Umowa SLA. Co powinna zawierać

Coraz więcej rozwiązań informatycznych można kupić jako usługę od zewnętrznego dostawcy, czyli w modelu cloud computing albo inaczej w chmurze. Może to być oprogramowanie, przestrzeń dyskowa i inne elementy infrastruktury IT. Dostęp do nich uzyskuje się przez szerokopasmowe połączenie internetowe.

Według prognoz podanych przez IDC, do 2015 roku ten segment usług będzie rozwijał się w tempie ok. 33 proc. rocznie. Od chmury nie ma więc odwrotu, ale tego typu usługi trzeba kupować z rozmysłem.

Usługi są świadczone na podstawie umowy SLA (Service Level Agreement). W przypadku umów o stosunkowo niedużej wartości, takich jakie zawiera większość małych i średnich firm, SLA są standardowe i nie zawsze podlegają negocjacjom. Dlatego bardzo istotne jest uważne przyjrzenie się dostawcy i zwrócenie uwagi na stosowane przez niego zasady bezpieczeństwa. Utrata danych może drogo kosztować.

Jak wynika z badania przeprowadzonego w 2012 roku przez organizację CompTIA (Computing Technology Industry Association), tylko 29 proc. firm, które już zdecydowały się na skorzystanie z usług w chmurze, dokładnie przeanalizowało podawane przez dostawcę usług zasady dotyczące bezpieczeństwa danych i aplikacji.

Zapytaj o doświadczenie i certyfikaty

Dostawcę usług w chmurze trzeba w miarę możliwości jak najdokładniej sprawdzić. Świadczeniem takich usług zajmują się różne firmy: małe i duże, doświadczone i początkujące. Podstawa to sprawdzenie stabilności finansowej dostawcy, jego wypłacalności i staranna analiza zakreślonych przez niego granic odpowiedzialności.

Należy koniecznie sięgnąć do historii biznesowej dostawcy. Czy zdarzały mu się poważne wpadki, takie jak wyciek danych czy długotrwałe awarie? Od jak dawna dana usługa jest świadczona? Jak wiele firm z niej korzysta i jakie są to firmy? Szczególnie należy przyjrzeć się stosunkowo nowych dostawcom, niemającym silnej pozycji na lokalnym rynku lub nienależącym do dużych, międzynarodowych grup.

Pomocne w weryfikacji dostawcy mogą okazać się posiadane przez nich certyfikaty. MSPAlliance (International Association of Managed Service Providers) opracowała specyfikację Unified Certification Standard for Cloud and Managed Service Providers, definiującą 11 podstawowych warunków, których spełnienie musi być potwierdzone przez niezależny audyt. Jednak u nas nawet znane, duże centra danych nie zawsze decydują się na wystąpienie o taki certyfikat.

33 proc. rocznie ma rosnąć segment usług IT w chmurze

Jeśli chodzi o przykłady z naszego rynku, to ATM SI utrzymuje System Zarządzania jakością potwierdzony certyfikatem na zgodność z normą PN-EN ISO 9001: 2009. Natomiast GTS certyfikuje usługi świadczone w ramach centrum danych w standardzie ISO/IEC 27001 (norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji).

Dane osobowe pod ochroną

Przed wybraniem konkretnej usługi warto sprawdzić, jakiej jurysdykcji podlega dostawca. Małej firmy nie będzie stać na proces na przykład przed amerykańskim sądem.

Dla wielu klientów ogromne znaczenie ma lokalizacja centrum danych. Wielu usługodawców zapisuje informacje w rozproszonych centrach. Jeśli okaże się, że nie są one zlokalizowane w tym samym kraju, może się pojawić problem związany z różnymi regulacjami prawnymi określającymi dostęp i sposób wykorzystania informacji zapisanych w bazie.

– W przypadku przechowywania danych osobowych najlepszym rozwiązaniem jest zawarcie umowy dotyczącej powierzenia przetwarzania takich danych. Mamy wtedy pewność, że usługodawca zabezpieczy dane zgodnie w wymogami ustawy. Jeśli chodzi o pozostałe dane, najważniejsze jest tworzenie kopii bezpieczeństwa. Zapisy o takiej usłudze powinny znaleźć się w umowie. Samo wykonywanie kopii nie zapewnia jeszcze bezpieczeństwa, a jedynie umożliwia odtworzenie danych z tej kopii. W umowie powinna być zagwarantowana możliwość przetestowania takiego procesu – mówi Janusz Figurski z GTS Polska.

Postaw na monitoring

Umowa SLA (Service Level Agreement) zawierana między klientem a dostawcą precyzyjnie określa poziom jakości usług świadczonych w chmurze. Jest ona najważniejszym dokumentem, jaki klient podpisuje decydując się na skorzystanie z oferty.

Najwyższy poziom ochrony użytkownik otrzymuje wtedy, gdy w umowie jest zapis o gwarancji 99,999 proc. określającej czas poprawnego działania usługi. W praktyce oznacza to według wyliczeń dostawców, że usługi będą dostępne przez 525 594 i trzy czwarte minuty z 525 600 minut w roku, a więc w ciągu roku brak dostępu może trwać 5,25 minuty, a w przeliczeniu na dzień – 0,144 minuty. Dłuższa przerwa nigdy nie powinna się zdarzyć, ale gdyby do niej doszło, dostawca usług musi ponosić odpowiedzialność gwarancyjną. I powinno to znaleźć odzwierciedlenie w umowie.

