Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Como negociar contrato de computação em nuvem?

Por Juliana Gaidargi em 7/09/2020 em Cloud

A computação em nuvem oferece uma solução atraente para clientes interessados ​​em adquirir infraestrutura sem um grande investimento inicial. Especialmente nos casos em que a demanda de sua empresa possa ser variável e imprevisível. Contudo, a maior flexibilidade de um contrato de computação em nuvem em comparação a um de terceirização tradicional é contrabalanceada por menos certezas para o cliente. Ao menos em termos de localização dos dados colocados na nuvem e bases legais dos contratos.

Por isso é importante compreender os Termos e Condições oferecidos pelos provedores de computação em nuvem. Entretanto, a computação em nuvem tem se destacado por suas tecnologias e serviços que podem ser habilitados ou facilitados por ela.

Questões legais

Justamente por isso, cada vez mais, as questões legais que podem surgir do uso da computação em nuvem vêm ganhando destaque. Uma análise dos Termos e Condições de Serviços atuais revelou pontos interessantes. Muitos provedores de nuvem incluem elementos em seus contratos afirmando ampla isenção de responsabilidade ou de qualquer garantia de que o serviço operará conforme descrito. Além disso, os SLAs muitas vezes excluirá a maioria das causas de uma interrupção do serviço em nuvem e fornecerá apenas soluções na forma de créditos futuros. 

Licenciamento de software tradicional 

No modelo tradicional ou contrato de compra de hardware, o fornecedor instala o software ou equipamento no ambiente do cliente. Ou seja, você pode ter o software ou hardware configurado para atender às suas necessidades comerciais específicas e manter o controle sobre seus dados. Contudo, em um ambiente de computação em nuvem, eles são hospedados pelo provedor. Normalmente isso é feito em um ambiente compartilhado. Ou seja, com muitos clientes por servidor. Portanto, a configuração de software e hardware é muito mais homogênea em todos os clientes. 

Consequentemente, as principais prioridades do cliente mudam de configuração. Elas passam à implementação e aceitação para disponibilidade de serviço, desempenho, segurança e controle de dados. No entanto, como um contrato de licença de software tradicional ou contrato de compra de hardware, cláusulas como seguro, indenização, propriedade intelectual, limitações de responsabilidade e garantias permanecem importantes.

Check-list do contrato de computação em nuvem

Questões a considerar ao redigir e negociar um contrato de computação em nuvem:

  • Disponibilidade do serviço;
  • Níveis de serviço;
  • Dados do cliente: segurança, redundância, propriedade e direitos de uso e conversão;
  • Seguro;
  • Indenização;
  • Propriedade intelectual;
  • Limitação de responsabilidade;
  • Implementação;
  • Honorários;
  • Prazo;
  • Garantias;
  • Publicidade e uso de marcas registradas do cliente;
  • Atribuições;
  • Avaliação contínua do fornecedor pós-execução;
  • Avaliação final de risco.

Disponibilidade do serviço

Uma empresa precisa continuar a operar seus negócios e ter acesso a seus dados o tempo todo. Portanto, deve garantir que possui as proteções contratuais adequadas para lidar com os vários riscos relacionados à disponibilidade do serviço.

Enquanto cliente, você pode ter nenhum ou acesso limitado aos serviços do provedor. Mesmo que estejam apoiando uma função crítica de negócios. Entretanto, em alguns casos, você não terá nenhum acesso aos seus dados armazenados nos sistemas do provedor se o provedor parar de fornecer serviços ao cliente.

Isso pode acontecer devido a:

  • Servidor fora do ar;
  • Falha de um link de telecomunicações;
  • Desastre natural causando danos ao data center do provedor;
  • Retenção de serviços devido a uma disputa de taxas;
  • Falência do provedor.
Níveis de serviço

Níveis de serviço, ou SLAs, adequados são necessários para garantir que a disponibilidade do serviço esteja alinhada às suas expectativas. Portanto, deve ser delineado no contrato de computação em nuvem. Além disso, as soluções apropriadas devem estar disponíveis para garantir que o fornecedor seja incentivado a executar os níveis de serviço acordados. 

Dados do cliente

As disposições adequadas de proteção de dados devem ser incluídas no contrato. Isso inclui uma disposição que especifica explicitamente sua propriedade sobre qualquer informação armazenada pelo provedor. Tal como uma disposição que exige que o provedor execute backups regulares de dados para um instalação de armazenamento no local. Ele também deve lhe entregar cópias periódicas de todos os dados, além de fornecer acesso contínuo a tais dados. 

Recuperação de desastres e continuidade de negócios

Além disso, você deve incluir provisões de recuperação de desastres e continuidade de negócios. Isso pode ser feito exigindo que o provedor demonstre e prometa que pode continuar a disponibilizar os serviços mesmo em caso de desastre, queda de energia ou evento similarmente significativo. No caso de uma interrupção prolongada, a continuidade dos serviços deve ser fornecida por meio de um servidor secundário, centro de dados ou provedor, conforme apropriado.

Entretanto, geralmente, o cliente não solicita essas disposições. Ou, mesmo que o faça, não lê as políticas e procedimentos reais do provedor. Portanto, você deve revisar quaisquer políticas e procedimentos do fornecedor a fim de obter garantia contratual em relação a desastres e continuidade. Confira uma amostra do que você deve pedir ao provedor:

Exemplo:
O Provedor deve manter e implementar procedimentos de recuperação e prevenção de desastres para garantir que os Serviços não sejam interrompidos durante qualquer desastre. Ele também deve fornecer ao Cliente uma cópia de seu plano de recuperação de desastre atual e todas as atualizações durante o Prazo. Todos os requisitos deste Contrato, incluindo aqueles relacionados à segurança, devida diligência de pessoal e treinamento, devem ser aplicados ao local de recuperação de desastre do Provedor.

