管理云合同风险的九大技巧
在购买云计算服务时,有九种使用的方法可以用来管理你的业务以及法律风险,确保你能成功的采纳这种新兴的计算模式。
这些建议由法律专家、盛智律师事务所合伙人Riaz Karamali在旧金山云博览会上提供。
Karamali先生的第一个建议是,如果点击条款不能充分满足你的需求,写个原始云合同给“你的商业现实中的因素,法规遵循需求及期望”是确保你的独特需求被满足的最好方法。
虽然云服务供应商通常提供一刀切的条款,要确保用尽一切方法来减轻你的风险。
以下的清单是九条使用建议,能够帮助你做到这些。
1.性能
服务水平协议通常包括正常运行时间、服务可用性,甚至交付的准确性和品质。紧急情况、日常维护和不可抗力事件如老天的行为是例外。补救措施通常包括服务信用。但是根据服务或数据损失及其对你业务的影响,实际损失可能是更好的选择。请求根源分析可以帮助确定和防止未来的违反。而终止权需要包括在最后补救之内。
2.数据安全
条款应该考虑外部攻击,恶意内部人士和人为错误。有时候一个来自心怀不满的雇员的破坏可能比一个外部攻击更恶劣,这需要被考虑在内。
3.数据隐私
你应该考虑数据的性质以及它在哪里被收集、存储和处理,相对于你的特定需求和合规需求。了解那条法律法规管制你的数据隐私、供应商的义务是什么,也同样重要。法律控制数据隐私的例子包括:
在美国:电子通信隐私法(ECPA),健康信息隐私(HIPAA)和高科技法案,金融服务现代化法案,FTC法案,状态数据违反通知法。
在欧盟:欧盟数据保护条例
4.不可抗力和灾难计划
不可抗力是指“在事件当事人控制之外,如自然灾害或战争,导致一方不能履行合同规定的义务”。不可抗力事件可被作为不履行义务的借口,因此在你的云合同中应该被仔细定义和处理这样的条款。每个云服务供应商都应该有一个灾难恢复计划,一旦发生可预见的不可抗力事件,作为临时应急计划。但是很少有任何“保证”。
5.互操作性
在为同一服务向多个云供应商采购时,确保你的供应商将能够一起工作。别忘了覆盖终止数据传输。在没有统一数据标准的情况下,云端之间的数据传输可以算劳动密集型。确保可靠和即使访问你的数据并阐明你和你的供应商的责任是最重要的。
6.责任与赔偿
责任上的限制会处理责任的类型和量,协商例外。责任补救必须被具体化,且应要求厂商为客户的利益支付适当的保险。
7.审计权利
合同条款应该包括审计评估计费程序,安全系统和在云服务协议终生的法律遵从性。供应商通常提供SSAE16审计标准下的服务组织控制(SOC)的2报告。SOC 2报告评估服务供应商对系统安全性、可用性、处理完整性、机密性和隐私性的控制。这是一个好的开始,但是往往为允许客户或其代表进行检查的额外审计权利所做的协商相当重要。
8.长期问题
当选择一个云服务供应商时,考虑其稳定性、收购的可能性、服务终止和任何其他转型将影响或结束你的服务关系。
9.知识产权归属
在软件即服务(SaaS)模型中,知识产权的所有权是明确的,供应商拥有应用程序,你拥有你的数据但是在其他的云服务类型中,应用程序的定制以及你作为用户在解决方案中建立的其他贡献都必须计算在内。
Karamali先生总结说,一个客户消除所有风险或者在谈判中赢得所有点几乎是不可能的。在所有既定法律点上,客户需要理解并评估可能的风险,然后做出一个务实的商业决策。