saas, asp og cloud aftaler
TRANSCRIPT
SaaS & ASP & Cloud Computing
Internet Week 2016
13. maj 2016
Advokat Peter Lind Nielsen
ASP/SaaS
● Application Service Provider eller Software as a Service− ”Udlejer” af standardsoftware eller standardløsninger
− Ligner outsourcing/facility management eller hostingaftaler - en abonnementsaftale
− Leverandør, der stiller (ofte) standardsoftware til rådighed for kunder, der via netforbindelse kan afvikle softwaren, herunder behandle egne data, beliggende på leverandørens system
(Mainframe, "tynde" klienter)
Side 2
Cloud?
= Dine data ligger på en andens computer!
Problem? Hvor er den?
Side 3
Typer af "cloud computing"
Customer
Boundary
Software as a
Service (SaaS)
Platform as a
Service (PaaS)
Infrastructure
as a Service
(IaaS)
Internal
External
Application Application Application
Platform Platform Platform
Infrastructure Infrastructure Infrastructure
SaaS (ASP)Software as a ServiceIaaS + PaaS +
brugerprogrammel – kunden tilgår programmel fra webbrowser
PaaSPlatform as a ServiceIaaS + grundlæggende
service fx backup, basisprogrammel
IaaSInfrastructure as a
ServiceNetværk,
computerkraft, lagerplads
Det kan være private clouds, public clouds eller restrictedcommunityclouds.
this market is)DSide 4
Store spillere= ufravigelige standardaftaler
● Juridisk rådgivning
− Standardbetingelserne kan sjældent individuelt forhandles!
− Vurder overholdelse af lovgivning
− Risk Management og forklaring af risici og evt. forslag til afdækning og minimering inden for leverandørens "system"
Side 5
Standardaftaler
● Ingen standardkontrakter på området
● Inspiration fra
− Outsourcing/facility management
− Vedligeholdelses- og driftsstøtteaftaler
− Abonnementsaftaler
● Norsk IKT-aftale
− Det væsentlige ligger i bilag
− Mange huller
Side 6
Fordele
● Leverandøren står for installation, drift og vedligeholdelse af platform/softwaren
● Brugeren skal blot betjene systemet –"abonnementsordning" – via webinterface
● Alle omkostninger til drift m.v. sker efter en fast (?) pris, der let kan indgå i budgettet, og der kommer ingen "grimme" overraskelser
● Ingen teknisk viden hos kunden
Side 7
Ulemper
● Mister indflydelse
● Mister rådigheden
● Er afhængig af én leverandør
● Risikomomenter som fx internettet og netværksnedbrud, samt leverandørens økonomiske situation og konkurs
− ”Gidselsituation”!
● Ofte kun en standardløsning
● Lock-in situation - dataformater
● Skal fortsat have udstyr og behov for teknisk hjælp til intranet og eget udstyr
Side 8
Kundens overvejelser inden ASP/SaaS
● Man mister et system og råderetten – man er "lejer"
● Egne omkostninger med nuværende ordning/system
● Omkostninger ved ASP/SaaS - hvad er navnlig ikke dækket
− Køb ctr. ”leje”
● Er der nogen reel risiko, eller er risikoen højere end ved eget system, fx ved
backup og nedbrud
● Kan man leve med standardløsninger
● Undersøgelse af ASP/SaaS-leverandører
− Besøg på ”pladsen”
− ASP-leverandørens størrelse, fx antal ansatte og økonomi
− Antal kunder og typer af kunder
− Er leverandøren afhængig af mange underleverandører
− Er det leverandørens eget udviklet softwareSide 9
Hvad leveres der
● Hvad stiller leverandøren til rådighed− Server - kapacitet
− Platform
− Software versionsnr./moduler
• Krav til funktionalitet - eventuel kravspecifikation
• Kommunikationsudstyr
− Hardware i øvrigt, fx backup, spejling
− Support
− Totalleverandør?
● Skal leverandøren levere software/hardware til kunden− Hvad er så minimumskravene til kundens system
Side 10
Etablering
● Klar ansvarsfordeling med hvem, der anskaffer hvad
● Hvilke aftaler skal kunden indgå med tredjemand
− Hotlineaftaler, internetforbindelse, router etc.
● Overtagelsesprøve (a la K01)
● Driftsprøve (a la K01)
● Ofte blot opsætning – kør!
Side 11
SLA I
● Service Level Agreement
− Opdatering og fejlrettelser ved softwaren
• Ret/pligt til opdatering
• Forholdet til specialtilretninger –ofte ingen!
− Vedligeholdelse hvornår – "servicevinduer"
− Driftseffektivitet og svartider
• Målepunkter og metoder
− Løbende overvågning 24 x (7) x 365
− Reaktionstider
− Backup/reetablering
Side 12
SLA II
● Hotline og support− Bemanding og åbningstid
● Ingen "garanti" uden sanktion!
