Jak zadbać o swoje interesy w chmurze?

Powierzamy dostawcy chmury nie tylko swoje dane i systemy, ale także dane swoich klientów. Dlatego zaufanie do niego powinno być wsparte dobrze skonstruowaną umową i wiedzą o ryzykach wynikających z migracji na wybraną przez nas platformę. Nawet jeśli w praktyce to dostawcy chmury dyktują warunki, negocjacji z nimi nie można sobie odpuścić.

Wcześniejsze spotkania odbywające się w ramach dedykowanego Dyrektorom IT programu CLOUD SIG dostarczyły uczestnikom sporą dawkę wiedzy o technologiach i operacjach związanych z chmurą. Przyszedł czas, by podyskutować o kontraktach chmurowych i rzeczach z nich wynikających.

Korzystanie z chmury w każdym sektorze, nie tylko finansowym, jest procesem wielopoziomowym, na który składają się nie tylko warstwa techniczna i organizacyjna, ale i formalno-prawna. W każdym projekcie muszą być one brane pod uwagę łącznie.

- W procesie wdrażania, korzystania, audytowania, ale także wyjścia z chmury konieczne jest uwzględnienie trzech wymienionych aspektów. Dlatego wsparcie w zakresie „cloudyzacji" musi polegać na połączeniu wiedzy specjalistów z wielu różnych dziedzin: technologii, cyberbezpieczeństwa, prawa, analizy ryzyka i procesów – wymieniała Justyna Wilczyńska-Baraniak z EY Law.

Istotnym punktem odniesienia jest Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Daje on wskazówki, w jaki sposób środki techniczne i organizacyjne mogą pomóc w uniknięciu zderzenia z barierami prawnymi. I chociaż wskazania zawarte w Komunikacie odnoszą się przede wszystkim do sektora finansowego, to mogą być z powodzeniem stosowane jako wzorcowe przy wdrożeniu chmury także w innych branżach. Komunikat z 2020 r. stanowi uzupełnienie i uszczegółowienie zaleceń wydanych w 2017 r., zwiększając możliwości wykorzystania chmury obliczeniowej przez podmioty nadzorowane.

Potrzebny jest plan działania

Na co trzeba zwrócić szczególną uwagę, by przez projekty chmurowe, ze swej natury bardzo skomplikowane, przejść jak najsprawniej, w miarę bezboleśnie i tak, by na koniec wszystko się jeszcze spięło finansowo?

Na pewno mapa drogowa migracji do chmury na najważniejszych etapach nie powinna pomijać aspektów prawnych. Już na jej początku, czyli przy ustalaniu strategii, powinien być włączony dział prawny organizacji. Będzie on sygnalizować potencjalne problemy w zakresie bezpieczeństwa, przetwarzania danych osobowych czy regulacji branżowych.

- Także w następnym etapie - wyboru dostawcy chmury - należy już na wstępie zwrócić uwagę na kwestie prawne. Uniknie się wtedy sytuacji, gdy po ustaleniu z dostawcą wszelkich aspektów technologicznych i organizacyjnych, okaże się, że nie spełnia on wymogów regulacji, bo np. nie gwarantuje przetwarzania danych wyłącznie w Europejskim Obszarze Gospodarczym – mówiła Joanna Gałajda z EY Law.

W kolejnej fazie powinniśmy zdefiniować procesy migrowane do chmury i ustalić konieczność stosowania względem nich regulacji. Potem sklasyfikować informacje, które mają być przetwarzane w chmurze oraz ocenić ich wagę, a następnie to samo zrobić w odniesieniu do zagrożeń i ryzyka. Wynikiem tego będzie wybór zabezpieczeń. Jak nasze dane będą szyfrowane przez dostawcę? Kto będzie posiadał klucze szyfrujące? Kto i na jakich zasadach będzie miał dostęp do danych? To tylko kilka z wielu pytań, na które trzeba znaleźć odpowiedzi.

- Dochodzimy do momentu zawarcia umowy z dostawcą. Powinna ona potwierdzać wszystkie ustalenia z poprzedzających ją etapów. Poza tym obejmować tak ważne rzeczy, jak plan wyjścia, plan ciągłości działania i inne warunki, które ułatwią nam działanie, gdyby doszło od sytuacji uniemożliwiającej korzystanie z usługi i w efekcie utratę ciągłości działania organizacji - tłumaczyła Joanna Gałajda.