Retenção de serviços

Em qualquer contrato de computação em nuvem, o cliente deve solicitar uma disposição geral que proíba a retenção de serviços pelo provedor. Ou seja, o provedor não deve reter serviços por causa de uma disputa de taxas. Veja um exemplo de disposição abaixo:

Exemplo:
Desde que o Cliente continue a fazer todos os pagamentos indiscutíveis em tempo hábil, o Provedor garante que, durante a vigência deste Contrato, não reterá os Serviços fornecidos aqui, por qualquer motivo, incluindo, mas não se limitando a, uma disputa entre as partes decorrentes deste Contrato, exceto como possa ser especificamente autorizado aqui.

Falência 

Normalmente, um contrato pode incluir uma disposição que fornece ao cliente o direito de rescindir o Contrato em caso de falência de um provedor. Esta pode incluir uma disposição separada exigindo que o provedor ajude na transição dos serviços para um provedor terceiro. Ou para o próprio cliente, no caso de expiração ou rescisão do Contrato. No entanto, uma vez que o provedor tenha declarado falência, sua capacidade de te ajudar diminuirá.

Portanto, se você não tem certeza da estabilidade financeira de um fornecedor, deve considerar a adição de uma disposição que lhe permita identificar problemas com antecedência. Por exemplo, uma cláusula exigindo que o fornecedor entregue relatórios periódicos sobre sua condição financeira permite que o cliente avalie com antecedência se o fornecedor poderá continuar a fornecer serviços. Ou seja, se você identificar algum problema, terá a oportunidade de tomar as medidas adequadas para minimizar qualquer impacto negativo. Veja abaixo um exemplo de provisão:

Exemplo:
Trimestralmente, durante o Prazo, o Provedor deve fornecer ao Cliente todas as informações razoavelmente solicitadas pelo Cliente para avaliar a força financeira geral e a viabilidade do Provedor, tal como sua capacidade de cumprir integralmente suas obrigações nos termos deste Contrato. No caso de o Cliente concluir que o Provedor não tem os recursos financeiros para executar totalmente conforme exigido aqui, o Cliente pode rescindir este Contrato sem obrigação ou responsabilidade adicional, fornecendo notificação por escrito ao Provedor.

Solução de software interna

No caso de um provedor parar de fornecer serviços de infraestrutura, você pode mudar para outro provedor terceiro com serviços comparáveis. Além disso, você pode comprar o equipamento necessário para substituir os serviços de infraestrutura. No entanto, os serviços de software do provedor podem ser únicos e mais difíceis de substituir. Portanto, para aplicativos críticos fornecidos como um serviço, você deve considerar exigir que o provedor disponibilize ou desenvolva uma solução interna. Confira um exemplo simples de tal disposição a seguir:

Exemplo:
O Cliente pode desejar licenciar do Provedor o software necessário e outra tecnologia (a “Solução Interna”) para fornecer, manter e hospedar diretamente o Software e os Serviços relacionados nas instalações internas do Cliente ou de seus agentes. O cliente pode, a seu critério, optar por licenciar a Solução Interna no final do Prazo Inicial ou de qualquer Prazo de Renovação. Nesse caso, após a transição para a Solução Interna, a parte hospedada dos Serviços será encerrada e as taxas ajustadas de acordo. Nada neste Contrato, no entanto, será considerado ou interpretado como um compromisso por parte do Cliente de implantar a Solução Interna.

Contudo, a inclusão desta disposição depende muito da natureza do software fornecido como serviço. Afinal, quanto mais crítica a aplicação, mais importante é o desenvolvimento de uma solução interna de longo prazo por parte do provedor.

Níveis de serviço

Um dos aspectos mais críticos na elaboração e negociação de um contrato de computação em nuvem é o estabelecimento de níveis de serviço. Especialmente aqueles adequados em relação à disponibilidade e capacidade de resposta dos serviços. Uma vez fora do controle do cliente, os níveis de serviço cumprem dois objetivos principais:

1. Os níveis de serviço garantem ao cliente que ele pode contar com os serviços em seu negócio. Isso, além de fornecer soluções apropriadas se o fornecedor não cumprir os níveis acordados.

2. Os níveis de serviço fornecem benchmarks acordados que facilitam o processo de melhoria contínua da qualidade do fornecedor e incentivos para que este seja diligente na resolução de problemas.

Os problemas de nível de serviço mais comuns que o você deve resolver são:
  • Tempo de atividade;
  • Nível de serviço de tempo de resposta;
  • Visitantes simultâneos;
  • Tempo de resposta do problema e tempo de resolução;
  • Retorno de dados;
  • Soluções.
Nível de serviço de tempo de atividade

O provedor deve fornecer um ambiente estável onde os serviços estejam disponíveis para o cliente pelo menos durante seu horário comercial. Contudo, o ideal é que a disponibilidade seja de 24 horas por dia, 7 dias por semana. Portanto, o provedor deve concordar que os serviços terão um uptime, ou disponibilidade, de um determinado percentual, durante determinadas horas, medido em um período combinado. Um exemplo desse tipo de provisão é:

Exemplo
O Provedor tornará os Serviços Disponíveis continuamente, conforme medido ao longo de cada período de mês calendário, em média 99,99% do tempo, excluindo indisponibilidade como resultado de Exceções, conforme definido abaixo (a “Porcentagem de Disponibilidade”). “Disponível” significa que os Serviços estarão disponíveis para acesso e uso do Cliente. Para fins de cálculo da Porcentagem de Disponibilidade, o que se segue são “Exceções” ao requisito de nível de serviço, e os Serviços não devem ser considerados Não Disponíveis, se qualquer inacessibilidade for devido a: 
(i) atos ou omissões do Cliente; 
(ii) conectividade de Internet do Cliente; 
(iii) tempo de inatividade programado do Provedor (que deve ocorrer semanalmente, aos domingos, das 2h às 4h, horário central).
Circunstâncias

As metas específicas de nível de serviço dependem dos fatos e circunstâncias de cada caso, incluindo a alavancagem relativa durante a negociação. Ou seja, não aceite as posições padrão do seu fornecedor. Mas sim negocie os termos que atendam às suas necessidades de negócios. 