Trzeba również pamiętać, że złożone systemy informatyczne bardzo często są rozpatrywane w rozbiciu na poszczególne moduły lub pojedyncze usługi. – W takim przypadku niezbędne jest przeanalizowanie, czy wszystkie elementy systemu są objęte umowami SLA. Dopiero to daje nam pewność, że cały system będzie funkcjonował w taki sposób, jaki został określony w umowie. – mówi Maciej Sobianek z polskiego oddziału Microsoft.

Usługodawca powinien również zaoferować narzędzia do monitoringu usług. – Standardem są cykliczne raporty z wypełnienia SLA. Dzięki nim klient zyskuje pewność, że opłacane przez niego usługi są świadczone na należytym poziomie. Bardziej transparentni i zaawansowani technologicznie dostawcy oferują także narzędzia do samodzielnego monitoringu. Wtedy usługobiorca ma stały wgląd w kwestie techniczne związane z dostępnością czy mocą obliczeniową – mówi Olgierd Wisiorowski z T-Systems.

Uwaga na dodatkowe koszty

Stały nadzór nad jakością usług sprawia, że gdy zostanie dostrzeżony spadek jakości, usługodawca może zostać zobowiązany do wprowadzenia modyfikacji. Dlatego zadbanie o dostęp do narzędzi monitoringu jest istotne, zwłaszcza przy zawieraniu umów długoterminowych.

– W GTS udostępniamy na życzenie monitoring pracy procesorów, pamięci operacyjnej, prędkości zapisu i odczytu danych. Dzięki temu w przypadku wymagających aplikacji klient może się dowiedzieć, który serwer wymaga większej mocy – mówi Janusz Figurski.

Możliwość negocjacji warunków umowy zależy od wielkości kontraktu. W standardowych, masowych i względnie tanich usługach cloud computing warunki SLA są na ogół sztywno zdefiniowane. Jeśli użytkownik chce je dopasować do własnych wymagań, z reguły oznacza to wzrost ceny.

– Wszelkie negocjacje są związane z efektem skali. Większym firmom bez wątpienia łatwiej pertraktować i dostosowywać ofertę do potrzeb. Dla mniejszych optymalnym rozwiązaniem jest pay-per-use. Sektor MŚP powinien postawić na elastyczność i możliwość korzystania z usług on-demand, zwracając uwagę na prostą zasadę: płacę za to, z czego korzystam – mówi Olgierd Wisiorowski.

Uważne czytanie umowy może uchronić przed dodatkowymi kosztami. Na przykład czasami w umowach znajdują się klauzule, że jeśli pojawi się problem wynikający z błędu użytkownika, to dostawca obciąży go rachunkami za analizę i usunięcie awarii. Innym przykładem jest ograniczenie w umowie ilości przesyłanych danych. Jeśli użytkownik przekroczy podane limity, dodatkowe koszty mogą być znaczne

Małe i średnie firmy zainteresowane chmurą

Źródło: www.computerworld.pl

Powiedzieli  dla „Rz"

Janusz Figurski | GTS Polska

Dobra umowa SLA powinna przede wszystkim zabezpieczać interesy klienta. Musi opierać się na konkretnych cechach usługi. W przypadku usług telekomunikacyjnych jest to na przykład dostępność danej usługi w skali miesiąca lub roku. Kluczowa jest tu sama definicja dostępności. Najczęściej jest to tzw. „widoczność" chmury w Internecie. Negocjowanie warunków umowy SLA w przypadku niedużych kontraktów oraz niewielkich klientów jest praktycznie niemożliwe. Zwłaszcza, jeżeli usługodawca działa wyłącznie w Internecie; wtedy aby uruchomić usługę, trzeba zaakceptować regulamin ze strony internetowej. Szanse na negocjacje istnieją wówczas, gdy usługa jest realizowana przez normalny kanał sprzedaży bezpośredniej. Można wtedy spotkać się z przedstawicielem firmy i przedyskutować umowę, która jest zawierana w formie papierowej. Wydłuża to cały proces, ale pozwala lepiej poznać warunki.

Maciej Sobianek | polski oddział Microsoft

Prawidłowa umowa SLA powinna określać jasne zasady dotyczące czasu jej obowiązywania, monitorowania poziomu usługi, raportowania jej dostępności, publikacji danych umożliwiających analizę osiąganych wyników. W jej treści powinny znaleźć się jasne procedury dotyczące czasu, w jakim klient może przedstawić roszczenia związane z poziomem usług (np. informacje, w jakim okresie i zakresie usługa nie spełniała zapisanych w umowie parametrów). Konieczne są także jasne zapisy definiujące, w jaki sposób klient ma zbierać i dostarczać dowody, aby zostały one uznane przez dostawcę za rzetelne. Nie można zapomnieć także o jednoznacznych zapisach dotyczących ewentualnej rekompensaty dla klienta w razie obniżenia zakładanego w umowie poziomu usług.

Olgierd Wisiorowski | T-Systems