Jak duże jest pole manewru?

Oczywiście, opisany wcześniej proces tak wygląda, jeśli przyjmie się optymistyczne założenie, że umowę da się z dostawcą negocjować. Najczęściej będziemy mieć do czynienia ze standardowymi warunkami świadczenia usługi. Ale nawet jeśli nie mamy wielkiego pola manewru, to wykonana praca daje świadomość zagrożeń i ryzyk wynikających z zapisów umownych, a więc w jakimś sensie kontrolę nad nimi. Ważną sprawą może być to, by umowa podlegała prawu polskiemu, czego wymaga KNF, a co nie jest takie oczywiste.

- Jest jeszcze m.in. kwestia unikania vendor lock-in. Warunki wyjścia z chmury to jedna z pierwszych klauzul na które zwracam uwagę w umowie chmurowej. Te zapisy znajdują się zwykle na samym jej końcu, a ich przeoczenie może nas sporo kosztować - ostrzegała Joanna Gałajda.

Kiedy nie jesteśmy zadowoleni z usługi i chcemy z niej zrezygnować, może okazać się to dużym problemem. Często nie jesteśmy w stanie wrócić na własną infrastrukturę - trzeba dane przenieść do innego usługodawcy, więc musimy zagwarantować sobie, by było to możliwe pod względem technicznym. I nie zapominać o kosztach takiej wyprowadzki, ponieważ dostawca może chcieć uczynić je zaporowymi.

Prowadzona przez ekspertki EY Law pierwsza część warsztatu o kontraktach chmurowych dotyczyła wielu podobnych kwestii. Między innymi tych dotyczących lokalizacji usługi i podwykonawców zaangażowanych w jej dostarczanie.

Chmura to coraz bardziej standardowy produkt

Druga część warsztatu o kontraktach była okazją do usystematyzowania wiedzy o kontraktach chmurowych na przykładzie umów z Microsoftem.

Agata Szeliga z Kancelarii prawnej SK&S omówiła m.in modele umów enterprise i CSP tego dostawcy. Skupiła się także na trudnościach w przygotowaniu i negocjowaniu umów.

- Chociaż pandemia uwidoczniła zalety chmury, to wciąż zauważamy konieczność zmiany podejścia do niej. Emocje budzą kwestie standardowych wzorów umów i możliwości zmian. Klienci nie zdają sobie sprawy, że są one zawierane dla milionów użytkowników, więc model jest bardziej przypomina zakup standardowej licencji na produkt niż indywidualnie dostosowywanej usługi - zauważyła prawniczka.

Z kolei Michał Furmankiewicz, Microsoft Azure MVP, szczegółowo omówił dwa istotne aspekty umów z dostawcą - SLA i koszty. Zestawił to, co jest zapisane w dokumentacji, z tym, co w praktyce dostaje i za co płaci klient korzystający z usług chmurowych.

- W każdej usłudze jest określony „downtime”, czyli maksymalny czas niedostępności usługi. Jeśli dostawca go przekracza, jest zobowiązany do udzielenia zniżki na dany typ usługi w następnym okresie rozliczeniowym - tłumaczył co się dzieje, gdy operator chmury nie wywiązuje się z SLA. Zauważył też, że w chmurze wszystko kosztuje, ale przede wszystkim płacimy za daną funkcjonalność i moc obliczeniową.

Ostatecznie, z uwagi ma masowy charakter usług, możliwości zmian w umowie z dostawcą chmury są ograniczone. Dostawcy przekonują jednak, że klient jest w stanie skonfigurować ich usługi tak, by jak najlepiej odpowiadały na jego potrzeby, nawet w modelu SaaS.

Materiał powstał na podstawie wirtualnego modułu tematycznego w ramach programu Cloud Special Interest Group, którego wykładowcami byli: Joanna Galajda i Justyna Wilczyńska-Baraniak z firmy EY oraz Agata Szeliga i Michał Furmankiewicz współpracujący z firmą Microsoft Polska.

Po więcej informacji o programie zapraszamy na stronę www.cionet.com/pl/cloudsig