Коментари И Интервюта

4 стъпки при избора на подходящия за вас облак

CIO Media

Теодора Лозанова, Весела Кабатлийска

Динамично развиващите се облачни услуги и все по-широкото им приложение в бизнес средата създават редица практически предизвикателства относно решаването както на технически въпроси, така и на правни и бизнес рискове.

Докато в други сфери на икономиката има ясна регулационна рамка, по отношение на облачните услуги няма създадени специални и конкретни законови правила. Отношенията между доставчици и клиенти на облачни услуги се определят от договорите, сключени между тях и общите разпоредби на различни закони – например нормите, приложими за всички договорни споразумения, изисквания за защита на лични данни и др.

Поради това, всяка страна отговаря за своето участие в подобни отношения и преценява дали и на какви рискове е готова.

А липсата на изрична регулация поражда редица рискове, свързани със сключването и изпълнението на договорите за облачни услуги. Така например, някоя от страните може да се окаже в неизгодни бизнес условия, в несъответствие с общите си задължения за защита на лични данни, или да бъдат застрашени сигурността на информацията, защитата на интелектуалната собственост и др.

Ето защо считаме за важно да изложим някои от основните стъпки, които да следвате при избирането на доставчик на облачни услуги, за да минимизирате или поне да знаете отнапред рисковете, които поемате, и да изберете най-подходящия за вашия бизнес облак.

1.Определете предварително основните си бизнес нужди и цели, свързани с облачните услуги

Независимо от това дали ще изберете да сключите вече изготвен договор за облачни услуги, или ви предстоят преговори по такъв, задължително трябва да направите първоначална оценка на вашите конкретни нужди, изисквания и цели.

 • Определете обхвата на услугите, които са ви необходими.

 • Определете кое законодателство е приложимо за всяка от уговорките ви.

Възможно е доставчикът или вие самите да настоявате приложимо за договора да е правото на друга държава, но имайте предвид, че за определени уговорки винаги остава приложимо българското право, когато вие сте установени на територията на страната. Такъв е случаят с уговорките, касаещи защитата на личните данни.

 • След като сте определили приложимото право, установете какви са задължителните законови процедури, които трябва да спазвате при определяне на съдържанието на договора [1] и рисковете, свързани с неспазването им.

 • Оценете каква ще е реалната парична загуба, която бихте претърпели, ако някой от рисковете се сбъдне – например каква ще е глобата, ако поради липса на изрични уговорки ви глобят за незаконен трансфер на лични данни.

 • Направете оценка на услугите, които ще използвате, по отношение на тяхната значимост за вашия бизнес – кои представляват значим фактор за развитието на бизнеса ви и от кои можете да отстъпите в името на постигане на общо изгодни условия.

Веднъж направили оценка на вашите бизнес нужди, цели и потенциални рискове, ще можете по-лесно да вземете окончателно решение по отношение на вида облак, от който имате нужда (частен, публичен или хибриден), както и да се насочите към конкретен Доставчик.

2.Сравнете различните доставчици на облачни услуги

На пазара на облачни услуги има множество доставчици, които се опитват да отговорят на динамично развиващите се технологии и на нуждите на клиентите. Често обаче конкурентно ниската цена е за сметка на поемането на отговорност от доставчика и възможността му да ви осигури предпазване от бизнес и правни рискове в по-евтиния облак.

Ето защо, след като сте направили предварителна оценка на своите потребности, трябва да изберете доставчик, който да отговаря както на ИТ и бизнес нуждите ви, така и да гарантира, че ще бъдат спазвани съответните национални и европейски законови изисквания.

За да направите проверка доколко и дали горното е възможно, следва да проверите в детайли избраните от вас доставчици, като намерите отговорите поне на следните въпроси:

 • Дали доставката на облачни услуги е основен бизнес на доставчика и от колко време предлага тези услуги;

 • Какви са финансовото състояние и репутацията на доставчика;

 • В коя държава е установен доставчикът и дали инфраструктурата му се намира в Европейския съюз (ЕС);

 • В коя държава ще се съхранява физически вашата информация;

 • Доставчикът използва ли подизпълнители в коя държава са установени те;

 • Как ще се събира, обработва и съхранява информацията, предоставена от Клиента и неговите клиенти;

 • Ще поеме ли отговорност доставчикът да изтрие вашата информация без възможност за последващо възпроизвеждане след прекратяване на договора ви.

Отговорите на тези въпроси ще ви помогнат да изключите доставчиците, които не са подходящи за вашите бизнес цели. От друга страна, ще стане ясно и кои от тях и доколко могат да ви осигурят спазване на законовите изисквания, приложими към дейността ви.

3.Подгответе подходящия договор

Имайки ясна представа за вашите нужди и кои са потенциалните доставчици, които могат да отговорят на тези нужди, може да пристъпите към конкретни преговори и сключване на договор с доставчик.

Тук, обаче, трябва да се вземе предвид разликата между малките и средни предприятия и големите предприятия. Малките и средни предприятия по-често избират по-конкурентни цени, които вървят ръка за ръка с уеднаквени договори за облачни услуги, предлагани от доставчиците, които не подлежат на предоговаряне. Големите предприятия, от своя страна, могат да си позволят да преговарят договорни клаузи, създадени спрямо нуждите и желанията им.

Към която и група да спадате, трябва да се обърнете специално внимание на следите договорни разпоредби при избор на доставчик:

 • Защита на личните данни

По правило Клиентът е администратор на лични данни и като такъв по закон е длъжен да спазва всички правила за осигуряване необходимата защита на личните данни, които е получил. Поради това е длъжен в изрични договорни клаузи да определи редица условия, например с каква цел възлага на доставчика да обработва предоставените данни и какви правила трябва последният да следва за тяхната защита.

