wciąż stosunkowo niewielka, ale powoli się rozszerza. W listopadzie 2019 roku certyfikat EPI-DCOS uzyskały warszawskie centra przetwarzania danych operatora Atman.

EPI-DCOS – co to jest?

Firma EPI opracowała standard EPI-DCOS (Data Centre Operations Standard) dotyczący zasad zarządzania operacyjnego oraz utrzymania centrów przetwarzania danych. Jego pierwsza wersja została opublikowana w 2016 roku.

Jest to kompleksowy dokument, który na 148 stronach opisuje najlepsze praktyki, jakich powinny przestrzegać osoby pracujące w centrach danych i zarządzające nimi, by usprawnić procesy i zminimalizować ryzyko awarii powodowanych przez błędy ludzkie

Standard EPI-DCOS (Data Centre Operations Standard) określa zasady zarządzania operacyjnego oraz utrzymania centrów przetwarzania danych. Inaczej niż inne normy koncentruje się nie na infrastrukturze fizycznej, a na organizacji pracy i procedurach, których wdrożenie pozwala na minimalizację ryzyka związanego z błędami ludzkimi. Definiuje pięć poziomów zgodności ze standardem. Pierwsza wersja EPI-DCOS została opublikowana w 2016 roku. Na 2020 rok zapowiadana jest aktualizacja standardu zawierająca stosunkowo niewielkie poprawki i uzupełnienia.

Dokument został przygotowany przez ekspertów z EPI oraz zweryfikowany przez specjalistów m.in. z takich firm jak, Equnix, Microsoft, Dell, Ericsson, NTT Communications, Tata Communications, ING Nederland, a także BCA Group LTD z Polski. Bazuje na standardach ANSI i ISO.

EPI-DCOS obejmuje 11 zakresów funkcjonowania centrum danych:

  • Zarządzanie usługami
  • Organizacja
  • Zarządzanie bezpieczeństwem
  • Zarządzanie bezpieczeństwem fizycznym
  • Zarządzanie projektami
  • Zarządzanie infrastrukturą
  • Procedury operacyjne
  • Stabilność środowiska
  • Procedury monitorowania, raportowania i kontroli
  • Elastyczność organizacyjna
  • Ład organizacyjny, zarządzanie ryzykiem i zgodnością z regulacjami

EPI oferuje audyty pozwalające na uzyskanie certyfikatów zgodności z normami. Użytkownicy mogą korzystać z audytu obejmującego tylko wybraną część wyżej wymienionych elementów standardu.

Certyfikaty są przyznawane przy uwzględnieniu 5 poziomów zgodności ze standardem, które są oparte na uznanych na świecie normach ISO/IEC 15504 i CMM.

EPI to europejska firma utworzona ok. 30 lat temu, która obecnie działa w ponad 60 krajach na świecie. Specjalizuje się w usługach konsultingowych dotyczących centrów danych, szkoleniach dotyczących audytów i certyfikacji zgodności z różnymi normami, a także tworzeniem narzędzi, wśród których można wymienić Data Centre Framework, DCCF (Data Centre Competence Framework) lub EPI IT Training Framework. DCOS jest pierwszym standardem opracowanym przez EPI.

EPI ma akredytację CAB (Conformity Assessment Body) przyznaną przez organizację TIA-942 w zakresie audytów zgodności z normami ANSI/TIA-942. Oferuje również usługi audytu i certyfikacji zgodności z normami ISO/IEC TS 22237 (EN 50600).

Europejski standard ISO/IEC TS 22237 (EN-50600)

Jest to szeroka grupa szczegółowych norm kompleksowo obejmujących zagadnienia Data Center. Jest oficjalnym standardem krajów Unii Europejskiej. Normy wchodzące w skład standardu obejmują wszystkie obszary związane z budową, funkcjonowaniem i eksploatacją centrów przetwarzania danych. Standard definiuje cztery klasy niezawodności, cztery klasy zabezpieczeń fizycznych oraz trzy poziomy efektywności energetycznej. Został opracowany przez CENELEC (European Committee for Electrotechnical Standardization) i przyjęty przez Komisję Europejską, a następnie ratyfikowany i przyjęty przez kraje członkowskie UE. Należy zauważyć, że standard ISO/IEC TS 22237 był opracowywany pod auspicjami Komisji Europejskiej przez CENELEC TC 215 Working Group 3 jako zestaw norm EN 50600. Obecnie grupa ta została włączona do organizacji ISO i IEC jako wspólny zespół ISO/IEC JTC 1 (Joint Technical Committee) Study Group on Energy Efficiency of Data Centers, a nazwy norm EN zostały zmienione na ISO/IEC TS 22237 Series.

