Korzystna umowa o chmurę

Przedstawiamy najważniejsze zagadnienia, które warto uregulować przy podpisywaniu umów o usługi cloud computing wykorzystywane w firmie. Niektóre z nich są rzadkie, inne częste, ale mało skuteczne.

Audyt na żądanie

Ten punkt w umowie zezwala na przeprowadzanie audytów usług i infrastruktury dostawcy przez klientów.

Skuteczność: Częściowa, zależnie od tego jak wiele z zasobów, procedur oraz procesów dostawca pozwoli objąć takim audytem.

Zobacz również:

Obecność w kontraktach: czasami.

Certyfikat usunięcia danych

Udowodnienie, że dane zostały usunięte, gdy usługa wygaśnie.

Skuteczność: Wysoka, można dochodzić odszkodowań drogą prawną.

Obecność w kontraktach: prawie nigdy

Disaster Recovery

Wielu dostawców chwali się, że ich usługi ze względu na swoją naturę odpowiadają usługom disaster recovery w klasycznym modelu. Niestety nie zawsze jest to prawda. Przykładem może być przechowywanie danych w pojedynczej lokalizacji dostawcy usług, bez replikacji do rezerwowego ośrodka - a to odpowiada utworzeniu pojedynczego punktu awarii.

Skuteczność: Wysoka, ale trudna do zweryfikowania w praktyce. Chociaż dostawcy chwalą się niezawodnością systemów, nieczęsto dostarczają dowodów, na poparcie swoich tez.

Obecność w kontraktach: czasami, nie występuje w typowych umowach.

Zwrot kosztów za przerwy w dostępności usług

Takie zapisy w umowie gwarantują późniejsze obniżki cen lub kompensację strat użytkowników danej usługi, w przypadku jej niedostępności.

Skuteczność: Częściowa. Chociaż rekompensata jest pomocna, nie gwarantuje problemów w dostępności usług w przyszłości. Jest jedynie czymś, co choćby częściowo naprawia szkody po fakcie.

Obecność w kontraktach: Często, zawsze w kontraktach klasy Enterprise.

Szyfrowanie danych

Szyfrowanie danych w usługach cloud computing jest w zasadzie jedyną metodą zapewniania ochrony przed ich wyciekiem. Są jednak różne metody szyfrowania i zarządzania kluczami. Jeśli szyfrowanie odbywa się przez dostawcę gdy dane dotrą do chmury, jest to tańsze ale mniej bezpieczne od szyfrowania po stronie użytkownika, zanim dane zostaną wysłane do chmury. Najważniejsza jest zatem informacja o tym, kto posiada klucze szyfrujące i jak nimi zarządza, a także kto ma do nich dostęp. Należy pamiętać o problemach z bezpieczeństwem i dostępnością danych w przypadku utraconych kluczy.

Skuteczność: Różna, zależnie od miejsca szyfrowania, sposobu dystrybucji kluczy.

Obecność w kontraktach: zależnie od dostawcy. Można skorzystać z narzędzi firm trzecich, nawet jeśli dostawca cloud computing tego nie oferuje.

Ocena bezpieczeństwa

Wielu dostawców usług korzysta z narzędzi dostarczonych przez różne firmy, by zweryfikować certyfikację i wyniki audytów ISO27001, SOC1 czy SOC2. Niestety ocena taka jest niedostateczna, jeśli dostawca po prostu deklaruje zgodność z danymi regulacjami i normami, ale nie podaje użytkownikom informacji, które taką ocenę umożliwią.

Skuteczność: Niedostateczna

Obecność w kontraktach: Często

Pełne odszkodowanie za straty spowodowanych przez problemy z bezpieczeństwem

Taka opcja zakłada odpowiedzialność dostawcy za straty klienta spowodowane ewentualnymi problemami z bezpieczeństwem danej usługi.

Skuteczność: Teoretycznie wysoka

Obecność w kontraktach: Nigdy

Ubezpieczenie od skutków działań hackerskich

Dowód ubezpieczenia, w którym ubezpieczyciel lub dostawca zapewni odszkodowanie w przypadku problemów spowodowanych na przykład przez ataki cyberprzestępców lub pospolitych hackerów.

Skuteczność: Potencjalnie pomocne, ale podobnie jak w przypadku zwrotu kosztów za niedostępność usługi, nie gwarantuje, że dostawca uniknie naruszeń bezpieczeństwa.

Obecność w kontraktach: Nadal rzadko, ale pojawia się coraz częściej.

Negocjacja bezpieczeństwa specjalnych aplikacji

Odpowiednia klauzula umożliwia indywidualne negocjowanie o wiele wyższych poziomów bezpieczeństwa i specjalnych opcji technologicznych pod kątem wybranych programów lub danych.

Skuteczność: Potencjalnie wysoka.

Obecność w kontraktach: Często, ale tylko dla dużych klientów.


TOP 200