Portanto, considere cuidadosamente a janela de medição de interrupção. Esta pode ser diária, mensal ou trimestral. Entretanto, fornecedores tendem a desejar períodos de medição mais longos. Afinal, eles diluem os efeitos de um tempo de inatividade e, portanto, tornam as soluções menos disponíveis para o cliente.

Obrigações

Assim, como parte das obrigações de SLA sob o contrato de computação em nuvem, os clientes devem receber a documentação por escrito do tempo de inatividade programado de um provedor. Este, por sua vez, deve garantir que a janela não crie problemas para os negócios do cliente. Os clientes também podem solicitar que o provedor seja pró-ativo na detecção do tempo de inatividade. Isso pode ser feito exigindo explicitamente que o provedor monitore constantemente a “pulsação” de todos os seus servidores por meio de “ping” automatizado. Esse requisito permite que o provedor saiba rapidamente quando um servidor sai do ar. Isso, sem ter que esperar por um aviso do cliente.

O conceito de “indisponibilidade” também deve incluir degradação severa de desempenho e inoperabilidade de qualquer recurso de serviço. 

Nível de serviço de tempo de resposta  

O nível de serviço de tempo de resposta está intimamente relacionado e frequentemente interligado com o nível de serviço de tempo de atividade. Ou seja, o nível de tempo de resposta de serviço estabelece latências máximas e tempos de resposta para o uso dos serviços por um cliente. 

Os serviços que não fornecem respostas oportunas aos usuários ficam efetivamente indisponíveis. Tal como acontece com o nível de tempo de atividade de serviço, a meta de nível de serviço específico depende dos fatos e circunstâncias de cada caso. Isso inclui a complexidade da transação, o tempo de processamento necessário e quão crítica é a velocidade para atingir seus objetivos de negócios.

Dica
Por exemplo, se você está acessando serviços por meio de uma conexão de internet, deve definir o nível de serviço em termos do Keynote Business 40 Internet Performance Index. Afinal, este mede o tempo médio de download para 40 sites de negócios importantes. Este índice é projetado para fornecer um meio real de avaliar o impacto do uso da internet para acessar informações em sites conhecidos. 

É comum que certas áreas da Internet operem mais lentamente do que outras. Os motivos são vários. Porém, o índice é projetado para tirar a média dos tempos de resposta usando sites de teste estabelecidos em todo o país. Isso proporciona uma melhor representação dos tempos de resposta, em geral, de sites conhecidos. No entanto, se os serviços forem acessados ​​por uma linha alugada, o Índice de Desempenho da Internet do Keynote Business 40 deve ser substituído por alguma outra medida. Outra opção é impor um requisito de tempo de resposta medido no roteador externo do provedor.

Exemplo:
O tempo médio de download para cada página dos Serviços, incluindo todo o conteúdo nela contido, deve ser inferior a (i) 0,5 segundos do Índice de Desempenho da Internet do Keynote Business 40 (KB40) semanal ou (ii) dois (2) segundos.
No caso de o KB40 ser descontinuado, um índice sucessor (como tempos médios de download para todos os outros clientes do Provedor) pode ser mutuamente acordado pelas partes.

Caso o provedor não se comprometa com um nível de serviço de tempo de resposta, você deve solicitar que ele, ao menos, compartilhe seu histórico de medições de tempo de resposta. Além disso, é interessante estabelecer algum gerenciamento contínuo de risco nessa área. Um bom exemplo é conduzir uma pesquisa de satisfação do usuário final. Através dela, exija que o provedor tome medidas para melhorar qualquer insatisfação com relação à resposta do serviço.

Nível de serviço para visitantes simultâneos

Se você espera que os serviços ofereçam suporte a muitos usuários simultâneos, o que geralmente é o caso, um nível de serviço deve ser incluído para especificar explicitamente esse requisito. Portanto, você deve realizar uma avaliação e calcular o número médio de usuários que espera que usem o serviço ao mesmo tempo.

Esse número pode ser de algumas dezenas ou dezenas de milhares. Portanto, você deve escrever os níveis de serviço para garantir que o provedor seja capaz de oferecer suporte a esse número de usuários. Tudo isso ao mesmo tempo em que atingir todos os níveis de serviço estabelecidos, é claro..

Tempo de resposta do problema e tempo de resolução

Você deve incluir no contrato a obrigação do fornecedor de resolver os problemas de nível de serviço em tempo hábil. Contudo, os provedores geralmente incluem apenas uma medição do tempo de resposta. Ou seja, o período de tempo desde o momento em que o problema é relatado até quando o provedor te notifica e começa a trabalhar para resolver o problema. 

Essas obrigações normalmente ficam aquém do que é necessário. Portanto, você deve incluir uma medição de tempo de resolução. Ou seja, o período de tempo a partir do momento em que o problema é relatado até o momento em que o provedor implementa uma correção ou solução alternativa aceitável.

Nível de serviço de retorno de dados

Para serviços que envolvem uma função de negócios crítica ou informações confidenciais do cliente, você também deve adicionar um nível de serviço que mede o período de tempo entre a solicitação de dados e o retorno do fornecedor. Isso incentiva o provedor a entregar seus dados de acordo com esses requisitos de prazo. Dessa forma, fornece garantia adicional de que sua empresa será capaz de operar no caso de o provedor parar de fornecer serviços.

Soluções

Normalmente, as soluções para falha em atingir um nível de serviço começam como créditos para o serviço do próximo período. Por exemplo, uma solução pode fornecer: para cada incremento X de tempo de inatividade abaixo do nível acordado no período de medição, ou para cada problema de suporte de Nível de Severidade 1 que o provedor não resolve dentro do tempo estipulado, o cliente recebe um crédito de 5% na fatura do próximo mês, até um crédito máximo de 75%.

Portanto, as soluções devem ser escalonadas de forma que, se ocorrer falha repetida, você tenha o direito de rescindir o contrato sem penalidade e sem ter que esperar o prazo atual expirar. 

