如今,云計算在企業(yè)領(lǐng)域日益成熟,但支撐云服務(wù)的合同卻并沒有以同樣的速度發(fā)展。
云計算服務(wù)可以實施和使用的輕松方式是讓企業(yè)沒有經(jīng)過適當?shù)谋O(jiān)督就接受合同,而這正在使他們面臨風險。即使標準合同沒有變更,公司也有可能終止合同,并會因為延遲付款而刪除數(shù)據(jù)。
一個令人擔憂的領(lǐng)域是數(shù)據(jù)保護和合同面臨r的風險。例如,如果數(shù)據(jù)被竊取或意外地訪問,云計算客戶可能會面臨高額的罰款,使其無法使用。這就是為什么要明確誰負責誰承擔風險是至關(guān)重要的原因。
目前,云計算供應(yīng)商和客戶之間存在著與風險無關(guān)的差距。但是,隨著云計算服務(wù)成為主流,他們需要做出妥協(xié),最近的分析表明確實如此。
根據(jù)ISG公司的數(shù)據(jù),在2016年的最后三個月,基于云計算的合同占歐洲,中東和非洲(EMEA)整體IT外包的三分之一??紤]到價值400萬歐元或金額更高的合同,ISG公司發(fā)現(xiàn),在2016年的最后一個季度,30億歐元用于IT和業(yè)務(wù)流程外包,其中基于云計算的即時服務(wù)比例達到了9億歐元。
基于云計算的服務(wù)具有吸引力,因為它們提供較低的前期成本,靈活的服務(wù)水平,持續(xù)的自動升級,以及訂閱付款。使這些服務(wù)可以實現(xiàn)意味著他們經(jīng)常被描述為“即插即用”,但這可能會欺騙用戶徹底檢查支持它們的合同。
衡量云計算風險
中小企業(yè)特別是在不了解他們承諾的情況下簽署了合同,同時,大型企業(yè)的首席信息官也不得不向董事會解釋,如果他們想要特定的產(chǎn)品,他們將不得不承擔一些風險。
經(jīng)驗豐富的IT外包顧問和總監(jiān)Bob Fawthrop表示:“中小型企業(yè)在沒有思考的情況下接受合同,這讓我感到擔憂。企業(yè)需要了解相關(guān)風險,因為數(shù)據(jù)丟失將面臨罰款。”
在Fawthrop的行業(yè)經(jīng)驗中,只有約25%的云合同保護了客戶,而其之所以成功是與客戶端進行某種商業(yè)監(jiān)督相結(jié)合的。
首席信息官必須讓企業(yè)董事會知道,在選擇特定的云計算產(chǎn)品時,他們必須愿意承擔相應(yīng)的風險。
他說,部分問題是供應(yīng)商將所有內(nèi)容從網(wǎng)絡(luò)上發(fā)布到網(wǎng)站上,他們希望客戶能夠注冊,而許多公司都是這樣做的。
但他警告說,有些地區(qū)的企業(yè)需要一定程度的定制,因為這些規(guī)定,例如圍繞安全的規(guī)定。他說:“供應(yīng)商有幾個方面希望采取零風險,但是傳統(tǒng)客戶的立場就是供應(yīng)商應(yīng)該承擔風險。”然而,供應(yīng)商不愿意增加預(yù)算來承擔風險,因為服務(wù)成本低是其主要吸引力之一。
例如,他引用了一個案例,將數(shù)據(jù)從一個系統(tǒng)移動到另一個系統(tǒng)的云計算金融交易供應(yīng)商不會承擔數(shù)據(jù)丟失的責任,盡管它正在移動數(shù)據(jù)。
Fawthrop說:“客戶與供應(yīng)商之間會有一些沖突,但是他們必須達成妥協(xié)。”
隨著云計算服務(wù)的增加,合同的制定和遵守必須跟上。“云計算供應(yīng)商必須對他們愿意做什么有著更加現(xiàn)實的認識。他們中的一些人,并為其條款和條件創(chuàng)建了一個補充,以適應(yīng)客戶的需求,但許多人是不現(xiàn)實的,拒絕作出改變。”他說。
后一組包括廣泛的供應(yīng)商,從提供云計算解決方案的全球大型供應(yīng)商到小型供應(yīng)商。他說,這意味著首席信息官們必須讓董事會知道,在選擇特定的產(chǎn)品時,他們必須愿意承擔相應(yīng)的風險。
義務(wù)分散在云合同范圍內(nèi)
Fawthrop警告說,義務(wù)“分散在”云合同中,通常以URL鏈接到網(wǎng)頁的形式,企業(yè)應(yīng)該堅持將所有義務(wù)放在一起。
作為合同使用的基于URL的協(xié)議隨時可以更改,因此客戶需要在包含URL的同時附上網(wǎng)頁上列出的條款或日期戳。這將保護他們免受不同意的定價變動。Fawthrop說:“合同目前很可能因為遇到價格上漲無法達成協(xié)議。”
不僅僅是中小企業(yè)在實現(xiàn)云合同方面面臨挑戰(zhàn)。獨立顧問Vincent Cohan曾在多家大型全球性公司(包括時代華納,AXA和Thomson Reuters)領(lǐng)導(dǎo)IT基礎(chǔ)設(shè)施和運營團隊。在他的職業(yè)生涯中,他已經(jīng)實施了一些云采用策略,并將應(yīng)用程序從傳統(tǒng)環(huán)境遷移到私有云基礎(chǔ)設(shè)施和公共云服務(wù),如Amazon Web Services(AWS),Google Cloud,Microsoft Azure和Microsoft Office 365。