− Bod/bonus/afslag i vederlaget
− Ofte lav pris derfor få eller ingen bodsbelagte forhold
− Ophævelse sjældent en hensigtsmæssig sanktion – men den eneste
− Minimum hurtig opsigelse hvis misligholdelse
● Månedlig afrapportering af problemer, herunder nedetid m.v.
− Gennemsigtighed for kunden – hvad leveres?
Side 13
Priser I
● Etableringsudgifter
● Vederlaget pr. måned/kvartal/år - forud/bagud
− Pr. bruger
− Pr. tid på systemet
− Pr. behandlet datamængde
− Fast pris pr. applikation
● Beregningsmatrix - eksempler
Side 14
Priser II
● Ændring af vederlaget
− Løbende regulering ved uændrede forhold
− Ændring i ydelsen, fx flere brugere, flere applikationer m.v.
− Ændring af licenspriser fra tredjemand – fx SPLA-aftaler
● Hvad er omfattet af vederlaget
− Hotline/support
− Opdateringer
− Kommunikation
Side 15
Sikkerhed I
● Datasikkerhed ved opbevaring og kommunikation− Krav i persondataloven
• Ansvarlig for at databehandler (ASP/SaaS leverandøren) overholder reglerne
• Skriftlig aftale mellem dataansvarlig og databehandler
– Se EU’s standardaftale
− Anden lovgivning, fx bogføringsloven, outsourcingsbekg., krigsreglen
− Kryptering af transmission
− SaaS/Cloud-computing – hvor bliver data’ene opbevaret?
• Hvem har adgang til de data
• Uden for EU – PAS PÅ!!!
• Lokationsgaranti og afskærmning mod tilgang fra 3.lande
• EU-standardbehandleraftale
− Pas på underdatabehandlere!
• Support og vedligeholdelse – også databehandlere!
Side 16
Sikkerhed II
● Backup
− Hvor tit – og tid på døgnet (CET?)
− Bånd, redundante servermiljøer… hvad består backuppen af
− Frist for reetablering (ansvarsfraskrivelse)
− Løbende test af reetablering
− Opbevaring af sikkerhedskopier
− Backup hos tredjemand
• ”Deponeringsaftale” hvis leverandøren er i misligholdelse
Side 17
Sikkerhed III
● Firewall
● Virusscanning m.v.
● Strømforsyning/UPS
● Passwords, krav til længde, ændring osv.
● "Egen server" eller "deleserver"/virtuel server
− Fysisk adskillelse til andres data
− Identificérbarhed for kundens data
Side 18
Sikkerhed IV
● Katastrofeplan− Strømsvigt, ild, oversvømmelse, virus m.v.
− Mulighed for replikering på servere på andre lokaliteter
− Eskaleringsprocedure
− Reaktionstid
− Løbende afprøvning
● Kundens ret til kontrol af leverandørens sikkerhedsrutiner
● Evt. krav om revisorerklæringer vedr. sikkerhed− SAS 70, ISO 27001 eller ISAE 3402
Side 19
Eksempel
● Odense Kommunes mulige brug af Google Apps
● Udtalelse fra Datatilsynet
● ……det bliver svært
● http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/udtalelse-i-forbindelse-med-anmeldelse-af-google-apps-online-kontorpakke-med-kalender-og-dokument/?no_cache=1&cHash=bb7c0cc5dc
Side 20
● I givet fald må som minimum følgende belyses:
● om Odense Kommune har foretaget en risikovurdering og udfaldet af denne,
● Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification,
● hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf. persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7,
● om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-land eller i et tredjeland3, og
● såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i persondatalovens § 27,
● hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte datamedier
− Herunder hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling,
● om al behandling af fortrolige personoplysninger vil ske i krypteret form,
● hvilke procedurer der vil blive anvendt ved tildeling af autorisationer,
− herunder hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang,
● om adgangskoder vil blive sendt via det åbne internet,
● om en bruger vil kunne vælge, at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang,
● hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt
● hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget.
Side 21
Microsoft 365
● Udtalelse fra Datatilsynet
− Sikkerhedsanalyse og vurderinger
− Databehandleraftale
• Underdatabehandler
− Ret til fysisk kontrol
− Logning
− Revisionserklæringer
Side 22
Leverandørens ansvar I
● Hvad har leverandøren ansvaret for
− Til egen "hoveddør"
− Til kundens "hoveddør"
− Til kundens skærm
● Ansvarsfraskrivelser
− Ofte meget omfattende
− For underleverandører
• Applikationsleverandør
• Hosting-/driftsleverandør - underdatabehandler
− Tab af data - pligt til reetablering
− Virus, hacking, strømudfald?
− Hvad skal være force majeure?
