Đàm phán trong hợp đồng điện toán đám mây

Quản Trị Mạng - Các hợp đồng điện toán đám mây tiêu chuẩn thường được soạn thảo bởi phía nhà cung cấp, đồng thời, bên cung cấp sẽ áp đặt trách nhiệm bảo mật và bảo vệ dữ liệu đến bên khách hàng, từ chối thực hiện nghĩa vụ, không đưa ra điều khoản bảo hành và bên cung cấp có thể tùy ý ngừng cung cấp dịch vụ.

Một hợp đồng điện toán đám mây tiêu chuẩn có thể khá đơn giản đối với một khách hàng Outsourcing CNTT có nhiều kinh nghiệm, vốn đã quen với hàng trăm trang hợp đồng trong đó liệt kê các mức dịch vụ, mức phạt, giá và các benchmark (đo máy), cách thức và quy trình, các yêu cầu về bảo mật và kinh doanh, các điều khoản mô tả quyền và nghĩa vụ của nhà cung cấp dịch vụ CNTT và khách hàng. Theo các chuyên gia Outsourcing CNTT, chính sự đơn giản ấy đang là một bất cập của điện toán đám mây.

Daniel Masur của văn phòng luật sư Mayer Brown ở Washington cho rằng: “Sẽ là thảm họa nếu các bên tham gia không hiểu đúng ý nghĩa của “đám mây” cũng như chỉ ra các vấn đề nghiêm trọng về mặt pháp lý và trong hợp đồng có liên quan đến điện toán đám mây. Các vấn đề về bảo mật dữ liệu là những vấn đề có tính chất đặc biệt phức tạp. Nếu phía người mua không đưa chúng vào hợp đồng một cách rõ ràng thì họ hoàn toàn có thể bị đặt vào tình thế vi phạm nghiêm trọng các luật bảo mật được áp dụng”.

Masur cũng cho biết, một hợp đồng dịch vụ đám mây (có thể cung cấp dịch vụ về phần mềm, cơ sở hạ tầng, nền tảng) sẽ ít phức tạp hơn nếu chúng được lập với mục đích cung cấp các sản phẩm và dịch vụ mà không cần có bảo hành của nhà cung cấp cũng như nghĩa vụ bảo mật và bảo vệ dữ liệu, hoặc trách nhiệm trong trường hợp thiệt hại.

Với các nhà cung cấp dịch vụ đám mây, tính đơn giản của hợp đồng là một điểm thuận lợi với họ. Họ có thể cung cấp đến khách hàng các lựa chọn ít tốn kém, liên tục và tính phí trên mỗi lần sử dụng đối với mọi dịch vụ, từ cơ sở hạ tầng theo yêu cầu đến hỗ trợ desktop cho các trình ứng dụng kinh doanh chỉ thông qua cách tập hợp các nguồn lực và chuyển trách nhiệm đối với các vấn đề như địa chỉ dữ liệu, phục hồi thảm họa… về phía khách hàng.

Theo Doug Plotkin, giám đốc nguồn lực Mỹ của tập đoàn tư vấn PA, "đối với bên cung cấp dịch vụ, đặc biệt là các bên cung cấp cả các dịch vụ dạng truyền thống và dạng đám mây, điều cần thiết ở đây là họ phải nhận thấy càng rời xa các hợp đồng tiêu chuẩn (cũng chính là các dịch vụ tiêu chuẩn) thì họ sẽ càng gặp nhiều khó khăn để hoàn thành hợp đồng. Phần lớn các lợi ích kinh tế đều sinh ra từ các dịch vụ cũng như các thỏa thuận tiêu chuẩn”.

Do đó, theo Masur, một hợp đồng đám mây trung bình thường được soạn thảo bởi một bên với rất ít các điều khoản bảo vệ khách hàng. Câu hỏi được đưa ra ở đây là các khách hàng của điện toán đám mây có nên ký các hợp đồng như vậy không?

Và câu trả lời ở đây là: Đôi khi. Masur cho rằng: “Có nhiều điều khoản bảo vệ trong hợp đồng có thể có hoặc có thể không là câu trả lời đúng đắn. Nó còn tùy thuộc vào rất nhiều yếu tố khác”.

Thời điểm đám phán thích hợp

Các khách hàng có ý định tham gia hợp đồng dịch vụ đám mây nên chú ý đến tầm quan trọng của các phần mềm, dữ liệu hoặc các dịch vụ trong hợp đồng, các vấn đề có liên quan đến điện toán đám mây và các phương án thay thế.

Nhưng nếu các bên đang xem xét lựa chọn đám mây có liên quan đến các hệ thống quan trọng, dữ liệu cá nhân hoặc các bí mật kinh doanh nhạy cảm, họ nên xem xét các vấn đề trên khía cạnh luật pháp và chuẩn bị sẵn các điều khoản đỏ. Theo Masur, “Một khách hàng có thể được lựa chọn đưa ra yêu cầu về đám mây riêng, mã hóa dữ liệu, các hạn chế địa lý và các điều khoản khác”.

