Відновлення доступності SaaS-додатки за допомогою ескроу-агента
Держава вживає заходів. Розгортаються програми з імпортозаміщення. Стимулюється використання відкритого ПЗ. Але все це процеси нешвидкі. І залежність від західних продуктів в ІТ залишається дуже великий, причому як в плані оновлення версій вже купленого ПО, так і в плані його підтримки.
Залежність замовника від розробника - НЕ нова проблема. Компанія-розробник може розоритися, зникнути з ринку або просто втратити інтерес до проданого продукту. А замовник вже заклав його в свої технологічні ланцюжки і не може так просто від нього відмовитися. У всякому разі, за короткий проміжок часу. А жити і працювати йому треба зараз.
Розробник з цілком зрозумілих причин не хоче давати вихідний код замовнику. Замовник хоче мати гарантії на випадок припинення підтримки з боку розробника. Один з можливих варіантів вирішення проблеми, широко використовуваний на Заході, - умовне депонування (ескроу) ПО.
Ескроу в російському законодавстві
У договорі рахунку ескроу беруть участь три сторони: депонент (власник рахунку), бенефіціар (отримувач грошових коштів з рахунку ескроу) і ескроу-агент, яким зараз у нас може виступати тільки банк. За договором рахунки ескроу банк (ескроу-агент) відкриває спеціальний рахунок ескроу для обліку та блокування грошових коштів, отриманих ним від власника рахунку (депонента) з метою їх передачі іншій особі (бенефіціару) при виникненні підстав, передбачених договором між банком, депонентом і бенефіціаром
Простіше кажучи, ви купуєте квартиру, але не довіряєте продавцеві. Віддасте йому валізу з грошима, а він не оформить угоду до кінця, і ви залишитеся без грошей і без квартири. Продавець теж боїться. Оформить операцію продажу, а ви йому не заплатите. Або заплатите, але не всі.
Банк виступає в якості нейтрального посередника. Ви відкриваєте спеціальний ескроу-рахунок в банку і кладете на нього гроші. Після цього ви не можете їх просто так зняти. А продавець не може їх отримати до виконання всіх вимог договору, т. Е. В нашому прикладі до повного оформлення продажу квартири.
Відповідно до поточного російським законодавством об'єктом депонування можуть бути тільки грошові кошти, що сильно відрізняється від світової практики, згідно з якою депонувати можна що завгодно. У тому числі технології та комплектуючі, ПЗ.
Основні кроки при організації умовного депонування ПО
На Заході ескроу використовується давно і широко поширене в ІТ. Умовне депонування ПО - це як шлюбний договір. Спочатку ви думаєте, що він ніколи не знадобиться. Але іноді помиляєтеся. І коли відносини в шлюбі починають погіршуватися, розумієте, що укладення шлюбного договору було правильним рішенням.
Ескроу програмного забезпечення дозволяє знизити ризики і захистити ваш бізнес. Але спочатку треба зрозуміти, які бізнес-додатки у вас дійсно є критичними і вимагають такого захисту. Потрібно оцінити ризики і наслідки для бізнесу. Якщо ви купуєте широко поширене рішення великої світової компанії, то ймовірність її швидкого банкрутства невелика. А якщо вузькоспрямовану розробку, орієнтовану тільки на ваш бізнес, та ще й зроблену дрібної, маловідомою фірмою або стартапом, то ризики значно зростають. І вам варто задуматися, що буде з вашим бізнесом, якщо компанія-розробник збанкрутує або піде з ринку.
Другий крок - визначити, що саме будете депонувати. Адже програма це не тільки вихідний код розробника. Депонувати треба все, що потрібно для працездатності коду, включаючи конкретне апаратне і програмне забезпечення сторонніх розробників із зазначенням версій необхідних програм і необхідних параметрів «заліза».
Потрібно депонувати докладні інструкції щодо збирання і складанні коду, опис нестандартних параметрів і унікальних особливостей, специфікації на API, призначені для користувача настройки, діагностичні тести, сторонні бібліотеки і, звичайно, не забути про контрольні суми депонованого софта.
