隨著云支出的增長， 云合同談判中不再是由服務供應商進行主導。本文將討論如何針對你的企業(yè)，進行云合同的條款和條件的談判。

　　CIO Cynthia Nustad回忔，在云早期，云合同談判中，IT領導人并沒有多少余地。

大約七年前，絕大多數(shù)的云服務供應商都向企業(yè)提供一個千篇一律的合同，Nustad說，她是醫(yī)療管理服務公司HMS的CIO。許多供應商都拒絕承擔任何真正的責任，他們當然回避簽署醫(yī)療行業(yè)的商業(yè)伙伴協(xié)議，這一協(xié)議要求供應商在數(shù)據(jù)泄露事件中共同承擔責任。

這足以讓許多CIO在簽署云合同時，感到不安，Nustad當時是另一家醫(yī)療行業(yè)公司的IT領導人，最終決定放棄。

“供應商真的完全掌控了合同，”她說。“也許你可以在價格或附加條件上進行協(xié)商，但是核心服務都基本固定。你只能選擇簽名，這是你唯一的選擇。那時，我們做不到。數(shù)據(jù)泄露的成本實在太高，我們不能冒風險。”

然而，如今，許多云供應商不再回避簽署那些商業(yè)伙伴協(xié)議。 “事情已經發(fā)生重大變化，”Nustad說。

云計算正在迅速發(fā)展，在某些情況下，這種發(fā)展已經改變了云合同談判的性質，使IT領導人擁有更多的優(yōu)勢。

根據(jù)IDG Enterprise的Computerworld Forecast Study 2015，預測42%的IT決策者正計劃在2015年增加云計算的開支。去年年底IDC預測，到2016年，IT將會把預算中的11%從傳統(tǒng)的內部IT交付，轉移到各類型的云計算上，作為一種新的交付模型。IDC預測，公有云支出將在2018年達到1270億美元。

共享技術是云服務的核心，允許供應商以非常難以抗拒的價格為CIO們提供他們的服務。但是，因為這樣的低成本，云供應商通常期望公司簽署千篇一律的合同，并且沒有靈活性，Andy Sealock表示，他是Pace Harmon公司的總經理，幫助客戶尋找合適的云服務供應商。

“我們發(fā)現(xiàn)，云服務供應商通常都是如此，并用低成本作為借口，而不提供我們客戶想要的服務，”Sealock說。

但是，CIO和IT專家們都認為，隨著市場的成熟，和云供應商數(shù)量的增加，這一市場變得更有競爭力， CIO們現(xiàn)在可以避開這種一刀切的合同，開始尋求和獲得帶有更多安全保障和自定義服務的合同，以滿足他們的業(yè)務需求。

“如果你是很重要的客戶，服務供應商肯定很愿意進行商談，因為這是一個銷售機遇，”Sealock說。 “很多大公司像亞馬遜和微軟都會愿意進行協(xié)商，但即使是一些規(guī)模較小的供應商，也愿意協(xié)商，因為有時他們期望獲得你的業(yè)務，也愿意提供定制服務。”

Sealock表示，需要進行一定的施壓，才能讓供應商提供超越標準合同的服務。 “很多時候需要有競爭力的計劃書，否則，他們不會重視，”他說。

如今的云合同談判已經遠遠不再是價格和服務水平協(xié)議。 以下是IT領導人在下次商談云合同時，需要考慮的一些條款和因素：

云合同談判：條款和條件

許多云供應商會說，“我們的條款和條件都在我們的網(wǎng)站上。” 但供應商通常會在不另行通知的情況下，修改這些條款， Colin Whiteneck說，他是德勤咨詢公司的高級經理，為CIO們提供云合同咨詢。

“你需要和他們進行談判，讓他們提供具體的條款和條件，”Whiteneck說。“如果他們不愿意進行協(xié)商，你就告訴他們你不想看到他們的計劃書。”