Exemplo
Caso os Serviços não estejam disponíveis 99,99% do tempo, mas estejam disponíveis pelo menos 95% do tempo, então, além de quaisquer outras soluções disponíveis nos termos deste Contrato ou da lei aplicável, o Cliente terá direito a um crédito no valor de a cada mês que este nível de serviço não seja satisfeito. No caso de os Serviços não estarem disponíveis pelo menos 95% do tempo, então, além de quaisquer outras soluções disponíveis nos termos deste Contrato ou da lei aplicável, o Cliente terá direito a um crédito no valor de cada mês em que este nível de serviço não for satisfeito . Além disso, no caso de os Serviços não estarem disponíveis 99,99% por (a) três (3) meses consecutivos ou (b) quaisquer três (3) meses durante um período consecutivo de seis (6) meses, então, além de todas as outras soluções disponível para o Cliente, o Cliente terá o direito de rescindir este Contrato mediante notificação por escrito ao Provedor, sem nenhuma responsabilidade, despesa ou obrigação adicional para o Provedor.

Dados – Segurança, redundância, propriedade e direitos de uso e conversão

Garantir a propriedade dos dados do cliente, abordando o uso do provedor de tais dados e salvaguardando a segurança e a confidencialidade dos mesmos é muito importante em um contrato de computação em nuvem. Portanto, o provedor deve fornecer detalhes sobre, e concordar com as disposições razoáveis ​​que abordam, sua competência, políticas e procedimentos relacionados a proteção contra:

  • Vulnerabilidades de segurança;
  • Backups de dados;
  • Uso de dados do cliente;
  • Conversão de dados.
Segurança de dados

A necessidade de segurança de dados é óbvia. Afinal, um provedor de computação em nuvem pode possuir os dados mais confidenciais de um cliente. Isso inclui dados que podem estar sujeitos a regulamentações estaduais e federais (vide LGPD). Portanto, a perda de tais dados ou divulgação não autorizada dos mesmos é uma preocupação significativa. Especialmente, porque o cliente é, em última instância, responsável por cumprir os regulamentos aplicáveis, independentemente de onde os dados são armazenados. Na verdade, as violações de dados custam caro para qualquer organização.

Dessa forma, você deve estar atento aos problemas exclusivos de segurança de dados que surgem em um ambiente de computação em nuvem. Por exemplo, em um ambiente ASP, um único servidor físico pode ser dedicado ao cliente para hospedar o aplicativo e armazenar seus dados. No entanto, em um ambiente de computação em nuvem, as tecnologias e abordagens usadas para facilitar a escalabilidade, como virtualização e multilocação, podem ser armazenadas em um servidor físico. Este, costuma ser compartilhado entre os clientes do provedor, o que pode aumentar o risco de divulgação não autorizada.

Riscos

Contudo, alguns riscos de segurança de dados podem ser gerenciados considerando cuidadosamente o tipo de informação que será processada ​​em uma solução de nuvem. Para isso, você deve determinar se a solução de nuvem em consideração está alinhada com o nível de sensibilidade dos seus dados. 

Por exemplo, a pesquisa de mercado geral tem um nível de sensibilidade mais baixo do que informações de segredo comercial ou dados que incluem informações de identificação pessoal. Assim, mesmo se os dados transmitidos não forem altamente confidenciais, é sempre uma boa prática revisar os controles de proteção de dados do provedor e fazer referência a esses controles no contrato de serviço em nuvem.

Para resolver problemas de segurança de dados, os clientes devem determinar:

  • Localização do data center onde os dados serão armazenados fisicamente e quem pode ter acesso aos dados;
  • Operador do data center;
  • Práticas de segurança do provedor.

Lembre-se: qualquer contrato de computação em nuvem deve incluir proteções contratuais específicas relacionadas à segurança de dados e informações.

Localização do Data Center

Data centers localizados em países estrangeiros podem reduzir ou eliminar a oportunidade do cliente de inspecionar o local. Essa inspeção é interessante para garantir a conformidade com seus requisitos de segurança da informação ou ditar a jurisdição e a lei que rege os dados. Por exemplo, as informações de identificação pessoal localizadas na Europa podem ser regidas pela legislação europeia, independentemente dos termos do contrato. 

Isso é uma preocupação mesmo se o data center estiver localizado nos Estados Unidos. Contudo, a equipe de help desk, por exemplo, acessa os dados de um país estrangeiro com leis de segurança e privacidade limitadas. Portanto, você deve considerar a adição de uma restrição contra o trabalho offshore e o fluxo de dados para países estrangeiros. Isso inclui a exigência de que o data center (incluindo o software hospedado, infraestrutura e dados) seja localizado e que os serviços sejam executados no seu país.

Operadora do Data Center

Também cabe ao cliente identificar a operadora do data center. Afinal, se o provedor não estiver operando o próprio data center, então ele deve ser obrigado a garantir que o host terceirizado cumpra os termos do acordo (incluindo os requisitos de segurança de dados). Isso inclui aceitar a responsabilidade por todos os atos do host de terceiros, e ser solidariamente responsável por qualquer violação do contrato de computação em nuvem por parte do host terceirizado.

Você também deve considerar a celebração de um contrato de confidencialidade e não divulgação separado com o host terceirizado para a proteção dos dados. Além disso, se o provedor desejar alterar o host, ele deve ser obrigado a fornecer ao cliente um aviso prévio. Dessa forma, você terá tempo para realizar a devida diligência no que diz respeito à segurança do host proposto e o direito de rejeitá-lo.

Práticas de segurança do provedor

Os provedores devem ser solicitados a fornecer detalhes específicos no contrato de computação em nuvem em relação a:

  • Medidas básicas de segurança;
  • Gerenciamento de incidentes de segurança e hardware;
  • Software;
  • Políticas de segurança. 