Side 23
Leverandørens ansvar II
● Ansvar for standardsoftware
− Reaktionspligt og opfølgning over for producenten
− Afslag for mangelfuld ydelse
− Begrænsninger i ansvaret ved fejl og mangler ved
standardsoftware
Side 24
Ændringshåndtering
● Udvidelser/indskrænkninger i servicen− Flere typer af software/moduler - optioner
− Datamængde, antal brugere m.v., moduler
− Hvordan beregnes vederlaget ved ændringer
− Frister for ændringer
− Hvem kan kræve hvilke ændringer
− Nemt at skrue op – men hvad med reduktion
● Sikring af funktionalitet og service
Side 25
Sanktioner ved ændringer
● Kunden bør altid have en mulighed for at opsige aftalen, inden en væsentlig ændring træder i kraft medmindre:
− Objektive og aftalte mekanismer
• Forbrugsafregning og nettoprisindeksregulering
• Uvæsentlige ændringer
Side 26
Kundens data
● Kundens data er kundens ejendom
● Bør sikre, at der ikke er tilbageholdelsesret i data
● Kan de identificeres, fx til brug for en fogedretssag
● Løbende udlevering?
● Dokumentation for systemet− Software, versioner, opdateringer m.v.
− Dokumentation for opsætning og tilretninger
• Ofte kan kunden ikke få konfigurations- og driftsdokumentation
− Mulighed for at flytte til anden leverandør
• Ofte kan kunden kun tage egne data med
● Katastrofescenarie - afprøvning
Side 27
Immaterielle rettigheder
● Forholdet til standardsoftwareproducenten
− Må der laves ASP i henhold til licensbetingelserne
• Fx Microsoft Services Provider License Agreement (SPLA)
− Er løsningen i overensstemmelse med licensbetingelserne
− Ansvarsfraskrivelser fra leverandøren
− Hvem indgås aftalen egentlig med
● Vanhjemmel og kundens sanktioner ved krænkelse af tredjemandsrettigheder
● Mulighed for overtagelse af licenser m.v. ved ophør af aftalen?
Side 28
Misligholdelse
● Kunden− Manglende betaling - frister og påkrav
− Leverandørens mulighed for at stoppe ydelser/tilbageholdsret
− Krav om sikkerhedsstillelse
● Leverandøren− Konkretisering af misligholdelsen
• Manglende overholdelse af SLA
− Økonomiske vanskeligheder fx ved udlæg, konkurs, rekonstruktionsforhandlinger mm.
Side 29
Opsigelse
● Uopsigelighedsperiode● Varsel● Begrænsninger i retten til at opsige● Delvis opsigelse● Ophævelse
− Frist for afhjælpning - knyttet til SLA og performance og ikke bare fx 14 dages afhjælpningsret
− Fastlæggelse af kompensation ved leverandørens misligholdelse
Side 30
Ophør - tilbagelevering
● Udlevering af data og dokumentation− Hvilke data
• Programmer?• Dokumentation? • Ændringer/tilpasninger – konfigurationsoplysninger m.v.
− Datamedie og format− Tidsfrister− Afgivelse af øvrige oplysninger
− Pligt for leverandøren til at medvirke eventuelt mod betaling
- Forskel mellem ophævelse og opsigelse
• Fx sikkerhedsstillelse ved ophævelse som følge af kundens misligholdelse
Side 31
Væsentlige forhold - tjekliste
● Priser og prissammensætning
● Opsigelse
− Frister, uopsigelighed, cyklusser
● Betingelse af indgåelse af andre aftaler
− Licensaftaler
− Teleaftaler
● Leverandørens ændring af
− Ydelser
− Vilkår
− Priser
− Varsel – ændringsvarsel <> opsigelsesvarsel
● Sikkerhed
− Backup – opbevaring, hvor tit
− Kryptering
− Firewall
− Overholdelse af standarder DS484, ISO - revisionserklæring
Side 32
● Sikkerhed
− Backup – opbevaring og hvor tit
− Disaster recovery
− Data placering
− Adskillelse fra andre kunder
− Password krav og styring
− Kryptering
− Firewall
− Overholdelse af standarder DS484, ISO m.fl.
• Revisionserklæring
• Eller anden form for kontrol
● Kan vi opfylde loven?
− Persondata, bogføringslov osv.
Side 33
● Support
● Servicemål
− Reaktionstider, frister for fejlretning, oppetid
● Kundens misligholdelse – sanktioner
− Tilbageholdsret i data/applikationer
− Stoppe ydelserne uden påkrav
− Ophævelse
● Leverandørens misligholdelse
− Garantier uden sanktioner?
− Afslag/bod
− Hæve
− Opsigelse – evt. forkortet varsel
− Erstatningsbegrænsning
● Konkurs
− Kan data identificeres
Side 34
● Opsigelse/ophør
● Placering af data
● Underleverandører
● Kundens adgang til data
− Mulighed for at kunden kan tage backup
− Formater – evt. åbne/standardformater
− Ved ophør hvad så?
− Worst case – totalt nedbrud?
● Overdragelse
● Lovvalg og værneting
Side 35