Якщо депонент не може уявити якісь програмні засоби, то він повинен хоча б надати інформацію про них, включаючи номери версій, назви виробників, їх контактну інформацію.
Потрібно мати список використовуваних баз даних і опис їх структур і тестові бази для перевірки ПО і включити в список депонованих документів експлуатаційну документацію. Важливим представляється наявність проектної документації, по якій досвідчений програміст зможе розібратися в програмі і продовжити роботи по її доробці.
Укладення договору і супровід робіт
Третій крок - визначення бюджету угоди по депонуванню. Потрібно розуміти, що доведеться оплачувати не тільки безпосередньо депозитний гонорар ескроу-агента, а й роботи з перевірки депозиту і юридичні послуги. Яка ціна питання? Чи готові ви викласти необхідну суму? У скільки вам обійдеться відмова депонуються систем і наскільки великі ризики настання «розлучення» - дня «Ч»?
Четвертий крок - вибір ескроу-агента. У нього повинна бути ліцензія. І це повинна бути дійсно нейтральна компанія, якій повинні довіряти обидві сторони - і замовник, і продавець-розробник. Замовник повинен бути впевнений, що в день «Ч» агент неодмінно виконає те, що прописано в договорі. А розробник - що агент не зіллє депоновані вихідні коду третім особам.
Наступні два кроки - організаційно-юридичні. На п'ятому кроці йде узгодження договору з усіма сторонами. З депонентом (вкладником) - розробником ПО або ліцензіаром, з замовником - бенефіціаром і з ескроу-агентом.
А на шостому - безпосередньо укладення угоди. На цьому етапі особливо важлива робота юристів, які перевіряють здійснимість закладених в договорі умов. Наприклад, не пропустити приписане на етапі узгодження вимога «коли рак на горі свисне».
Дуже важливим є сьомий крок - перевірка депозиту. Депонування не дає гарантій, якщо немає можливості проведення перевірки депонованого коду, яка по хорошому повинна включати компіляцію і збірку вихідного коду з наступним тестуванням працездатності, т. Е. Перевіркою здійсненності функцій, необхідних для вашого бізнесу.
Компіляцію і збірку програми проводить ескроу-агент. Він обчислює контрольні суми і проводить верифікацію депонированного ПО. Підтвердження ідентичності ПО тому, що в даний момент використовує замовник, є свідченням його працездатності.
Цьому питанню часто не приділяється належної уваги. А даремно. За даними Iron Mountain, одного з лідерів на ринку ескроу, 80% переданих ескроу-агенту на депонування документів не містять всіх необхідних матеріалів для відновлення ПО, а 90% вимагають при відновленні додаткового участі розробника. І ці недоліки потрібно виявити до настання часу «Ч». Та й звернутися з вимогами про усунення недоліків краще, коли фірма ще працює, а не коли вона вже перестала існувати або робити потрібну вам бізнесом.
Восьмий - супровід угоди. Після підписання договору робота не закінчується. Вам в організації потрібна людина, яка буде займатися його супроводом. Перевіряти реальне виконання умов договору: чи оновлюється з виходом нових версій програм депонований у ескроу-агента код, чи проводиться його верифікація
Виконання цих кроків - процес не простий і не швидкий. Але це саме те, що треба, щоб депонування софта було реальним засобом зниження ризиків бенефіціара.
Трохи про типах угод
Ми розглянули кроки для найбільш загального випадку. На практиці більшість ескроу-агентів пропонує кілька типів угод по депонуванню ПО, в тому числі і полегшені варіанти. Розглянемо їх по черзі.
- Тристоронній договір. Найпоширеніший тип ескроу, коли договір укладається між ескроу-агентом, одним депонентом і одним бенефіціаром.
- Генеральне тристоронню угоду. Використовується, коли ви хочете депонувати софт декількох розробників, спільно створюють для вас ПО. Або коли розробник депонує свій продукт для декількох бенефіціарів.
- Двостороннє угоду. Підписується між депонентом і ескроу агентом. Зазвичай орієнтоване на захист від банкрутства розробника. По суті, є лише базової захистом для замовників, так як не має на увазі процедуру поточної перевірки їм ПО.