Esses detalhes devem ser analisados ​​por alguém competente em segurança de dados. Ou seja,  alguém dentro da sua organização, um advogado de segurança de dados ou um consultor terceirizado. Portanto, as políticas do provedor devem abordar os riscos de segurança específicos para a computação em nuvem e os serviços fornecidos pela Internet e acessíveis por meio de um navegador da Web. Por exemplo, risco de segurança relacionado ao Adobe Flash que permite que hackers carreguem objetos Flash maliciosos e lancem ataques aos usuários.

Inspeções

Alguns provedores não irão distribuir cópias de suas políticas de segurança. Entretanto, permitirão que os clientes venham ao site do provedor e as inspecionem. Essa inspeção de política deve ser feita se as informações do cliente em questão forem muito confidenciais ou de missão crítica. 

Dessa forma, você deve comparar as políticas do fornecedor com as suas. Inclusive,  é comum clientes exigirem que o fornecedor corresponda às suas políticas internas. Portanto, você também deve considerar a verificação das capacidades do fornecedor por meio de uma visita física ou SSAE 16 (auditoria de controles internos de TI) conduzida por um terceiro. Saiba que é cada vez mais esperado que os fornecedores demonstrem regularmente a seus clientes que seus controles de segurança permanecem intactos e robustos.

Exemplo:
Em geral: o Provedor manterá e fará cumprir os procedimentos de proteção e segurança física com relação ao seu acesso e manutenção das Informações do Cliente que são (1) pelo menos iguais aos padrões da indústria para tais tipos de locais, (2) de acordo com os requisitos de segurança razoáveis ​​do Cliente, e ( 3) que forneçam salvaguardas técnicas e organizacionais razoavelmente adequadas contra destruição acidental ou ilegal, perda, alteração ou divulgação ou acesso não autorizado de Informações do Cliente e todos os outros dados de propriedade do Cliente e acessíveis pelo Provedor sob este Contrato.
Armazenamento de informações do cliente: todas as informações do cliente devem ser armazenadas em um ambiente fisicamente e logicamente seguro que as proteja contra acesso não autorizado, modificação, roubo, uso indevido e destruição. Além dos padrões gerais estabelecidos acima, o Provedor manterá um nível adequado de controles de segurança física em suas instalações. Além disso, o Provedor manterá um nível adequado de controles de segurança de dados. Consulte o Anexo A para obter informações detalhadas sobre as proteções das políticas de segurança do Provedor.
Auditorias de segurança: durante o Prazo, o Cliente ou seu terceiro designado pode, mas não é obrigado a, realizar auditorias do ambiente do Provedor, incluindo penetração não anunciada e testes de segurança, no que se refere ao recebimento, manutenção, uso ou retenção de Informações do Cliente. Qualquer um dos reguladores do Cliente deve ter o mesmo direito mediante solicitação. O Provedor concorda em cumprir todas as recomendações razoáveis ​​que resultem de tais inspeções, testes e auditorias dentro de prazos razoáveis.
Violações

O contrato de computação em nuvem deve exigir que, se ocorrer uma violação de segurança ou confidencialidade, o cliente deve ter controle exclusivo sobre o tempo, conteúdo e método de notificação. O acordo também deve estabelecer que, se o provedor for culpado pela violação, ele deverá reembolsar o cliente pelos custos razoáveis ​​com o fornecimento da notificação.

Portanto, você deve considerar se o provedor de nuvem pode cumprir as obrigações de descoberta e litígios no caso de os dados mantidos por ele  serem solicitados em conexão com uma ação judicial ou investigação. Nesse caso, o processo acordado deve estar no contrato de computação em nuvem.

Redundância de dados

Já que o cliente depende do provedor como o guardião de seus dados, ele deve exigir que o contrato de computação em nuvem contenha disposições explícitas sobre:

  • Dever do provedor de fazer backup dos dados do cliente e a frequência desse backup;
  • Acesso contínuo do cliente a tais dados;
  • Entrega de tais dados ao cliente em uma base regular.

Portanto, comece comparando as políticas de backup do provedor com as suas próprias e certifique-se de que são pelo menos tão rigorosas quanto.

Exemplo:
O provedor irá: 
(i) executar (A) backups noturnos do banco de dados para um servidor de backup; (B) backups incrementais do arquivo de log de transações do banco de dados a cada 30 minutos para um servidor de backup; (C) backups semanais de todas as informações do cliente hospedadas e o caminho padrão para um servidor de backup; e (D) backups incrementais noturnos do caminho padrão para um servidor de backup; 
(ii) replicar o banco de dados do Cliente e o caminho padrão para um local externo (ou seja, diferente do data center principal); 
e (iii) salvar os últimos 14 backups noturnos do banco de dados em um servidor de transferência seguro a partir do qual o Cliente pode recuperar os backups do banco de dados a qualquer momento. Ou seja, a qualquer momento, os últimos 14 backups noturnos do banco de dados estarão no servidor de transferência seguro.
Direitos de propriedade e uso de dados

Você deve esclarecer que possui todos os dados armazenados pelo provedor para o seu cliente. Além disso, caso o provedor pare de fornecer serviços e o cliente solicite a devolução de seus dados, não deve haver disputa quanto à propriedade dos dados que residem nos servidores do provedor.

Não obstante, como o provedor terá acesso e armazenará as informações confidenciais do cliente, o contrato deve conter linguagem específica em relação às obrigações do provedor de manter a confidencialidade de tais informações. Ou seja, confirmar que o provedor não tem o direito de usar tais informações. Exceto em conexão com seu desempenho sob o contrato de computação em nuvem.

Confiabilidade

Muitos provedores de computação em nuvem desejam analisar e usar os dados do cliente que residem em seus servidores para seu próprio benefício comercial. Afinal, eles estão interessados ​​nos dados que os clientes criam à medida que usam os serviços. Por exemplo, o provedor pode desejar usar os dados do cliente, agregados junto com os dados de outros clientes, para fornecer análise de dados para grupos da indústria ou comerciantes. Dessa forma, ele pode sugerir que limitará seu uso aos dados não identificados do cliente. Ele explicará, ainda, que tal uso é semelhante aos “cookies” da internet que seguem para onde um usuário vai e o que ele faz.