Komentarz eksperta
Adam Dzielnicki, Data Center Product Manager, Atman

Adam Dzielnicki, Data Center Product Manager, Atman

Z badań przeprowadzonych przez PMR wynika, że certyfikacja jest drugim po cenie najważniejszym kryterium wyboru nowego centrum danych. Dla ankietowanych jest to czynnik istotniejszy od poziomu redundancji, warunków SLA, nie wspominając o referencjach i marce dostawcy czy portfolio oferowanych przez niego usług. Z punktu widzenia klienta, certyfikat wydany przez renomowaną organizację, który wiąże się z drobiazgowym audytem operatora centrum danych, jest gwarancją odpowiedniego poziomu bezpieczeństwa rozumianego jako ciągłość dostarczania usług i dostępności danych. Diabeł jednak, jak zawsze, tkwi w szczegółach. Zdecydowana większość certyfikacji, nie obejmuje pełnego spektrum procesów zarządzania data center i często w ogóle pomija tak istotny czynnik ludzki, koncentrując się na audycie projektu i infrastruktury technicznej.

Tymczasem warto zauważyć, że wpływ na poprawne funkcjonowanie obiektu data center i jego bezpieczeństwo ma wiele czynników. Szczególnie ważną kwestią są procedury standaryzujące procesy operacyjne i utrzymaniowe obiektu. Ich posiadanie i przestrzeganie w ogromnej mierze minimalizuje ryzyko popełnienia błędu ludzkiego, który – według ostatniego raportu Uptime Institute – jest w 75 proc. przyczyną awarii systemów IT. Uptime Institute podaje przy tym, że 10 proc. awarii kosztowało organizacje ponad milion dolarów, a w 28 proc. przypadków straty wyniosły ponad 100 tys. dolarów.

Na projekt implementacji standardu i finalnie certyfikacji EPI-DCOS zdecydowaliśmy się ze względu na wyjątkowo praktyczne podejście twórców tego standardu do zagadnień, które są istotne dla zapewnienia ciągłości działania data center. EPI-DCOS definiując aż 11 obszarów utrzymania i obsługi centrum danych, jest dzisiaj normą najbardziej kompletną i jednocześnie elastyczną, bo umożliwia operatorowi DC certyfikację wybranych obszarów uznanych przez niego za kluczowe. Audyt pozwala więc realnie ocenić poziom zarządzania centrum danych i obowiązujących procedur, pomaga je w razie potrzeby zmodyfikować lub wprowadzić nowe, znacznie skuteczniejsze, dzięki czemu operacje w centrum danych przebiegają sprawniej i efektywniej. W praktyce, ustandaryzowanie operacji zgodnie z EPI-DCOS pozwala stworzyć środowisko, w którym w połączeniu z wysoką jakością infrastruktury, operator data center może zapewnić dla swoich klientów jak najwyższy poziom bezpieczeństwa, dostępności i jakości świadczonych usług.

Amerykańskie standardy ANSI/TIA-942

Te amerykańskie publiczne standardy zostały zaakceptowane i uznane również na świecie. Zostały pierwotnie opracowane przez TIA (Telecommunications Industry Association), a następnie przyjęte i rozszerzone przez ANSI (American National Standards Institute). Dotyczą systemów telekomunikacyjnych, a także elementów infrastruktury związanych z zapewnieniem redundancji i niezawodności systemu. Definiują cztery poziomy niezawodności centrum danych. Usługi certyfikacji są oferowane przez niezależne firmy audytorskie.

Standard Uptime Institute

Znanym standardem są też opracowane przez prywatną amerykańską firmę normy Uptime Institute. Definiują cele, jakie należy osiągnąć w procesie projektowania i budowy centrum danych. Standard koncentruje się na infrastrukturze zasilania i chłodzenia, pomijając bezpieczeństwo fizyczne i infrastrukturę sieciową. Definiuje cztery poziomy niezawodności centrów danych. Procesy certyfikacji są prowadzone bezpośrednio przez Uptime Institute, a certyfikaty są przyznawane niezależnie na projekt i wybudowane centrum danych.

Polskie centra danych
z certyfikatami
ISO/IEC TS 22237 (EN-50600) Uptime Institute
Talex Data Center, Poznań EXEA Data Center Toruń
Talex Data Center, Wrocław Euro-Centrum Katowice Data Center
ANSI TIA-942 EPI-DCOS
Park Naukowo-Technologiczny w Opolu Centrum Danych Atman Warszawa-1
Beyond.pl Data Centre 2 (recertyfikacja w trakcie) Centrum Danych Atman Warszawa-2


TOP 200