SaaS (Software as a Service), czyli „oprogramowanie jako us?uga”, to model biznesowy który w ostatnich latach zyska? ogromn? popularno??. Nic w tym dziwnego – dla wielu organizacji przeniesienie ?rodowiska danych i aplikacji z w?asnej infrastruktury do tzw. chmury obliczeniowej jest zmian? na korzy??, pozwalaj?c? chocia?by obni?y? koszty. Z drugiej strony, powierzenie ich zewn?trznemu podmiotowi mo?e budzi? obawy. Na co zwróci? uwag?, decyduj?c si? na takie us?ugi? Na dziesi?? cz?sto zadawanych przez firmy pyta? odpowiedzieli Jakub Lewandowski i Przemys?aw Mazurkiewicz z Commvault, globalnego lidera bran?y inteligentnych us?ug przetwarzania danych.
1. Czy w ogóle mog? bra? pod uwag? rozwi?zanie SaaS?
Nim zaczniemy rozwa?a? podpisanie umowy na us?ugi chmurowe, trzeba upewni? si?, czy korzystanie z tego typu rozwi?zania jest w naszym przypadku dopuszczalne – mówi Jakub Lewandowski, Global Data Governance Officer oraz Legal Director w Commvault. Mo?e si? bowiem okaza?, ?e przepisy szczególne czy przyj?ta praktyka dzia?ania organizacji wymaga przechowywania danych na w?asnej infrastrukturze. Najcz??ciej taka sytuacja mo?e wyst?pi? w przypadku podmiotów sektora publicznego. Niemniej, trzeba podkre?li?, ?e w Polsce dla przewa?aj?cej cz??ci organizacji nie istniej? przepisy zakazuj?ce przechowywania danych w chmurze.
2. Jakie normy prawa musz? prze?ledzi? przed podpisaniem umowy?
W dalszej kolejno?ci trzeba przyjrze? si? obwarowaniom prawnym powi?zanym z bran??, w jakiej si? poruszamy. Z pewno?ci? szczególne wymogi (na?o?one cho?by przez regulatorów) dotyczy? b?d? bankowo?ci, sektora finansów i ubezpiecze?, telekomunikacyjnego, czy podmiotów podlegaj?cych ustawie o krajowym systemie cyberbezpiecze?stwa. Wyposa?eni w stosown? wiedz?, b?dziemy w stanie zweryfikowa?, czy rozwi?zanie w zaproponowanym przez dostawc? kszta?cie zapewnia zgodno?? (tzw. compliance) z obowi?zuj?cymi nas specyficznymi wymogami prawnymi, normami, czy wytycznymi.
3. Czy rozwi?zanie SaaS na pewno zaadresuje moje potrzeby?
Tak. Dostawca rozwi?zania, analizuj?c nasze potrzeby, ale i np. przypadki u?ycia (use case), czyli sposób w jaki u?ywamy dotychczasowego ?rodowiska danych, zaproponuje nam rozwi?zanie skrojone na miar? naszych wymaga?. Co wi?cej, b?dzie ono mog?o by? ?atwo modyfikowane, pod??aj?c za zwi?kszaj?cymi si? potrzebami. To jedna z wi?kszych zalet rozwi?za? typu SaaS – s? ?atwo skalowane, czyli posiadaj? zdolno?? elastycznego dostosowywania si? do rosn?cej obj?to?ci przetwarzanych danych.
Rozwi?zania SaaS mog? adresowa? najró?niejsze potrzeby klientów – dodaje Przemys?aw Mazurkiewicz, EMEA CEE & Nordics Sales Engineering Director w Commvault. Roboczo mo?emy je podzieli? na systemy wspieraj?ce dzia?anie biznesu i systemy narz?dziowe. Do pierwszej kategorii zaliczy? mo?emy te wspieraj?ce u?ytkowników ko?cowych jak Microsoft 365®, czy systemy CRM. Do drugiej – cho?by systemy przetwarzaj?ce dane i oferuj?ce ich analizy wykonywane przez sztuczn? inteligencj?, systemy bezpiecze?stwa dla ?rodowisk lokalnych i chmurowych, wreszcie – coraz cz??ciej kojarzone z modelem SaaS – rozwi?zania do wykonywania zapasowej kopii danych. W tej ostatniej grupie ?wiatowy rynek zdominowa?a firma Commvault, której rozwi?zanie Metallic™ jest szczególnie zaawansowane: dzia?a wy??cznie z chmury, wi?c ca?kowicie odci??a z kosztów utrzymywania infrastruktury, posiada du?? ilo?? dodatkowych zabezpiecze?, jest bardzo elastyczne je?li chodzi o przechowywanie danych, mo?na je wdro?y? w ci?gu jednego dnia… Metallic™ to te? znakomite funkcje odzyskiwania danych, na przyk?ad dostosowane do odtwarzania ich po ataku ransomware.