Contudo, na nuvem, seus dados são proprietários e confidenciais. Portanto, você deve considerar o uso de qualquer um de seus dados com muito cuidado. A maioria dos clientes deve concluir que o provedor não deve ter nenhum direito de usar seus dados. Seja na forma bruta, agregada ou não identificada, além do estritamente necessário para fornecer os serviços. 

Negociação

No entanto, o uso comercial pode ser aceitável quando o provedor fornece um serviço que depende diretamente do uso auxiliar de tais dados. É o caso da agregação de dados para fornecer tendências e análises de dados para o cliente e clientes em situação semelhante dentro de um setor. Portanto, se o contrato de computação em nuvem for omisso quanto ao uso de dados pelo provedor, discuta o assunto e adicione uma representação do provedor sobre quais usos, se houver, são permitidos.

Conversão de dados

A conversão de dados deve ser abordada tanto no início quanto no término do contrato de computação em nuvem. Afinal, seu intuito é evitar custos ocultos e ficar “bloqueado” para a solução do provedor. Portanto, ao começar uma parceria, confirme que seus dados podem ser importados diretamente para os serviços do provedor ou que qualquer conversão de dados necessária será feita às custas do provedor. Dependendo do contrato, o custo pode ser seu.

Dessa forma, você deve considerar a realização de uma execução de teste do esquema de mapeamento do provedor para ver como será fácil ou complicada a conversão de dados. Por último, você não quer ficar preso ao fornecedor por causa de problemas de formato de dados. Até esse ponto, o contrato de computação em nuvem deve incluir obrigações explícitas por parte do provedor de devolver seus dados. Isso, tanto no formato de dados do provedor quanto em um formato independente de plataforma. Além disso, posteriormente, ele deve destruir todas as informações do cliente presentes em seus servidores após o término ou rescisão do contrato.

Exemplo
A pedido do Cliente, o Provedor fornecerá uma cópia das Informações do Cliente ao Cliente em um formato ASCII delimitado por vírgulas em um CD-ROM ou DVD-ROM. Após a expiração deste Acordo ou rescisão deste Acordo por qualquer motivo, o Provedor deve (a) entregar ao Cliente, sem nenhum custo para o Cliente, uma cópia atual de todas as Informações do Cliente na forma em uso na data de tal expiração ou rescisão e (b) destruir ou apagar completamente todas as outras cópias das Informações do Cliente em posse do Provedor ou de seus agentes ou subcontratados em qualquer forma, incluindo, mas não se limitando a, eletrônico, cópia impressa ou outro dispositivo de memória. A pedido do Cliente, o Provedor deve fazer com que seus funcionários atestem por escrito que destruiu ou apagou todas as cópias das Informações do Cliente e que não deve fazer qualquer uso das Informações do Cliente.

Seguro

O cliente deve sempre abordar questões de seguro em situações de computação em nuvem. Tanto no que diz respeito às próprias apólices de seguro do cliente quanto ao seguro do provedor. Afinal, a maioria das leis de privacidade e segurança de dados responsabiliza o cliente por uma violação de segurança. Portanto, você deve se auto-proteger contra riscos de TI. Isso incluindo aqueles relacionados a dados e questões de privacidade, obtendo uma política de responsabilidade cibernética.

O seguro de responsabilidade cibernética pode proteger você contra uma ampla gama de perdas. Afinal, a maioria das apólices de seguro cibernético cobre danos decorrentes de acesso não autorizado a um sistema de computador, roubo ou destruição de dados, ataques de hackers, ataques de negação de serviço e código malicioso. Algumas políticas também cobrem riscos de privacidade. É o caso de violações de segurança de informações pessoais que podem se aplicar a violações de regulamentos de privacidade estaduais e federais. Além disso, contemplam reembolso de despesas relacionadas às despesas legais e de relações públicas resultantes.

Proteção direta

Portanto, exigir que o provedor tenha certos tipos de seguro aumenta a probabilidade dele cumprir com suas obrigações e oferece proteção direta ao cliente. As principais formas de seguro de responsabilidade que um provedor deve ter contemplam erros de tecnologia e seguro de responsabilidade por omissões e uma obrigação comercial. Isso inclui crime eletrônico acesso não autorizado a computador. Dessa forma, esses tipos de seguro cobrem danos que o cliente ou outros possam sofrer como resultado de negligência profissional do fornecedor ou atos intencionais de terceiros.

Sendo assim, é fundamental exigir que o provedor tenha esses tipos de políticas e não apenas uma política geral de responsabilidade. Contudo, algumas políticas comerciais de responsabilidade geral contêm uma exclusão de serviços profissionais. Estas impedem a cobertura de responsabilidades decorrentes de serviços de TI, bem como outras exclusões e limitações que as tornam amplamente inaplicáveis ​​aos riscos relacionados a TI. Ou seja, você também deve exigir que o provedor liste sua empresa como um segurado adicional em suas apólices. Afinal, assim você pode recorrer diretamente contra a seguradora do fornecedor em caso de sinistro.

Indenização

O provedor deve concordar em defender, indenizar e isentar de responsabilidade o cliente e suas afiliadas de qualquer reclamação em que o provedor viole suas obrigações de confidencialidade e segurança de dados. Ou seja, qualquer violação intencional deve ser totalmente indenizada. O intuito é lhe proteger contra custos diretos ou despesas relacionadas à recuperação dos dados. Tal como relacionadas ao cumprimento de quaisquer disposições de notificação aplicáveis ​​ou outras obrigações exigidas pelas leis de privacidade de dados. Contudo, caso a violação de dados não seja intencional, o provedor pode exigir um limite para sua exposição de responsabilidade potencial. Dependendo do tipo de dados, isso pode ser razoável.

Entretanto, provedores freqüentemente tentam limitar a indenização de propriedade intelectual apenas à violação de direitos autorais. Contudo, isso não é aceitável, já que muitas ações de violação surgem de direitos de patente ou segredo comercial.

