Usługi IT w chmurze, wady i zalety

Informatyka w chmurze (cloud computing) to wynajmowanie aplikacji lub elementów infrastruktury u zewnętrznych dostawców i dostęp do nich za pomocą przeglądarki internetowej. Rozwiązanie to jest coraz popularniejsze. Jak wynika z raportu firmy VMware, ponad 60 proc. europejskich małych i średnich przedsiębiorstw przeniosło już część swojej infrastruktury informatycznej do chmury.

W ten sposób mniejsze firmy, które nie mają dużych budżetów na systemy informatyczne, bez inwestowania w licencje i infrastrukturę mogą korzystać z innowacyjnych rozwiązań. Według badania przeprowadzonego przez Microsoft „SMB Cloud Adoption Study 2011" obecnie firmy mają dostęp średnio do dwóch usług (w przyszłości przeciętnie do 3,3).

Jak wynika z ankiety portalu Computerworld, w Polsce najczęściej wybieranym dostawcą rozwiązań IT w chmurze jest IBM (39,2 proc.). Na pozostałych miejscach znalazły się m.in.: Google (16,7 proc.), Microsoft (16,3 proc.), VMware (10,4 proc.), Amazon.com (9,4 proc.), HP (5,9 proc.).

W modelu chmury kupowane są nie tylko wszelkiego typu aplikacje, ale także elementy infrastruktury takie jak pamięć, przestrzeń dyskowa, platformy do budowy aplikacji oraz do testów.

Infrastruktura własna lub rozproszona

Model usług w chmurze można podzielić na trzy rodzaje. Pierwszy, chmura prywatna, polega na udostępnianiu usług w obrębie własnej infrastruktury. Jeśli firma ma własną serwerownię lub centrum danych, może w obrębie własnej sieci, bez instalowania aplikacji na poszczególnych komputerach, stworzyć dostęp do danych i programów za pomocą przeglądarki.

Drugi model to chmura publiczna, czyli wykorzystywanie ogólnodostępnego Internetu. W tym przypadku dane przetwarzane są w infrastrukturze rozproszonej, nierzadko na serwerach w różnych częściach świata. Trzecia opcja to model mieszany, czyli chmura hybrydowa.

Korzystanie z prywatnej chmury nie stwarza problemów natury prawnej ani związanych z bezpieczeństwem informacji, gdyż wszystkie zasoby firmy pozostają w wewnętrznej sieci. Natomiast w przypadku zakupu usług w chmurze publicznej trzeba zadbać o bezpieczeństwo danych oraz o zgodność umowy z przepisami prawa.

Ochrona danych osobowych

Umowy na dostarczanie usług w chmurze są standardowe, dopasowane do usługi, a nie do konkretnego klienta. W związku z tym ich elastyczność jest niewielka. W zasadzie tylko duże firmy mogą negocjować warunki. Dlatego umowy należy zawierać ostrożnie. Najlepiej przeanalizować je razem z prawnikiem.

Najwięcej ograniczeń prawnych związanych jest z ustawowym obowiązkiem ochrony danych osobowych. Jak czytamy w raporcie „Cloud Computing i jego aspekty prawne" z 2011 r., autorstwa Stefana Cieśli, Thomasa Helbinga i Pawła Skowrońskiego, szczegółowe kwestie dotyczące danych osobowych reguluje ustawa o ochronie danych osobowych z 1997 r., zgodna z wytycznymi unijnej dyrektywy 95/46/EC. Dyrektywa obowiązuje w UE. Sprawy komplikują się w przypadku przekazywania danych do centrów zlokalizowanych poza Europejskim Obszarem Gospodarczym. Można tam dane przekazać, ale kraj docelowy musi gwarantować ich ochronę na co najmniej takim poziomie jak w Polsce.

Spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów (np. USA, Argentyna, Kanada, Szwajcaria) zostało potwierdzone decyzją Komisji Europejskiej. Poza tym przekazywanie danych osobowych do państw trzecich jest usprawiedliwione np. wtedy, gdy wykonywana jest umowa zawarta w interesie osoby, której dane dotyczą; gdy zgodę wyraził generalny inspektor ochrony danych osobowych; gdy istnieje pisemna zgoda osoby, której dane dotyczą.

Restrykcje nałożone przez dyrektywę nr 95/46/EC, związane z transferem danych poza obszar Unii, są obecnie jedną z największych barier hamujących rozwój cloud computing w Europie. Kwestia przetwarzania innych danych niż osobowe nie jest bezpośrednio regulowana przez prawo. Informacje stanowiące tajemnicę przedsiębiorstwa są chronione ustawą o zwalczaniu nieuczciwej konkurencji.

Kto rozsądzi spory

Drugim ważnym problemem prawnym jest wybór właściwego prawa oraz jurysdykcji. W większości międzynarodowych kontraktów dotyczących usług w chmurze można znaleźć klauzule wyboru forum prawa, ale zazwyczaj wybierane są sądy i prawo właściwe dla siedziby odbiorcy. Sprawy tej nie wolno bagatelizować, gdyż procesy międzynarodowe wiążą się z ogromnymi kosztami.