Sai lầm lớn nhất của các khách hàng dịch vụ đám mây thường hoặc là cho rằng hợp đồng của các nhà cung cấp đã có các điều khoản thích hợp bảo vệ khách hàng, hoặc mặc định là không có điều khoản nào có thể đàm phán lại cả. Masur cho biết “Rất nhiều khách hàng thường giả định sai lầm rằng tham gia vào một hợp đồng điện toán đám mây cũng tương tự như tham gia vào một hợp đồng CNTT truyền thống. Do đó, hoặc là họ sẽ không thể xác định được các vấn đề có liên quan đến điện toán đám mây (như bảo mật dữ liệu hay các vấn đề tương thích), hoặc sẽ xác định các vấn đề nhưng theo cách sẽ làm tăng giá cung cấp dịch vụ trong khi không làm tăng chất lượng dịch vụ”.

Với các khách hàng có khả năng tham gia vào hợp đồng dịch vụ điện toán đám mây và đang muốn tăng cường các thỏa thuận cung cấp tiêu chuẩn, hợp đồng outsourcing CNTT truyền thống có thể là một hình mẫu lý tưởng. Trong khi không có bất kỳ chiếu lệ tiêu chuẩn nào trong các hợp đồng đám mây và cũng không có bất kỳ tài liệu “dùng cho tất cả” nào có khả năng bao quát nội dung dịch vụ trên đám mây, hợp đồng outsourcing CNTT truyền thống có thể giúp các bên xem xét kỹ lưỡng danh sách các dịch vụ outsourcing được cung cấp: các chuẩn mực an toàn bảo mật, các vấn đề về tương thích là luật lệ, các yêu cầu và mức phạt trên mỗi mức dịch vụ, quá trình quản lý các thay đổi, diễn tiến kinh doanh, các lệnh áp dụng cho tất cả các điều khoản đối với nhà thầu phụ, các quyền chấm dứt hợp đồng.

Các bên nên quyết định cần xác định những điểm nào trên thỏa thuận dịch vụ đám mây của mình. Theo Masur, điện toán đám mây, suy cho cùng, cũng chỉ là môt cách thức mới để mua các dịch vụ cơ sở hạ tầng và dịch vụ phần mềm. Các điều khoản hợp đồng outsourcing truyền thống thường có những hướng dẫn hữu ích cho các bên tham gia điện toán đám mây, đặc biệt là các giao dịch được coi như dịch vụ có liên quan đến các dữ liệu nhạy cảm. Các điều khoản về giấy phép phần mềm thường đem lại những tiền lệ có lợi cho các thỏa thuận SaaS.

Khi Los Angeles và nhà cung cấp dịch vụ outsourcing CNTT CSC của nó kí hợp đồng 3 năm với Google Apps, có rất nhiều các điều khoản thân thiện với khách hàng được đưa vào thỏa thuận: một đám mây riêng cho các dữ liệu nhạy cảm, mã hóa dữ liệu theo lệnh, kho lưu trữ và truy cập dữ liệu chỉ dành cho Mỹ, các mức dịch vụ kèm theo các khoản phật, chức năng khám phá trực tuyến, yêu cầu phục hồi dịch vụ trong vòng 4 tiếng, quyền thoát rõ ràng, các điều khoản dành cho nhà thầu phụ, bồi thường bắt buộc không giới hạn trách nhiệm với bên vi phạm.

Khách hàng của dịch vụ đám mây đôi khi sẽ không thể tìm được nhà cung cấp dịch vụ đám mây sẵn sàng đồng ý với các điều khoản cần có của hợp đồng. Điều này có nghĩa là khách hàng sẽ không thể chuyển dịch vụ CNTT đó đến đám mây. Tuy nhiên, sẽ vẫn có những nhà cung cấp sẽ đồng ý với mọi điều khoản của hợp đồng. Theo Plotkin, “Một nhà cung cấp có thể đồng ý với mọi điều khoản của hợp đồng. Nếu các mức phạt trong trường hợp không thể cung cấp dịch vụ là không đáng kể, thì việc không cung cấp dịch vụ và chịu phạt sẽ tốn ít chi phí hơn là cung cấp dịch vụ. Điều này thật sự rất nguy hiểm đối với tất cả các nhà cung cấp dịch vụ. Nhưng có lẽ, vấn đề còn nghiêm trọng hơn thế vì nhiều nhà cung cấp dịch vụ đám mây còn rất non kinh nghiệm và chưa trải qua nhiều thử thách như các nhà cung cấp truyền thống”.