即使供應商堅持使用標準條款，也需要在合同中闡明這些條款在整個合同期內都應適用，以避免未來發(fā)生對于企業(yè)不利的情況。

數(shù)據(jù)存儲

John p . Donohue是賓夕法尼亞大學醫(yī)學院的技術和基礎設施的副CIO，他認為對于醫(yī)療服務提供者而言，知道自己的云供應商在何處存儲數(shù)據(jù)是非常重要的。

“我們必須非常清楚數(shù)據(jù)存儲的地點，并且我們希望，當他們要改變存儲地點時，可以通知我們，”他說。 “云供應商通常使用成本最低的地點進行存儲，而且會轉換地點。我們希望能夠禁止這種行為。”

一些供應商會讓企業(yè)支付數(shù)據(jù)中心轉移的費用。此外，許多合同中對于數(shù)據(jù)保留，和供應商對于數(shù)據(jù)存儲的方式和地點的責任定義都非常模糊， Whiteneck說。

隨著云的發(fā)展， 許多國家正在制定新的數(shù)據(jù)隱私法律——在某些情況下，要求某些數(shù)據(jù)存儲在國家內部。 “明確數(shù)據(jù)的存儲地點，保護的方式是很重要的，這樣就可以遵從不同國家的法規(guī)，而這些法規(guī)也在不斷變化，” Whiteneck說。

如果供應商決定與另一家公司合作，并且會改變數(shù)據(jù)存儲的結構，企業(yè)必須獲得通知。

“我有一個客戶，發(fā)現(xiàn)七個月前供應商將數(shù)據(jù)搬到另一個公司存儲，這改變了客戶認可的安全性，” Michael Davis說，他是網(wǎng)絡安全公司CounterTack的CTO， 也提供云合同，并且為客戶提供云相關的安全問題咨詢。

安全條款

公司應該讓云服務供應商展現(xiàn)其架構和設計下的網(wǎng)絡是如何連接的，數(shù)據(jù)是如何備份的，數(shù)據(jù)的存儲地點，以及如何保護數(shù)據(jù)的安全， Sealock說。

“你必須盡職去調查這一切：如何應對數(shù)據(jù)修復?他們進行數(shù)據(jù)快照的頻率，又如何存儲它們?他們如何預防攻擊?”Sealock建議。 “除非你問，你不會得到這些詳細的細節(jié)。合同只是白紙黑字。你需要的是一個詳細的解讀。”

賓夕法尼亞大學醫(yī)學院的Donohue說，當涉及到安全問題時，云供應商經常說他們“將采取最佳方案，”或“遵循行業(yè)標準”，但這些模糊語言并不能讓他放心。

“我們想要知道他們具體將如何保證我們的數(shù)據(jù)安全，無論是物理上的，還是虛擬上的，”他說。

在標準的云合同中，通常在沒有云供應商的批準下， 企業(yè)是沒有足夠的權限進行安全測試的，但是公司應該確保它能夠開展自己的安全測試,，Davis說。金融服務和醫(yī)療行業(yè)尤其需要開展特定的掃描和測試。

“如果你沒有獲得許可，你開始做一些安全測試，供應商也許會認為這是一個真正的攻擊，然后關閉你的服務，” Davis警告說。

公司還需要清楚供應商是如何響應安全漏洞事件的。在某些情況下，合同并沒有要求供應商必須報告黑客攻擊事件， Davis說，他舉了一個公司的例子， 這家公司根本不知道被攻擊了，直到公司高管在《華爾街日報》上看到新聞。

“你必須要求供應商在公開攻擊事件之前，至少提前48個小時通知你，” Davis說。

關于其他安全方面的條款，Davis表示，他的公司會要求一定程度的訪問權限控制，允許一些員工訪問數(shù)據(jù)，但沒有修改或刪除任何信息的權限，而其他人可以有更大的權限。

“一些云供應商的訪問控制薄弱。他們要么提供所有訪問權限，要么完全沒有權限，” Davis說。“如果你給任何員工所有訪問權限，你只能祈求他不會刪除什么重要信息。”