.gif){kind=small}
Artykuły
Prawne aspekty Cloud Computing - raport (cz. II)
Service level agreement (SLA) to część umowy o świadczenie usług informatycznych, w której usługi zostają zdefiniowane oraz określone zostają ich parametry. SLA opierają się przeważnie na ustalaniu minimalnego poziomu świadczeń: ich dostępności, wydajności oraz poziomu wsparcia dostawcy. Umowy dot. cloud computing zawierają również klauzule regulujące poziom bezpieczeństwa danych oraz metody ich ochrony oraz środki naprawcze na wypadek przestoju.
SLA w realiach chmury obliczeniowej są zazwyczaj diametralnie inne, niż te, z którymi spotkać się można mając do czynienia z outsourcingiem w klasycznym wydaniu. Przede wszystkim, są znacznie krótsze – składają się one z zaledwie kilku punktów, które w bardzo ogólny sposób definiują parametry usługi. Z takiego układu wynikają pewne zagrożenia, z których odbiorca powinien zdawać sobie sprawę przed podjęciem współpracy z dostawcą. W umowach tego rodzaju spotkać się można z kilkoma podstawowymi kategoriami ustaleń.
Jakość usługi
okres przestoju zaplanowanego: czas (liczony zazwyczaj w kontekście jednego miesiąca), przez który usługa może być niedostępna, pod warunkiem, iż jej odbiorca będzie poinformowany o fakcie przestoju z odpowiednim wyprzedzeniem;
okres przestoju niezaplanowanego: czas (liczony zazwyczaj w kontekście jednego miesiąca), przez który usługa może być niedostępna pomimo, iż jej odbiorca nie będzie poinformowany o fakcie przestoju z odpowiednim wyprzedzeniem (zazwyczaj przestój taki jest efektem niespodziewanej usterki). Umowy SLA zawierają najczęściej mało precyzyjne klauzule, które stanowią iż np. maksymalny okres braku dostępu w przeciągu miesiąca wyniesie 'w sumie 7 godzin'. Na takie sformułowania należy uważać – inaczej na działalność klienta wpłynie 42 dziesięciominutowych przerw, a inaczej – brak działania systemu przez prawie cały jeden dzień roboczy.
miesięczny czas działania usługi: czas, wyrażony proporcjonalnie w stosunku do okresu jednego miesiąca, przez który usługa jest statystycznie dostępna. W większości przypadków proporcja ta zbliżona jest do 99%.
Zadośćuczynienie
gwarantowane zadośćuczynienia: sposób zadośćuczynienia odbiorcy szkód wyrządzonych w przypadku przekroczenia dozwolonego okresu przestoju niezaplanowanego. W wielu przypadkach zadośćuczynienie to przybiera formę pewnej ilości dodatkowych, darmowych dni korzystania z usługi.
W przypadku określania zadośćuczynienia, nagminną praktyką stosowaną przez dostawców jest obligowanie odbiorców do każdorazowego 'zgłaszania się' po zadośćuczynienie, jeżeli wystąpi sytuacja w której jest im ono należne. Dobrą praktyką w kontekście SLA (nie zawsze niestety stosowaną) jest również regulowanie ewentualności wypowiedzenia umowy przez odbiorcę w przypadku nagminnego łamania limitów przestoju przez dostawcę;
Wsparcie
Wsparcie klienta: warunki, na których dostawca świadczyć będzie usługi wsparcia, oraz metody kontaktu z dostawcą;
Czas reakcji: czas, w którym dostawca gwarantuje odpowiedź na zgłoszenie usterki oraz jej naprawę. Podczas gdy w klasycznych SLA często definiowane są różne czasy reakcji dla różnych kategorii awarii, w SLA dla chmury obliczeniowej jest to najczęściej parametr pojedynczy, i bywa niekiedy długi – może być to kwestia nawet tygodnia od momentu zgłoszenia;
Odzyskiwanie danych po awarii: metody zaradcze i naprawcze w przypadku awarii w centrach danych (takich jak przerwy w dostawach prądu lub wręcz problemy spowodowane kataklizmami naturalnymi). SLA powinno gwarantować m.in. możliwość podłączenia centrum danych do alternatywnego źródła prądu oraz limity czasu, w którym szkody wyrządzone poprzez kataklizm zostaną naprawione.
