НовостиСобытияКонференцииФорумыIT@Work
Облака/ИТ-сервисы:

Блог

Пять рекомендаций по заключению облачных контрактов

Сергей Свинарев
02.02.2015 17:17:53

В своем недавнем посте "Что стоит за облачными SLA" я немного порассуждал о санкциях, налагаемых за нарушение провайдером SLA-соглашений. Но уже тогда я призадумался о том, что санкции, компенсации и прочие вещи такого рода должны фиксироваться не в SLA, а в контракте, заключаемом провайдером и пользователем облачного сервиса. А каковы же подводные камни при заключении подобных контрактов? На что следует обращать особое внимание? Ответам на эти вопросы посвящена публикация юриста из американской юридической фирмы Beacon Hill Law Джо Стенганелли. Вот пять его рекомендаций.

1. Первый вопрос, который клиент должен поставить перед потенциальным провайдером облачных услуг: "Как давно у вас проводился независимый аудит по соблюдению актуальных требований регулирующих органов?". Если ответ - никогда, смело прощайтесь с таким провайдером. Это особенно важно в жестко регулируемых отраслях типа здравоохранения, но и в более простых ситуациях наличие строгого аудита является явным плюсом.

2. Не так уж трудно удовлетворить требованиям по защите данных в одной стране. Однако обеспечить такое соответствие нормам всех государств - задача не из простых. Проблема осложняется и чревата юридическими рисками в случаях, когда клиент не знает в точности, где на самом деле в облаке хранятся все его данные. Одним из путей решения данной проблемы автор, как ни удивительно, считает еще более широкое использование облаков, поскольку их провайдеры в силу принципиальной интернациональности подобных сервисов, должны будут обеспечивать требования всех юрисдикций.

3. Некоторые облачные провайдеры предоставляют своим клиентам криптографические сервисы, но при это сохраняют полный контроль за ключами шифрования. Такой подход чреват огромными рисками: от криптографии мало толку, если ключи находятся в чужих руках.

4. Облачный провайдер не должен в предлагаемом контракте оставлять лазейку для распространения ответственности на третьи стороны. Иначе, может получиться так, что при общей утечке данных по вине провайдера ответственность с ним могут разделить и клиенты.

5. Обсуждая вопросы защиты данных и положения SLA, не следует смиренно "проглатывать" ссылки провайдера на то, что - это их стандартные условия, общие для всех. В том же духе вы можете, обосновывая свои предложения, ответить ему, что это ваши "стандартные поправки к стандартным соглашениям". При заключении облачных контрактов переговоры - это обычная практика. И немного нахальства с вашей стороны лишним не будет.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

03.02.2015 08:45:32

Я думаю, что сейчас лучше избегать слово "санкции" - оно воспринимается сегодня, как "состояние войны" smile:( Лучше говорить о штрафах или компенсациях за ущерб. smile:)

Что касается SLA, и вообще соглашений между провайдеров и потребителем, то, наверное, нужно четко разделять публичные и частные услуги.
В случае публичных. возможности потребителя выставить свои условия и даже просто узнать что-то у провайдера сведены к минимуму. Или их даже нет. Вы имеет дело с типовым договором (и типовыми ценами) и можете их или принять или нет.

В случае частных услуг - это уже предмет договоренности. Советы американского юриста, наверное, относятся именно к этому случаю.

Я писал недавно по этому поводу: Как раз для регулирования отношений в случае публичных сервисов нужно законодательство. Именно потому, что пользователь не имеет возможности "рулит" соглашением, нужно некоторые общие положения, защищающие его. Некоторые "обязательный" уровень, который должен обеспечить провайдер.

И что очень важно - нужно международное законодательство, которое решало бы трансграничные аспекты темы.