Wybór jurysdykcji i prawa właściwego jest regulowany przez wiele konwencji i aktów prawnych. W Polsce najważniejsze są rozporządzenia UE: rozporządzenie nr 44/2001 („Bruksela I"), jeśli chodzi o jurysdykcję; rozporządzenie nr 593/2008 („Rzym I") w sprawie wyboru prawa właściwego. Obie regulacje dotyczą podmiotów mających siedzibę w UE. W Norwegii, Szwecji, Islandii problem ten reguluje konwencja z Lugano z 1986 r. Jeśli umowa jest zawierana z firmami z innych państw, przepisy polskiego kodeksu postępowania cywilnego (art. 1104) zezwalają na wybór jurysdykcji innej niż polska.

Gdy przynajmniej jedna ze stron nie ma siedziby w UE, stosuje się przepisy polskiej ustawy – Prawo międzynarodowe prywatne z 1965 r. Artykuł 25 ust. 1 zezwala na dokonanie wyboru prawa właściwego, natomiast art. 27 ust. 1 pkt 2 stanowi, że jeśli strony nie dokonały wyboru prawa, właściwym jest prawo państwa, w którym siedzibę ma dostawca usług.

Kontrowersje wywołują też umowy licencyjne. Prawo zakłada, że program zainstalowany w chmurze nie wkracza w domenę umów licencyjnych, jeśli nie jest powielany na komputerze odbiorcy. Jeśli taka instalacja jest konieczna, potrzebna jest umowa licencyjna z dostawcą. Jak tłumaczy radca prawny Stefan Cieśla, stwierdzenie, czy korzystanie z wynajmu oprogramowania odbywa się na podstawie udzielonej licencji, jest istotne z podatkowego punktu widzenia. Zakup licencji tworzy „wartości niematerialne" w firmie i wydatek taki nie jest wliczany w koszty działania przedsiębiorstwa.

Bezpieczniej ze standardami

Bardzo ważne jest bezpieczeństwo usług IT w chmurze. Standardowe umowy z dostarczycielami rozwiązań, niestety, mgliście określają poziom bezpieczeństwa. Dlatego należy szukać konkretów.

Warto sprawdzić np., czy dane będą szyfrowane za pomocą protokołu SSL. Trzeba zapytać o firewalle, częstotliwość wykonywania kopii zapasowych, miejsce, gdzie będą przechowywane dane, zasady udostępniania ich odbiorcy. Jest to ważne, ponieważ klient nie wie dokładnie, gdzie dane się znajdują, a także z kim będzie dzielić zasoby. Może to być przestępca, który także postanowił skorzystać z usług w chmurze (Dancho Danchev, bloger z serwisu ZdNet, nazywa to zjawisko Cybecrime-as-a-Service, czyli cyberprzestępstwo jako usługa).

Gwarancję odpowiedniego poziomu bezpieczeństwa dają atestowane centra danych. Wdrożone w nich standardy są również doskonałą rekomendacją dla dostawców.

Obecnie standardami związanymi z certyfikacją usług w chmurze są: Standard SAS70 wydawany przez Amerykański Instytut Biegłych Rewidentów AICPA (American Institute of Certified Public Accountants), w USA zastępowany standardem SSAE16; drugi to standard ISAE 3000 wydany przez IAASB (The International Auditing and Assurance Standards Bard). W Polsce najczęściej wykorzystywany jest SAS70 i od 2011 roku ISAE3402.

– Decydując się na model cloud computing, warto zwrócić uwagę, czy dostawca posiada certyfikaty, ponieważ świadczą one o jego wiarygodności i dostosowaniu do standardów unijnych – mówi Agnieszka Zarzycka z Microsoft Dynamics.

Standard SAS70 dotyczy m.in. kontroli wewnętrznej, zarządzania ryzykiem, mechaniz- mów kontrolnych oraz zakresu świadczonych usług.

Opinie

Michał Kuratczyk

,

Oracle Polska

Model korzystania z usług IT w chmurze jest szczególnie korzystny dla małych i średnich przedsiębiorstw. Przede wszystkim firmy te mogą uniknąć kosztów początkowych i często drogiego wdrożenia systemu CRM/ERP. Przyczyną dosyć powolnej akceptacji takich rozwiązań w kluczowych obszarach działalności przedsiębiorstwa są jednak obawy przed udostępnianiem wrażliwych danych. Mają one uzasadnienie. Dostawca usługi może dokładać wszelkich starań, by dane były bezpieczne, ale korzystający nie wie, kto tak naprawdę ma do nich dostęp. Co więcej, regulacje dotyczące danych niejawnych czy wrażliwych powodują, że kluczowe systemy w dużych przedsiębiorstwach muszą być nadal utrzymywane wewnątrz firmy. Użytkownik może zmniejszyć te zagrożenia, jeśli sam zadba o bezpieczeństwo danych. Jednak w efekcie i tak te dane przekazuje. Musi więc polegać na dostawcy usługi, przyjąć, że ten właściwie je zabezpieczy i nie nadużyje zaufania.

Agnieszka Zarzycka

,