Bezpieczeństwo danych: metody ochrony danych przechowywanych w chmurze obliczeniowej, w tym ich kodowanie, tworzenie kopii zapasowych oraz stosowanie rozwiązań typu firewall oraz (coraz częściej) regulacja przeprowadzania audytów bezpieczeństwa. Więcej o bezpieczeństwie danych znaleźć można w sekcji raportu pt. „Dane w przestworzach”.
Umowa a dane w chmurze
W umowie o świadczeniu usług oraz w umowie SLA z dostawcą rozwiązań opartych o chmurę obliczeniową należy skoncentrować się na licznych zagadnieniach związanych z problematyką przetwarzania danych. Jest to kwestia niezwykle istotna, gdyż dane w chmurze obliczeniowej przechowywane są w środowisku zewnętrznym, przez co ich właściciel oraz administrator nie mają nad nimi pełnej kontroli. Utrata danych może zaś nieść ze sobą poważne konsekwencje gospodarcze oraz prawne, nawet w kontekście karnym (w przypadku naruszenia bezpieczeństwa danych osobowych).
Prawa do danych
Większość informacji, w szczególności tych wartościowych, ma możliwych do określenia właścicieli: dane osobowe są własnością osób, których dotyczą, a tajemnice handlowe należą do zawiadującego nimi przedsiębiorstwa. Tym niemniej, by uniknąć nieporozumień, umowa powinna wyraźnie regulować kwestię prawa własności do danych przechowywanych w chmurze. Odbiorca powinien zadbać, by znalazła się w niej klauzula bezpośrednio stanowiąca, iż wszystkie dane, które umieści on w chmurze, będą jego wyłączną własnością.
Odbiorca powinien również zwrócić uwagę na obecność w umowie klauzuli, na mocy której dostawca zobowiązuje się do niewykorzystywania danych umieszczonych w chmurze. Postanowienie takie ma za zadanie chronić odbiorcę przed używaniem jego danych np. w celach marketingowych; ułatwi ono również pociągnięcie dostawcy do odpowiedzialności prawnej i/lub wypowiedzenie umowy jeżeli dostawca nie będzie stosował się do tego zakazu.
Dostęp do danych
W polskim prawie art. 222 ust. 1 Kodeksu Cywilnego stanowi, iż właściciel rzeczy (czyli także danych) ma prawo żądać od osoby de facto władającej tą rzeczą do jej wydania. Tym niemniej, dostawca zawsze powinien mieć umownie zapewnioną możliwość dostępu do danych, które umieścił w chmurze – ułatwi mu to m.in. bezproblemową zmianę dostawcy usług oraz pomoże wyeliminować ryzyko związane ze stosowaniem przepisów zagranicznych. Umowa powinna również regulować kwestię odzyskiwania danych po zakończeniu współpracy z dostawcą (brak tego rodzaju postanowień może poważnie naruszyć bezpieczeństwo przechowywanych danych).
Wiele z umów dot. cloud computing uszczegóławia klauzule dotyczącego tego zagadnienia pod kątem czasu, przez który dane będą zachowane 'do odbioru'. Spotkać się w nich można zarówno z konkretnie określoną ilością dni, tygodni lub miesięcy, przez okres których dane będą zachowane, lub z bardziej ogólnymi zapisami zobowiązującymi dostawcę do przechowywania ich przez 'rozsądny z gospodarczego punktu widzenia okres'.
Szczególną uwagę należy także zwrócić na procedury odzyskiwania danych po zakończeniu współpracy z dostawcą: wiele umów nakłada na odbiorcę obowiązek upomnienia się o dane przed upływem określonego terminu. Brak dotrzymania takiego terminu skutkuje zazwyczaj permanentnym wykasowaniem danych z systemów dostawcy.
Ochrona i wyciek danych
Dane przechowywane w chmurze są często niezwykle wartościowe. Wprawdzie ich ochrona ostatecznie sprowadza się do odpowiednich zabezpieczeń technicznych, umowa SLA precyzować powinna, w jaki sposób dostawca zobowiązany jest do ich bezpiecznego przetwarzania. Szczegółowe opisanie tej kwestii pomóc może m.in. przy ustalaniu winowajców potencjalnego wycieku.