Abrangência

Portanto, a indenização deve se estender a reivindicações de violação de qualquer “patente, direito autoral, segredo comercial, marca comercial ou qualquer outro direito de propriedade de terceiros“.

Além disso, os clientes devem evitar qualquer restrição a patentes “emitidas a partir da Data Efetiva” do contrato. Afinal, os provedores também costumam limitar a indenização aos direitos de propriedade intelectual do “país de origem”. Caso você não utilize os serviços fora do país, isso não será problema. Porém, independentemente disso, você deve considerar se o uso dos serviços ocorrerá no exterior.

Propriedade intelectual

Você precisa compreender o impacto dos direitos de propriedade intelectual em seus negócios. Por exemplo, se o provedor  fará uma extensa instalação de software ou hardware, configuração ou serviços de personalização em conexão com os serviços de computação em nuvem, a estrutura de propriedade de propriedade intelectual proposta por ele pode não atender efetivamente às necessidades do seu negócio. 

Portanto, se a propriedade intelectual do fornecedor for incorporada ao produto de trabalho entregue ao cliente, tal propriedade intelectual do fornecedor pode ser incorporada aos processos de negócios do cliente como resultado. Contudo, isso pode onerar os negócios do cliente, criando incerteza sobre seus direitos a tais processos.

Incorporação

Dessa forma, você deve obter a propriedade de qualquer produto de trabalho e uma licença muito ampla. Assim, poderá usar qualquer propriedade intelectual do provedor incorporada a qualquer produto de trabalho. É isso que irá assegurar o controle exclusivo da direção de seus negócios e de cada um de seus processos subjacentes.

Mesmo quando serviços de implementação significativos não estão sendo fornecidos e o cliente está apenas fornecendo orientações quanto às telas configuráveis ​​que serão usadas, você deve perceber o impacto potencial em seus negócios. Afinal, como um fornecedor pode se beneficiar de de suas ideias, você deve considerar a adição de uma restrição contra ele usar essas mesmas idéias em serviços prestados a qualquer um dos seus concorrentes.

Limitação de responsabilidade

A limitação de responsabilidade do provedor é muito importante em um contrato de computação em nuvem. Afinal, praticamente todos os aspectos da segurança de dados são controlados pelo provedor. Assim, o provedor não deve ser autorizado a usar uma cláusula de limitação de responsabilidade para limitar indevidamente sua exposição. Uma limitação justa da cláusula de responsabilidade deve equilibrar a preocupação do provedor sobre danos ilimitados com o direito do cliente de ter um recurso razoável em caso de violação de dados ou outro incidente.

A cláusula de limitação de responsabilidade de um provedor geralmente:

(1) limita qualquer responsabilidade para com o cliente ao valor das taxas pagas nos termos do contrato ou uma parte do contrato. Por exemplo, taxas pagas pela parte dos serviços em questão;

(2) exclui danos incidentais, conseqüenciais, exemplares, punitivos e outros danos indiretos. 

Embora um cliente possa não ser capaz de eliminar a limitação de responsabilidade em sua totalidade, ele deve solicitar as seguintes concessões:
  • A limitação de responsabilidade deve ser aplicada a ambas as partes: ou seja, você deve ter direito às mesmas proteções contra danos que o provedor está buscando.
  • O seguinte deve ser excluído de todas as limitações de responsabilidade e danos: (1) violação da cláusula de confidencialidade e segurança por qualquer uma das partes; (2) reivindicações pelas quais o provedor está segurado; (3) as respectivas obrigações de indenização de terceiros das partes; (4) violação de qualquer uma das partes dos direitos de propriedade intelectual da outra parte; e (5) violação da provisão de propaganda / publicidade.
  • O limite de responsabilidade geral: geralmente limitado às taxas pagas, deve ser aumentado para algum múltiplo de todas as taxas pagas. Por exemplo, duas a quatro vezes o total das taxas pagas ou as taxas pagas nos 12 meses anteriores ao surgimento da reclamação. Portanto, o cliente deve ter em mente que o limite geral de responsabilidade não deve se aplicar às exclusões no ponto acima.

Implementação

No caso de serviços de implementação significativos serem fornecidos, a definição de “serviços” em um contrato de computação em nuvem deve ser redigida de forma ampla. Assim, poderá capturar todos os serviços fornecidos. 

Exemplo
“Serviços” significa o fornecimento de software e serviços de infraestrutura pelo Provedor descrito no Serviços de Software e Infraestrutura e serviços de implementação descritos no Serviços de Implementação. Tal como: quaisquer outros produtos, entregas e serviços a serem fornecidos pelo Provedor ao Cliente (i) descrito em uma Declaração de Trabalho; (ii) identificado neste Contrato; ou (iii) de outra forma necessário para cumprir este Contrato, seja ou não especificamente estabelecido em (i) ou (ii).

Portanto, uma definição ampla de serviços limita as reivindicações do provedor de atividade “fora do escopo” e solicitações de dinheiro adicional.

Requisitos e recursos

Além disso, você deve compreender totalmente seus requisitos e os recursos dos serviços fornecidos. Assim, poderá determinar se quaisquer recursos ou funcionalidades adicionais são necessários. Contudo, qualquer trabalho adicional necessário para oferecer suporte a tais recursos ou funcionalidade deve ser discutido e identificado com antecedência. Afinal, normalmente um contrato de computação em nuvem pode ter opções de configuração e personalização mais limitadas. Por exemplo, aplicativo multilocatário, para que o provedor gerencie de forma mais eficiente o serviços e forneça uma solução mais escalonável. Portanto, qualquer trabalho adicional acordado para oferecer suporte a tais recursos ou funcionalidade deve ser incluído na descrição dos serviços.

Honorários

Normalmente, um contrato de computação em nuvem conta com uma estrutura de custo “pague conforme o uso”. Ou, até mesmo,  “pague por uso”, como por máquina virtual a cada hora, por gigabyte de armazenamento ou usuário a cada mês.