- Генеральне двосторонню угоду. Відрізняється від двосторонньої угоди тим, що депонується відразу кілька програмних продуктів.
Цілком логічно, що найпоширенішим типом є тристоронній договір, коли є можливість індивідуального узгодження умов депонування і настання умов передачі депонированного ПО бенефіціару. Але потрібно знати і про існування інших.
Як депонувати SaaS-додатки?
Традиційно ПО передавалося розробником на фізичних носіях, наприклад на DVD-ROM. Ці носії і депонувалися ескроу-агентом. І в разі настання умов, обумовлених у договорі, передавалися бенефіціару.
А що робити, якщо розроблене ПЗ реалізовано в хмарі? Незважаючи на сумніви скептиків, бізнес-критичні програми все частіше розміщуються в хмарах, наприклад системи інтернет-банкінгу або навіть банківські АБС.
З'являються нові специфічні проблеми. Бенефіціар не може просто сам відновити депонуються додаток. Він і під час поточної експлуатації не має доступу до ПО. У нього може навіть не бути доступу до своїх поточних і архівних даних, які фізично знаходяться невідомо де, можливо в різних ЦОДах.
SaaS-додаток може працювати у стороннього провайдера, що ще більше ускладнює проблему. З'являються нові ризики, такі як втрата доступу до своїх даних на стороні провайдера. Та й сама можливість відновити оригінальну програму тепер залежить від провайдера хмарних послуг, що теж підвищує ризики.
Так, ви укладаєте з хмарним провайдером SLA, в якому можете обговорити всі ваші вимоги. Але SLA не є панацеєю і не вирішує всіх проблем. І ескроу-договір може стати додатковою страховкою.
Для адекватного захисту SaaS-додатків потрібно в ескроу-договорі врахувати необхідність доступу до своїх поточних даних і до виконуваного коду в разі втрати доступу до своїх бізнес-критичних систем в хмарі провайдера. Вихідний код теж важливий, наприклад, в разі довгострокових проблем з розробником або його банкрутства, але головне - швидко відновити працездатність бізнес- додатки.
По суті виходить гібрид ескроу з системою резервного копіювання в реальному часі. Прикладом може служити система SaaS Protect Escrow Service компанії Iron Mountain. Якщо хмарний провайдер за обумовлену в договорі час не може відновити доступ до SaaS-додатком, то абонент зв'язується з ескроу-агентом і починає працювати на резервної копії програми. При цьому ескроу-агент передає бенефіціару об'єктний код і документацію, необхідну для розгортання бенефіціаром додатки в іншому хмарі або на своїх потужностях. А якщо фірма розробник SaaS-додатки зовсім припинила його підтримку і настав час «Ч», то у бенефіціара залишиться працездатна версія з усіма даними, вихідними кодами і необхідної документацією.
Чи потрібно це Росії? Чи допоможе ескроу проти санкцій?
Росії система ескроу потрібна, перш за все для зниження ризику замовлених розробок ПО всередині країни. Так як зараз у нас нічого для цього немає. Немає законодавчої бази і немає своїх ескроу-агентів.
Ескроу програмного забезпечення потрібна для компаній розробників, особливо дрібних фірм і стартапів, так як підвищує рівень довіри до них з боку замовників, підвищує їхні шанси в конкуренції з розкрученими компаніями, що мають добру репутацію на ринку.
І замовникам це потрібно. Ескроу ПО значно знижує ризики використання розробленого для нього ПО, і у замовника з'являються більш широкі можливості для вибору. Взяти масовий продукт надійної великої фірми або заточений під його потреби продукт молодий починаючої компанії - ризики непорівнянні.
Що стосується санкцій, то це питання складне і заплутане. З одного боку, ескроу-агент по суті виступає страховою компанією. Він не поставляє ПО компанії, яка потрапила під санкції, а просто «виплачує страховку». Якщо, звичайно, потрапляння під санкції як «страховий випадок» і підстава для передачі депонированного ПО були прописані в договорі. Та й якщо такого пункту немає, а сама фірма розробник розорилася або змінила діяльність - то «страховий випадок» настав. І ПО повинно бути передано, навіть якщо бенефіціар потрапив під санкції.