Wyciek danych może bowiem skutkować nie tylko utratą cennych informacji, lecz także naruszeniem cudzych danych osobowych. Podmiot przetwarzający (zazwyczaj dostawca rozwiązań w chmurze) może być pociągnięty do odpowiedzialności w przypadku nie wypełnienia obowiązków dot. poziomów bezpieczeństwa określonych w ustawie, lecz administrator danych, czyli najczęściej odbiorca usług – będzie pociągnięty do odpowiedzialności wraz z nim. W interesie odbiorcy zatem leży upewnienie się, iż dostawca jest solidny.
Ewidentnym jest fakt, iż wyciek danych z chmury obliczeniowej prowadzić może do wielu komplikacji prawnych. W wielu umowach dostawcy wykluczają jakąkolwiek odpowiedzialność w takim wypadku, lecz nie koniecznie postanowienia takie będą miały moc prawną, w szczególności w przypadku, w którym wyciek taki będzie rezultatem rażącego zaniedbania lub umyślnego działania ze strony dostawcy.
Zabezpieczenia w Centrum Danych
Stosowanie odpowiednich środków bezpieczeństwa w centrach danych powinno być nie tylko ogólnie przyjętym standardem, lecz również zobowiązaniem umownym (SLA). Wprowadzanie zabezpieczeń jest domeną specjalistów ds. IT, lecz prawnicy powinni zadbać o to, by w umowie podpisywanej z dostawcą cloud computing znalazł się zapis obowiązujący dostawcę do przeprowadzania regularnych audytów bezpieczeństwa.
Audyty powinny badać zgodność wprowadzonych zabezpieczeń z niezależnymi standardami. Najpopularniejszym z nich jest zapewne SAS 70 (Statement on Auditing Standards No. 70: Service Organizations), czyli standard opracowany przez amerykański instytut księgowych AICPA. W Polsce audyty zgodne z SAS 70 przeprowadzane są m.in. przez firmę doradczą KPMG.
Zabezpieczenia wirtualne
Niestety, umowy dot. cloud computing bardzo mgliście określają poziom bezpieczeństwa wirtualnego. Znaleźć można w nich stwierdzenia takie jak „rozsądne” lub „odpowiednie” zabezpieczenia – znaczenie takich określeń jest niezwykle mało precyzyjne. Dlatego też szukać należy konkretów – np. wymogu kodowania SSL lub stosowania systemów typu firewall. Równie istotne jest tworzenie regularnych kopii zapasowych. Z umowy jasno powinno wynikać (1) z jaką częstotliwością kopie te będą wykonywane, (2) gdzie będą one przechowywane, (3) przez jaki okres będą one utrzymywane, oraz (4) na jakiej zasadzie będą one dostępne dla odbiorcy.
Jest to II część raportu. Kolejna, już za tydzień, w czwartek (16.06.2011r.)
Autorzy raportu
Stefan Cieśla - radca prawny
Jest ekspertem ds. zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Cloud Computing i ochrony danych.
W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.
Adres www kancelarii: www.radcaprawny-ciesla.pl
Thomas Helbing - rechtsanwalt (niem. radca prawny)
Dr. Thomas Helbing w latach 2004-2009 zatrudniony był w wiodącej międzynarodowej kancelarii prawniczej w dziale technologii, mediów i telekomunikacji. Obecnie jest on niezależnym prawnikiem działającym w Niemczech jako konsultant prawny wspierający regionalne i międzynarodowe przedsiębiorstwa.
Doradza w zakresie problematyki ochrony danych, prywatności, informatyki, licencjonowania oraz prawa internetowego. Ponadto, Dr. Thomas Helbing jest odpowiedzialny za globalny program ochrony danych wiodącego niemieckiego koncernu przemysłowego z indeksu DAX, skupiającego 30 największe niemieckie społki giełdowe.
Dr. Helbing jest członkiem grupy "Law and Compliance" wewnątrz organizacji EuroCloud Deutschland (www.eurocloud.de) oraz współautorem kodu dobrych praktyk "Chmura Obliczeniowa & Ochrona Danych". Pan Helbing regularnie występuje w roli prelegenta na spotkaniach dotyczących chmury obliczeniowej, takich jak niedawne CloudConf2010 (www.cloudconf.de) w Stuttgart i CloudSlam (www.clodslam10.com).
Adres www kancelarii: www.thomashelbing.com