Cohan說,大型企業(yè)和小型企業(yè)面臨越來越大的壓力,需要實現(xiàn)“云計算”,而且很多人都急于達成協(xié)議,這并不奇怪。他說:“人們可以很容易地想象一個組織沒有嚴格的合同管制,或者沒有云計算經(jīng)驗,只是簽署了這些協(xié)議,以節(jié)省時間。”
Cohan說,問題的一部分是,云計算對許多人來說仍然是一個新的模式,包括大型組織,決策者必須了解他們所認可的內(nèi)容。
“一個巨大的挑戰(zhàn)是幫助內(nèi)部利益相關(guān)者關(guān)注那些真正重要的問題。這包括終止權(quán),知識產(chǎn)權(quán)保護和責任,“他說,“另一個挑戰(zhàn)是清楚地確定可能導(dǎo)致服務(wù)中斷的情況,并在可能的情況下納入保障措施,包括提前通知和適當?shù)难a救期限。”
基于URL的協(xié)議是一個巨大的風險。Cohan提供了一個主要的云供應(yīng)商的標準協(xié)議的例子:“如果企業(yè)在付款延遲了15天,這個合同能夠讓他們有權(quán)終止企業(yè)服務(wù)并清除其數(shù)據(jù)。他們是否真的在15天之后采取行動,這是值得懷疑的,但風險是存在的,除非協(xié)議被修改以解決它。
仔細檢查和協(xié)商云端的條件和標準
Cohan不認為合同已經(jīng)改變,能夠適應(yīng)云服務(wù)的日益普及和成熟。他說,其中的一個問題是企業(yè)(包括他們的IT領(lǐng)導(dǎo)層)對基于傳統(tǒng)托管交易的交易的期望與公共云模型不符。
像Fawthrop一樣,他認為有些公司“過于被動,沒有充分審查協(xié)議,或者沒有集中控制協(xié)議在企業(yè)中的執(zhí)行”。
他警告說,如果沒有適當?shù)目刂?,一個善意的信用卡業(yè)務(wù)利益相關(guān)者可能會使公司陷入不利條件。
Cohan堅持認為,企業(yè)不應(yīng)該將標準合同視為一個或有或無的選擇。他說:“最大的錯誤是假設(shè)有很少或沒有談判的余地。”這可能在早期更為真實,但即使像亞馬遜和微軟這樣的大企業(yè)也會條款上進行談判,只要它們對業(yè)務(wù)有意義。”
雖然云計算提供商不會同意可能危及服務(wù)的條款或通過定制服務(wù)來損害規(guī)模優(yōu)勢利益,但如果他們看到有機會發(fā)展業(yè)務(wù),他們將愿意進行談判。
準備合同終止
Cohan敦促企業(yè)為達成協(xié)議做好終止的準備,甚至在他們簽署之前。“這聽起來很悲觀,但我相信唯一最大的問題是了解如果企業(yè)或企業(yè)的供應(yīng)商決定結(jié)束協(xié)議,會發(fā)生什么。你可能不想在終止協(xié)議時首次提出這個話題,”他說。
他說,標準協(xié)議在這種情況下沒有提供太多的保護,企業(yè)必須了解提供商有義務(wù)為轉(zhuǎn)型提供支持。
但對于各種規(guī)模的公司來說,如果他們以正確的方式接近合同,就有希望。Cohan說:“在企業(yè)業(yè)務(wù)很重要的關(guān)鍵點不要勉強。”
現(xiàn)任獨立顧問Steve Larrabee在Mars公司工作了29年,擔任其全球首席信息官。他說,在Mars公司,策略是在某些特定領(lǐng)域(如軟件即服務(wù),如Salesforce.com或基于云的人力資源應(yīng)用)中保守使用云計算,而企業(yè)資源規(guī)劃(ERP)這樣的更重型的軟件工具并不在云端中采用。
盡管保守地使用云端,但他認為,在Mars公司仍然不得不像以前的外包協(xié)議一樣嚴格對待合同,即使是一家大公司也需要一定時間才能使云合同正確。他說:“需要幾個月的時間才能確保我們得到適當?shù)捻憫?yīng)速度和正確的升級。”
Larrabee表示,IT團隊在談判中的貢獻對于云服務(wù)合同至關(guān)重要。“您當然需要一個好的法律團隊,但您也需要了解IT的買家。”
云計算提供機會和復(fù)雜性,將這么多的IT交給第三方是一大步。他說,一半的采購商和一半的IT專家對于談判來說有用。
平衡至關(guān)重要。Fawthrop警告說,太多的IT投入可能成為制定有利于企業(yè)的協(xié)議的障礙。“傳統(tǒng)的IT思維并不一定適用,”他說。“范圍,服務(wù)水平和合規(guī)性都可能要求采用非IT思維,掌握一些IT知識這顯然有所幫助,但業(yè)務(wù)理解更為重要。”