Umowa z dostawcą SaaS. Co należy wiedzieć? Na dziesięć najczęściej zadawanych pytań odpowiadają eksperci z firmy Commvault.
SaaS (Software as a Service), czyli „oprogramowanie jako usługa”, to model biznesowy który w ostatnich latach zyskał ogromną popularność. Nic w tym dziwnego – dla wielu organizacji przeniesienie środowiska danych i aplikacji z własnej infrastruktury do tzw. chmury obliczeniowej jest zmianą na korzyść, pozwalającą chociażby obniżyć koszty. Z drugiej strony, powierzenie ich zewnętrznemu podmiotowi może budzić obawy.
Na co zwrócić uwagę, decydując się na takie usługi? Na dziesięć często zadawanych przez firmy pytań odpowiedzieli Jakub Lewandowski i Przemysław Mazurkiewicz z Commvault, globalnego lidera branży inteligentnych usług przetwarzania danych.
1. Czy w ogóle mogę brać pod uwagę rozwiązanie SaaS?
Nim zaczniemy rozważać podpisanie umowy na usługi chmurowe, trzeba upewnić się, czy korzystanie z tego typu rozwiązania jest w naszym przypadku dopuszczalne – mówi Jakub Lewandowski, Global Data Governance Officer oraz Legal Director w Commvault. Może się bowiem okazać, że przepisy szczególne czy przyjęta praktyka działania organizacji wymaga przechowywania danych na własnej infrastrukturze. Najczęściej taka sytuacja może wystąpić w przypadku podmiotów sektora publicznego. Niemniej, trzeba podkreślić, że w Polsce dla przeważającej części organizacji nie istnieją przepisy zakazujące przechowywania danych w chmurze.
2. Jakie normy prawa muszę prześledzić przed podpisaniem umowy?
W dalszej kolejności trzeba przyjrzeć się obwarowaniom prawnym powiązanym z branżą, w jakiej się poruszamy. Z pewnością szczególne wymogi (nałożone choćby przez regulatorów) dotyczyć będą bankowości, sektora finansów i ubezpieczeń, telekomunikacyjnego, czy podmiotów podlegających ustawie o krajowym systemie cyberbezpieczeństwa. Wyposażeni w stosowną wiedzę, będziemy w stanie zweryfikować, czy rozwiązanie w zaproponowanym przez dostawcę kształcie zapewnia zgodność (tzw. compliance) z obowiązującymi nas specyficznymi wymogami prawnymi, normami, czy wytycznymi.
3. Czy rozwiązanie SaaS na pewno zaadresuje moje potrzeby?
Tak. Dostawca rozwiązania, analizując nasze potrzeby, ale i np. przypadki użycia (use case), czyli sposób w jaki używamy dotychczasowego środowiska danych, zaproponuje nam rozwiązanie skrojone na miarę naszych wymagań. Co więcej, będzie ono mogło być łatwo modyfikowane, podążając za zwiększającymi się potrzebami. To jedna z większych zalet rozwiązań typu SaaS – są łatwo skalowane, czyli posiadają zdolność elastycznego dostosowywania się do rosnącej objętości przetwarzanych danych.
Rozwiązania SaaS mogą adresować najróżniejsze potrzeby klientów – dodaje Przemysław Mazurkiewicz, EMEA CEE & Nordics Sales Engineering Director w Commvault. Roboczo możemy je podzielić na systemy wspierające działanie biznesu i systemy narzędziowe. Do pierwszej kategorii zaliczyć możemy te wspierające użytkowników końcowych jak Microsoft 365®, czy systemy CRM. Do drugiej – choćby systemy przetwarzające dane i oferujące ich analizy wykonywane przez sztuczną inteligencję, systemy bezpieczeństwa dla środowisk lokalnych i chmurowych, wreszcie – coraz częściej kojarzone z modelem SaaS – rozwiązania do wykonywania zapasowej kopii danych. W tej ostatniej grupie światowy rynek zdominowała firma Commvault, której rozwiązanie Metallic™ jest szczególnie zaawansowane: działa wyłącznie z chmury, więc całkowicie odciąża z kosztów utrzymywania infrastruktury, posiada dużą ilość dodatkowych zabezpieczeń, jest bardzo elastyczne jeśli chodzi o przechowywanie danych, można je wdrożyć w ciągu jednego dnia… Metallic™ to też znakomite funkcje odzyskiwania danych, na przykład dostosowane do odtwarzania ich po ataku ransomware.
Przemysław Mazurkiewicz, EMEA CEE & Nordics Sales Engineering Director w Commvault.
