《企業(yè)網(wǎng)D1Net》10月9日訊
在購買云計算服務時,有九種使用的方法可以用來管理你的業(yè)務以及法律風險,確保你能成功的采納這種新興的計算模式。
這些建議由法律專家、盛智律師事務所合伙人Riaz Karamali在舊金山云博覽會上提供。
Karamali先生的第一個建議是,如果點擊條款不能充分滿足你的需求,寫個原始云合同給“你的商業(yè)現(xiàn)實中的因素,法規(guī)遵循需求及期望”是確保你的獨特需求被滿足的最好方法。
雖然云服務供應商通常提供一刀切的條款,要確保用盡一切方法來減輕你的風險。
以下的清單是九條使用建議,能夠幫助你做到這些。
1.性能
服務水平協(xié)議通常包括正常運行時間、服務可用性,甚至交付的準確性和品質。緊急情況、日常維護和不可抗力事件如老天的行為是例外。補救措施通常包括服務信用。但是根據(jù)服務或數(shù)據(jù)損失及其對你業(yè)務的影響,實際損失可能是更好的選擇。請求根源分析可以幫助確定和防止未來的違反。而終止權需要包括在最后補救之內。
2.數(shù)據(jù)安全
條款應該考慮外部攻擊,惡意內部人士和人為錯誤。有時候一個來自心懷不滿的雇員的破壞可能比一個外部攻擊更惡劣,這需要被考慮在內。
3.數(shù)據(jù)隱私
你應該考慮數(shù)據(jù)的性質以及它在哪里被收集、存儲和處理,相對于你的特定需求和合規(guī)需求。了解那條法律法規(guī)管制你的數(shù)據(jù)隱私、供應商的義務是什么,也同樣重要。法律控制數(shù)據(jù)隱私的例子包括:
在美國:電子通信隱私法(ECPA),健康信息隱私(HIPAA)和高科技法案,金融服務現(xiàn)代化法案,F(xiàn)TC法案,狀態(tài)數(shù)據(jù)違反通知法。
在歐盟:歐盟數(shù)據(jù)保護條例
4.不可抗力和災難計劃
不可抗力是指“在事件當事人控制之外,如自然災害或戰(zhàn)爭,導致一方不能履行合同規(guī)定的義務”。不可抗力事件可被作為不履行義務的借口,因此在你的云合同中應該被仔細定義和處理這樣的條款。每個云服務供應商都應該有一個災難恢復計劃,一旦發(fā)生可預見的不可抗力事件,作為臨時應急計劃。但是很少有任何“保證”。
5.互操作性
在為同一服務向多個云供應商采購時,確保你的供應商將能夠一起工作。別忘了覆蓋終止數(shù)據(jù)傳輸。在沒有統(tǒng)一數(shù)據(jù)標準的情況下,云端之間的數(shù)據(jù)傳輸可以算勞動密集型。確??煽亢图词乖L問你的數(shù)據(jù)并闡明你和你的供應商的責任是最重要的。
6.責任與賠償
責任上的限制會處理責任的類型和量,協(xié)商例外。責任補救必須被具體化,且應要求廠商為客戶的利益支付適當?shù)谋kU。
7.審計權利
合同條款應該包括審計評估計費程序,安全系統(tǒng)和在云服務協(xié)議終生的法律遵從性。供應商通常提供SSAE16審計標準下的服務組織控制(SOC)的2報告。SOC 2報告評估服務供應商對系統(tǒng)安全性、可用性、處理完整性、機密性和隱私性的控制。這是一個好的開始,但是往往為允許客戶或其代表進行檢查的額外審計權利所做的協(xié)商相當重要。
8.長期問題
當選擇一個云服務供應商時,考慮其穩(wěn)定性、收購的可能性、服務終止和任何其他轉型將影響或結束你的服務關系。
9.知識產(chǎn)權歸屬
在軟件即服務(SaaS)模型中,知識產(chǎn)權的所有權是明確的,供應商擁有應用程序,你擁有你的數(shù)據(jù)但是在其他的云服務類型中,應用程序的定制以及你作為用戶在解決方案中建立的其他貢獻都必須計算在內。
Karamali先生總結說,一個客戶消除所有風險或者在談判中贏得所有點幾乎是不可能的。在所有既定法律點上,客戶需要理解并評估可能的風險,然后做出一個務實的商業(yè)決策。