4. Sk?d mam wiedzie?, ?e dany dostawca jest godny zaufania?
Nim zdecydujemy si? na wspó?prac? z wybranym dostawc? SaaS, nale?y prze?ledzi? jego dotychczasowe osi?gni?cia, a tak?e sprawdzi?, jak wypada w bran?owych raportach (np. firmy Gartner). Te informacje powinny wystarczy? do wyrobienia sobie opinii o wiarygodno?ci vendora.
5. Czy pozostan? w?a?cicielem swoich danych?
Szczególnie wa?ne jest, by upewni? si?, ?e pozostajemy „w?a?cicielem” naszych danych w ca?ym okresie trwania umowy i ?e nie b?d? one wykorzystywane w celach innych ni? te, na które si? zgodzimy – podkre?la Jakub Lewandowski. To mo?e wydawa? si? oczywistym modelem dzia?ania, ale osobi?cie zawsze sugeruj? klientom sprawdzi? warunki umowne w tej materii, w tym w szczególno?ci opisy przetwarzania danych w umowie powierzenia przetwarzania danych osobowych.
6. Kto b?dzie odpowiedzialny za moje dane?
Kolejna kluczowa kwestia to prawna odpowiedzialno?? za powierzone dostawcy dane. Umowa powinna wyra?nie okre?la?, kto tak? odpowiedzialno?? ponosi i b?dzie z niej rozliczany – zw?aszcza, ?e w przypadku us?ug chmurowych zazwyczaj b?dziemy mieli do czynienia z wi?ksz? ilo?ci? podmiotów.
Trzeba mie? ?wiadomo??, ?e decyduj?c si? na rozwi?zanie typu SaaS, stajemy si? stron? relacji prawnej nie tylko z dostawc? tego rozwi?zania, ale cz?sto równie? z jego partnerami. Chodzi konkretnie o dostawców infrastruktury, na której dzia?a rozwi?zanie SaaS, a wi?c dostawców rozwi?za? typu PaaS (Platforma jako us?uga), czy IaaS (Infrastruktura jako us?uga). Mamy wtedy do czynienia z tzw. shared responsibility model, czyli „modelem wspólnej/wspó?dzielonej odpowiedzialno?ci” – t?umaczy Jakub Lewandowski. Si?? rzeczy, w naszej umowie mog? znale?? si? odwo?ania do umów podmiotów trzecich, z którymi równie? nale?y si? zapozna?. Analizuj?c zapisy umowne, a cz?sto równie? dokumentacj? rozwi?zania, warto precyzyjnie ustali?, kto i za co dok?adnie odpowiada. Bardzo pomocne s? tu, cz?sto stosowane przez dostawców us?ug chmurowych, graficzne reprezentacje takiej wspó?odpowiedzialno?ci, np. w postaci diagramów.
7. W jaki sposób zostanie podpisana umowa?
Eksperci wskazuj?, ?e ogólnie przyj?t? w bran?y praktyk? jest podpisywanie umowy z dostawc? SaaS jest sposób nazywany clickwrap czy clickthrough, a wi?c poprzez zatwierdzenie klikni?ciem okre?lonej jej wersji. Fakt zaakceptowania warunków umownych jest tu logowany. Je?li zale?y nam na tradycyjnej formie zawarcia umowy, nale?y wyra?nie poprosi? o to dostawc? – wówczas mo?na podpisa? j? równie? z wykorzystaniem podpisów elektronicznych, b?d? nawet w wersji papierowej.
8. Jak rozwi?zanie typu SaaS mo?e wspiera? compliance, np. zgodno?? z RODO?
Optymalne rozwi?zanie SaaS powinno równie? wspiera? nasze wysi?ki w obszarze zgodno?ci z prawem (compliance). Przyk?adowo, rozwi?zanie kopii zapasowej w chmurze mo?e równocze?nie zapobiega? wynoszeniu danych przez u?ytkownika ko?cowego – dla wygody – poza chmur?, czy wesprze? w zarz?dzaniu okresami retencji danych. Nale?y pami?ta?, ?e je?li rozwi?zanie b?dzie wykorzystywane do przetwarzania danych osobowych, konieczne b?dzie tak?e podpisanie umowy powierzenia przetwarzania danych osobowych.
9. Ukryte koszty w rozwi?zaniu SaaS?
Nale?y dok?adnie prze?ledzi? umow? z dostawc? pod k?tem wszelkich dodatkowych kosztów, które mog? wi?za? si? z korzystaniem z us?ugi. Przy okazji warto równie? przeanalizowa? opcj? „wyj?cia”, czyli warunki zako?czenia umowy z dostawc?, w szczególno?ci w kontek?cie ryzyka tzw. vendor lock-in.
10. Co je?li dostawca nie spe?ni warunków?
Jednym z najcz??ciej stosowanych mechanizmów jest tzw. kredyt serwisowy – specjalna zni?ka na subskrypcj? us?ugi w kolejnych okresach. Warto ustali?, jakie s? warunki brzegowe ubiegania si? o tak? rekompensat? oraz w jakich przypadkach mo?liwe b?dzie wypowiedzenie umowy.