4. Skąd mam wiedzieć, że dany dostawca jest godny zaufania?
Nim zdecydujemy się na współpracę z wybranym dostawcą SaaS, należy prześledzić jego dotychczasowe osiągnięcia, a także sprawdzić, jak wypada w branżowych raportach (np. firmy Gartner). Te informacje powinny wystarczyć do wyrobienia sobie opinii o wiarygodności vendora.
5. Czy pozostanę właścicielem swoich danych?
Szczególnie ważne jest, by upewnić się, że pozostajemy „właścicielem” naszych danych w całym okresie trwania umowy i że nie będą one wykorzystywane w celach innych niż te, na które się zgodzimy – podkreśla Jakub Lewandowski. To może wydawać się oczywistym modelem działania, ale osobiście zawsze sugeruję klientom sprawdzić warunki umowne w tej materii, w tym w szczególności opisy przetwarzania danych w umowie powierzenia przetwarzania danych osobowych.
6. Kto będzie odpowiedzialny za moje dane?
Kolejna kluczowa kwestia to prawna odpowiedzialność za powierzone dostawcy dane. Umowa powinna wyraźnie określać, kto taką odpowiedzialność ponosi i będzie z niej rozliczany – zwłaszcza, że w przypadku usług chmurowych zazwyczaj będziemy mieli do czynienia z większą ilością podmiotów.
Trzeba mieć świadomość, że decydując się na rozwiązanie typu SaaS, stajemy się stroną relacji prawnej nie tylko z dostawcą tego rozwiązania, ale często również z jego partnerami. Chodzi konkretnie o dostawców infrastruktury, na której działa rozwiązanie SaaS, a więc dostawców rozwiązań typu PaaS (Platforma jako usługa), czy IaaS (Infrastruktura jako usługa). Mamy wtedy do czynienia z tzw. shared responsibility model, czyli „modelem wspólnej/współdzielonej odpowiedzialności” – tłumaczy Jakub Lewandowski. Siłą rzeczy, w naszej umowie mogą znaleźć się odwołania do umów podmiotów trzecich, z którymi również należy się zapoznać. Analizując zapisy umowne, a często również dokumentację rozwiązania, warto precyzyjnie ustalić, kto i za co dokładnie odpowiada. Bardzo pomocne są tu, często stosowane przez dostawców usług chmurowych, graficzne reprezentacje takiej współodpowiedzialności, np. w postaci diagramów.
Jakub Lewandowski, Global Data Governance Officer oraz Legal Director w Commvault.
7. W jaki sposób zostanie podpisana umowa?
Eksperci wskazują, że ogólnie przyjętą w branży praktyką jest podpisywanie umowy z dostawcą SaaS jest sposób nazywany clickwrap czy clickthrough, a więc poprzez zatwierdzenie kliknięciem określonej jej wersji. Fakt zaakceptowania warunków umownych jest tu logowany. Jeśli zależy nam na tradycyjnej formie zawarcia umowy, należy wyraźnie poprosić o to dostawcę – wówczas można podpisać ją również z wykorzystaniem podpisów elektronicznych, bądź nawet w wersji papierowej.
8. Jak rozwiązanie typu SaaS może wspierać compliance, np. zgodność z RODO?
Optymalne rozwiązanie SaaS powinno również wspierać nasze wysiłki w obszarze zgodności z prawem (compliance). Przykładowo, rozwiązanie kopii zapasowej w chmurze może równocześnie zapobiegać wynoszeniu danych przez użytkownika końcowego – dla wygody – poza chmurę, czy wesprzeć w zarządzaniu okresami retencji danych. Należy pamiętać, że jeśli rozwiązanie będzie wykorzystywane do przetwarzania danych osobowych, konieczne będzie także podpisanie umowy powierzenia przetwarzania danych osobowych.
9. Ukryte koszty w rozwiązaniu SaaS?
Należy dokładnie prześledzić umowę z dostawcą pod kątem wszelkich dodatkowych kosztów, które mogą wiązać się z korzystaniem z usługi. Przy okazji warto również przeanalizować opcję „wyjścia”, czyli warunki zakończenia umowy z dostawcą, w szczególności w kontekście ryzyka tzw. vendor lock-in.
10. Co jeśli dostawca nie spełni warunków?
Jednym z najczęściej stosowanych mechanizmów jest tzw. kredyt serwisowy – specjalna zniżka na subskrypcję usługi w kolejnych okresach. Warto ustalić, jakie są warunki brzegowe ubiegania się o taką rekompensatę oraz w jakich przypadkach możliwe będzie wypowiedzenie umowy.