ПО СЛОВАМ АЛЕКСЫ БОНА, в договорах слишком часто ссылаются на «соответствие отраслевым стандартам», которые на самом деле никогда и никем не определялись Источник: Gartner |
Большинство людей, занимающихся закупками ИТ, не удовлетворены тем, как поставщики программного обеспечения, предлагаемого в качестве сервиса (Software as a Service, SaaS), определяют в договорах вопросы, связанные с безопасностью. По мнению аналитиков Gartner, такая ситуация будет сохраняться по крайней мере до 2015 года.
«В договорах о предоставлении услуг SaaS вопросам безопасности уделяется слишком мало внимания, — указывают в своем отчете аналитики Gartner Джей Хайзер и Алекса Бона. — Обычно в разделе, посвященном безопасности, присутствуют лишь общие фразы о том, что поставщик будет прилагать разумные с коммерческой точки зрения усилия для поддержания безопасности». Часто говорят также о «соответствии отраслевым стандартам», которые на самом деле никогда и никем не определялись.
Поставщики сервисов SaaS зачастую присваивают себе право менять требования к безопасности по своему усмотрению, избегая конкретики.
В Gartner проанализировали более 100 типовых договоров о предоставлении сервисов и соглашений об уровне обслуживания (Service Level Agreement, SLA), в результате чего выяснилось, что провайдеры предпочитают использовать крайне расплывчатые формулировки.
«За выполнение этих неопределенных соглашений провайдеров сервисов, как правило, не несут никакой финансовой ответственности, — говорится в отчете. — Таким образом, даже если выяснится, что они не соблюдали взятые на себя обязательства, клиент все равно не получит никакого возмещения».
Набор стандартов, призванных повысить прозрачность сервисов, постепенно совершенствуется, но пока не может считаться достаточно зрелым.
В настоящее время, например, нет какого-то общего мнения о том, что должны включать в себя SLA. Как правило, в них указывается допустимое время простоя и скорость реакции на обращения. Что касается других параметров, в частности сроков восстановления работоспособности, каких-либо общих для отрасли стандартов здесь не существует.
Перед подписанием SLA клиенты должны включить в них пункты, регламентирующие периодический аудит обеспечиваемой поставщиком услуг безопасности, тестирование системы на уязвимость, проверку административного персонала и классификацию инцидентов, связанных с безопасностью и отказом в обслуживании, с определением требований и выделением соответствующих уровней.
Клиенты должны потребовать от провайдеров сервисов предоставления им определенных гарантий, несоблюдение которых влекло бы за собой финансовую ответственность.
«Почти в любом договоре присутствует пункт о форс-мажоре, в соответствии с которым провайдер освобождается от ответственности в случае возникновения обстоятельств непреодолимой силы, — указывается в отчете. — Если отказ в обслуживании одновременно затронул 1000 клиентов, каждый из которых потребовал компенсацию в размере 2 млн долл., общая сумма выплат должна составить 2 млрд долл. Поинтересуйтесь у провайдера сервисов, каков размер его совокупной финансовой ответственности перед всеми клиентами и потребуйте доказательств ее адекватного обеспечения».
Рекомендации Gartner являются отражением споров, продолжающихся в отрасли программного обеспечения с тех пор, как сервисы SaaS приобрели массовый характер.
По оценкам Gartner, общие расходы на сервисы SaaS в 2012 году составили 14,5 млрд долл., а к 2015 году они достигнут 22 млрд долл. Эти цифры отражают не только продажи традиционных провайдеров сервисов SaaS, к которым относится, например, компания Salesforce.com, но и поворот разработчиков программного обеспечения, устанавливаемого на территории клиента (в частности, SAP и Oracle), в сторону модели SaaS.
Природа закупок сервисов SaaS тоже меняется. Сегодня поставки все чаще осуществляются на уровне отдельных подразделений (отдела маркетинга или отдела кадров), а не в рамках централизованной ИТ-стратегии. В этих условиях риски, о которых говорится в отчете Gartner, заметно возрастают.