В допълнение, когато сървърите на доставчика са локирани извън България, страните осъществяват международен трансфер, за който клиентът трябва да отговори на редица изисквания, което е невъзможно без съдействието (включително на ниво договаряне на съдържанието на договора) на доставчика.

"Според новият Регламент (ЕС) 2016/679, от 2018 г. глобите за несъответствие с изискванията за защита на личните данни ще достигат милиони евро. Въпросът, който остава, е кое от двете можете да си позволите – глоба или подходящ доставчик?" 

Поради това и клиентът е особено уязвим, когато му е отнета възможността да преговаря, каквито са например случаите на прилагане на наложени от доставчика общи условия.

Ето защо от особена важност е да изберете доставчик, който има яснота относно защита на личните данни в ЕС и ви съдейства да отговорите на всички законови изисквания в тази връзка. Допълнителен „стимул“ за подобен избор дава и новият Регламент (ЕС) 2016/679, според който от 2018 г. максималният размер глобите за несъответствие ще достигне десетки милиони евро. Въпросът, който остава, е кое от двете можете да си позволите – глоба или подходящ доставчик?

 • Права върху интелектуалната собственост

Често в облака се съхранява интелектуална собственост, особено при IaaS и PaaS, включително и такава, създадена при използването на инфраструктурата на облака. В тези случаи е важно в договора ясно да са определени правата на интелектуална собственост – както тези на клиента, така и тези на доставчика.

В доклада си от март 2015 г. „Comparative study on cloud computing contracts“, Европейската комисия дава изрична препоръка на потребителите на облачни услуги задължително да включват в договорите клауза за конфиденциалност, която да защитава интересите на страните в областта на интелектуалната собственост.

 • Отговорност на страните по договора

Често доставчиците изключват напълно своята отговорност, например, при невъзможност за предоставяне на услугата, при неправомерен достъп до информацията, съхранявана в облака, при нарушаване на различни законови разпоредби.

От изключителна важност е да направите оценка на риска с оглед на клаузите за отговорност, включени в договора, като прецените най-малко:

 • дали те покриват големите за вас рискове и до каква степен;

 • дали Доставчикът е ограничил отговорността си и доколко приложимото законодателство позволява това.

 • Защита и сигурност на информацията

Изберете доставчик, който притежава техническа и организационна структура, която предоставя достатъчна защита на предоставяната от вас информация и която отговаря на законовите изисквания за сигурност на информацията, когато тази информация попада под специална регулационна рамка.

 • Достъп до съхраняваната информация от страна на правоприлагащите органи

Във всяка държава има различни ограничения и изисквания за достъпа до информация от страна на компетентните органи. Обърнете внимание в коя държава ще бъде съхранява вашата информация и доколко законите на тази държава позволяват свободен или поне незадължително аргументиран достъп на държавни органи и власти. Това особено важи за държави със засилено авторитарно управление.

 • Право на едностранно изменяне на договора

Обърнете внимание дали в договора за предоставяне на облачни услуги има клауза, която позволява на доставчика ви едностранно да изменя условията по договора. Ако подобна клауза съществува, въпросът е заслужават ли си несигурността и непредвидеността, в която може да се озовете.

4.Подгответе изходна стратегия

Преди да сключите договор с доставчик, подгответе вашата изходна стратегия, в случай че решите да преустановите използването на услугата. Това е толкова важно, колкото и самото използване на облака.

Поинтересувайте се дали доставчикът може да експортира информацията от облака лесно, дали това ще ви струва допълнителни разходи, ще може ли да ви предостави информацията криптирана, дали предоставянето на информацията зависи от начина на прекратяване на договора (напр. при неизпълнение от ваша страна) и др.

Имайте предвид, че според проучване на Европейската комисия, в законодателствата на държавите членки на ЕС няма задължение за връщане на клиента на информацията, съхранявана на облака, след прекратяване на договора за облачни услуги. Въпреки че част от теорията приема, че това е право на клиента, в договора трябва да бъде ясно записано (i) чия собственост е информацията, съхранявана в облака и (ii) какво се случва с нея след прекратяване на договора.

Епилог

Задълбоченият анализ при всяка стъпка от избора на доставчик е от изключително значение както с оглед минимизиране на рисковете, така и предвид високия размер на санкциите, които могат да бъдат налагани при нарушение на съответните нормативни разпоредби.

Разгледаните въпроси са основен, но неизчерпателен списък, който може да ви помогне при избора на подходящ доставчик. В зависимост от естеството на бизнеса ви, често се установяват нетипични за всички, но изключително важни въпроси, чиито анализ може да се окаже ключов за взимане на решение за избор на доставчик.

От друга страна, тъй като облачните услуги се предоставят по интернет, често е трудно да добиете добра представа за съответния доставчик, преди да сте приели да използвате съответната услуга. Освен това, много от доставчиците представляват безлични организации, които работят на базата на сложни ticket-системи и не предоставят възможност за промяна на условията за използване на предоставяните от тях услуги. В тези случаи е необходимо винаги да се прави оценка на риска, отчитайки значимостта на информацията, която ще се обработва, и репутацията на съответния доставчик.


[1] Например задълженията за осигуряване на определени уговорки и съответствие във връзка с трансфер на лични данни, когато клиентът е администратор, регистриран в Република България – вж. CIO 9/2015 “Известни и неизвестни правни рискове в облака” http://cio.bg/7461


X