З іншого боку, реальних кейсів ще не було і незрозуміло, як поведуть себе ескроу-агенти в такій ситуації. Особливо, якщо ці ескроу-агенти знаходяться в юрисдикції США.
Та й відповіді західних юристів - фахівців з ескроу ПО досить ухильні. Так, Дмитро Дубограй, американський адвокат і керівник міжнародної юридичної фірми femida.us, що представляє інтереси ІТ-компаній на західних ринках, у відповідь на наше запитання, чи можна використовувати ескроу програмного забезпечення, як страховку від санкцій, прописавши введення санкцій як страховий випадок в договір, відповів: «Думаю, так - санкції можуть бути, наприклад, форс-мажором».
З іншого боку, у відповідь на уточнююче на питання, чи буде виконувати американський ескроу-агент договір, Дмитро відповів: «Звичайно, якщо немає прямої заборони на ті чи інші дії. Наприклад - якщо будуть введені санкції на передачу того чи іншого майна або технології на користь особи, яка потрапила під санкції, то ескроу-агент не може обійти чітку заборону закону, мотивуючи це дотриманням контракту. Креативних рішень юристи, звичайно, придумують багато, але межу закону з будь-якого боку кордону ми не переступаємо ».
Якщо гарантом виступатиме російський ескроу-агент, проблем буде менше. Незрозуміло тільки, чи піде на співпрацю з ним західна компанія. Однак немає нічого неможливого. Являє ж свої вихідні коди урядам багатьох країн Microsoft.
Що далі?
З ескроу програмного забезпечення як засобом боротьби з санкціями треба ще розбиратися, перш за все юристам, що спеціалізуються на зарубіжному і міжнародному праві.
Але те, що система умовного депонування ПО, та й взагалі технологій, стане в нагоді і в нашій країні, сумнівів у експертів викликає. Проблема ескроу актуальна, хоча в основному для нестандартних систем. Першочергове - довіру до розробника. І все, що ця довіра підвищує, - корисно. «Якщо ескроу прижилося в США, то швидше за все приживеться і в Росії», - пояснив нам Андрій Бешков, Security Program Manager for CEE і CIS компанії Microsoft.
Дійсно, якщо це є і затребуване на Заході, чому б не використати і у нас? Ось тільки наше законодавство тут сильно відстає. Є надія на нову редакцію Цивільного кодексу, в проекті якого поняття ескроу розширюється. Уже можна буде депонувати не тільки гроші. Згідно п. 3 ст. 926.1 «Об'єктом депонування можуть бути речі (включаючи готівкові гроші, документарні цінні папери і документи), безготівкові грошові кошти, бездокументарні цінні папери».
Однак цього недостатньо. Як показує зарубіжний досвід, об'єктом депонування можуть бути не тільки речі, але й інтелектуальна власність, програмні продукти, технології. Добре б це врахувати нашим законодавцям.
Internet of Things - тренд, який вже зараз кардинально змінює бізнес у всьому світі. І хоча деякі досі з ...
Сервісні центри ГК «Паладин» здійснюють різні види обслуговування обчислювальної техніки Hewlett-Packard ...
Множинний досвід російських і зарубіжних компаній показали, що ПО для управління ІТ-послугами допомагає спростити ...
«Територіальна генеруюча компанія № 11» (ВАТ «ТГК-11»), одна з найбільших теплоенергетичних бізнес-структур в ...
Сучасні технології дозволяють буквально в кілька кліків створити необхідні мережі з різними параметрами і різним рівнем доступу.
В умовах, коли дані стають цінним активом для бізнесу, їх надійний захист перетворюється в одну з найважливіших завдань. Продукти компанії Veritas дозволяють розв'язати цю проблему ефективно при будь-якій конфігурації інформаційних систем замовника.
У настала епосі мобільності і хмар мова йде не тільки про своєчасне надання додатків, але також про спрощення процесів, що прискорюють виконання робочих завдань.
Для різних компаній потрібні різні стратегії хмарних обчислень, але всі вони будуть використовувати хмара.
Компанія HP випустила нові друкують устрою для офісу формату A3. Пристрої створені.