Consequentemente, o acordo deve prever a capacidade de adicionar e remover recursos. Tudo com um ajuste correspondente para cima e para baixo das taxas de serviço. Portanto, você deve negociar taxas para uso incremental e decremental antes de assinar o contrato. Também deve tentar bloquear quaisquer taxas recorrentes por um período de tempo (um a três anos). Depois disso, uma escada rolante com base em um índice de desempenho de custo (CPI) ou outro índice de terceiros deve ser aplicada.

Além disso, você deve identificar todos os fluxos de receita potenciais e certificar-se de que as taxas identificadas incluem todos eles. Por exemplo, o provedor pode tentar cobrar taxas adicionais para armazenamento adicional após uma certa quantidade de dados. Ou até taxas adicionais para atualizações de software. Portanto, garanta que eles sejam incluídos nas taxas negociadas.

Prazo

Você deve poder rescindir o contrato a qualquer momento. Isso sem penalidade, mediante aviso prévio razoável (14 a 30 dias). Contudo, o fornecedor pode solicitar um período de compromisso mínimo do cliente para recuperar seu “investimento”. Ou seja, despesas de vendas e custos relacionados. Se você concordar, o prazo de compromisso não deve ser superior a um ano e o fornecedor deve apresentar evidências de seus custos iniciais para justificar tal requisito.

Garantias

Além das garantias discutidas acima, existem outras que são normalmente incluídas em um contrato de computação em nuvem. Portanto, o provedor deve representar e garantir o seguinte:

  • Os serviços estarão materialmente em conformidade com as especificações. E, na medida em que não sejam inconsistentes com as especificações, a documentação do provedor;
  • Todos os serviços serão fornecidos de maneira profissional, competente e oportuna por pessoal devidamente qualificado. Isso, conforme contrato e consistente com as melhores práticas do fornecedor;
  • O provedor fornecerá treinamento adequado, conforme necessário, ao cliente sobre o uso dos serviços;
  • Os serviços cumprirão todas as leis, regras e regulamentos federais, estaduais e locais;
  • Os dados e informações do cliente não serão compartilhados ou divulgados de nenhuma maneira a terceiros pelo provedor. Ao menos, não sem primeiro obter o consentimento expresso por escrito do cliente;
  • Os serviços não infringirão os direitos de propriedade intelectual de terceiros. Os serviços estarão livres de vírus e outros programas destrutivos.;
  • Não há litígio pendente ou ameaçado envolvendo o provedor que possa prejudicar ou interferir no direito do cliente de usar os serviços;
  • O provedor tem autoridade suficiente para celebrar o contrato e conceder os direitos previstos no contrato ao cliente.

Publicidade e uso das marcas registradas do cliente

A reputação e a boa vontade do cliente são ativos substanciais e importantes.

Conseqüentemente, todo acordo deve conter uma cláusula que cubra quaisquer anúncios e publicidade relacionados à transação. Ou seja, você deve proibir o provedor de distribuir qualquer comunicado à mídia ou fazer outros anúncios públicos relacionados ao contrato. Isso inclui usar o nome e as marcas registradas do cliente sem seu consentimento prévio por escrito.

Funções

O cliente deve ser capaz de ceder seus direitos segundo o contrato a suas afiliadas e outras entidades. Afinal, estas podem se tornar sucessoras ou afiliadas devido a uma reorganização, consolidação, alienação ou similar. Portanto, para resolver quaisquer preocupações que o fornecedor tenha sobre tal atribuição, você pode exigir que qualquer cessionário aceite todas as obrigações do cliente nos termos do contrato. 

Da mesma forma, o cliente deve obter a garantia de que qualquer cessionário do fornecedor concordará em obedecer a todos os termos e condições do contrato. Isso inclui, sem limitação, as obrigações de nível de serviço.

Recomendação

Recomenda-se que o cliente e o provedor concordem com a implementação de um programa regular de avaliação de desempenho do provedor. Assim, o provedor passaria a fornecer as informações necessárias para avaliar os serviços. Tal como notificar o cliente de quaisquer mudanças com relação ao provedor, e fornecer recomendações para melhorar os serviços. Assim, você poderia usar essas informações para realizar avaliações de risco contínuas e determinar se deve continuar o relacionamento com o fornecedor.

Avaliação final de risco

Se o cliente tiver uma vantagem significativa ao negociar um contrato de computação em nuvem, ele deve buscar proteções descritas acima. No entanto, em circunstâncias em que o cliente não tem essa vantagem, os provedores podem resistir a tais proteções e a qualquer modificação de suas cláusulas contratuais. Portanto, pode ser que você não consiga assegurar todas as proteções listadas acima.

Entretanto, você deve avaliar os riscos do negócio. Isso inclui os seguintes fatores:

Os serviços oferecem suporte a uma função comercial crítica;

Eles envolvem informações confidenciais ou são voltados para o cliente.

Se não for capaz de obter o nível de proteção necessário nas áreas de risco mais significativas, você deve considerar abandonar a transação. Contudo, se ir embora não for uma opção aceitável, concentre-se na mitigação de riscos. 

Negocie

Por exemplo, se o provedor se recusar a modificar seu nível de serviço de tempo de atividade argumentando que não pode administrar separadamente esse serviço para clientes diferentes, então negocie soluções aprimoradas e direitos de saída para uma falha de tal nível de serviço. Nesse tipo de situação, em que um cliente não consegue obter as proteções contratuais adequadas e opta por prosseguir, a avaliação contínua pós-execução do relacionamento com o fornecedor acima torna-se ainda mais importante.

Alternativa

Outra opção é contar com um parceiro de TI especializado em cloud computing. A Infonova atua há 20 anos oferecendo suporte de TI de qualidade. Mas isso não é tudo! A empresa também realiza gestão de fornecedores de forma centralizada, facilitando a vida de seus clientes ao negociar contratos e monitorar a qualidade dos serviços prestados.

Fontes:

lexisnexis.com