摘要:云計算正在迅速發展,在某些情況下,這種發展已經改變了云合同談判的性質,使IT領導人擁有更多的優勢。
云計算正在迅速發展,在某些情況下,這種發展已經改變了云合同談判的性質,使IT領導人擁有更多的優勢。隨著云支出的增長, 云合同談判中不再是由服務供應商進行主導。本文將討論如何針對你的企業,進行云合同的條款和條件的談判。
隨著云支出的增長, 云合同談判中不再是由服務供應商進行主導。本文將討論如何針對你的企業,進行云合同的條款和條件的談判。
CIO Cynthia Nustad回忔,在云早期,云合同談判中,IT領導人并沒有多少余地。
大約七年前,絕大多數的云服務供應商都向企業提供一個千篇一律的合同,Nustad說,她是醫療管理服務公司HMS的CIO。許多供應商都拒絕承擔任何真正的責任,他們當然回避簽署醫療行業的商業伙伴協議,這一協議要求供應商在數據泄露事件中共同承擔責任。
這足以讓許多CIO在簽署云合同時,感到不安,Nustad當時是另一家醫療行業公司的IT領導人,最終決定放棄。
“供應商真的完全掌控了合同,”她說。“也許你可以在價格或附加條件上進行協商,但是核心服務都基本固定。你只能選擇簽名,這是你唯一的選擇。那時,我們做不到。數據泄露的成本實在太高,我們不能冒風險。”
然而,如今,許多云供應商不再回避簽署那些商業伙伴協議。 “事情已經發生重大變化,”Nustad說。
云計算正在迅速發展,在某些情況下,這種發展已經改變了云合同談判的性質,使IT領導人擁有更多的優勢。
根據IDG Enterprise的Computerworld Forecast Study 2015,預測42%的IT決策者正計劃在2015年增加云計算的開支。去年年底IDC預測,到2016年,IT將會把預算中的11%從傳統的內部IT交付,轉移到各類型的云計算上,作為一種新的交付模型。IDC預測,公有云支出將在2018年達到1270億美元。
共享技術是云服務的核心,允許供應商以非常難以抗拒的價格為CIO們提供他們的服務。但是,因為這樣的低成本,云供應商通常期望公司簽署千篇一律的合同,并且沒有靈活性,Andy Sealock表示,他是Pace Harmon公司的總經理,幫助客戶尋找合適的云服務供應商。
“我們發現,云服務供應商通常都是如此,并用低成本作為借口,而不提供我們客戶想要的服務,”Sealock說。
但是,CIO和IT專家們都認為,隨著市場的成熟,和云供應商數量的增加,這一市場變得更有競爭力, CIO們現在可以避開這種一刀切的合同,開始尋求和獲得帶有更多安全保障和自定義服務的合同,以滿足他們的業務需求。
“如果你是很重要的客戶,服務供應商肯定很愿意進行商談,因為這是一個銷售機遇,”Sealock說。 “很多大公司像亞馬遜和微軟都會愿意進行協商,但即使是一些規模較小的供應商,也愿意協商,因為有時他們期望獲得你的業務,也愿意提供定制服務。”
Sealock表示,需要進行一定的施壓,才能讓供應商提供超越標準合同的服務。 “很多時候需要有競爭力的計劃書,否則,他們不會重視,”他說。
如今的云合同談判已經遠遠不再是價格和服務水平協議。 以下是IT領導人在下次商談云合同時,需要考慮的一些條款和因素:
云合同談判:條款和條件
許多云供應商會說,“我們的條款和條件都在我們的網站上。” 但供應商通常會在不另行通知的情況下,修改這些條款, Colin Whiteneck說,他是德勤咨詢公司的高級經理,為CIO們提供云合同咨詢。
“你需要和他們進行談判,讓他們提供具體的條款和條件,”Whiteneck說。“如果他們不愿意進行協商,你就告訴他們你不想看到他們的計劃書。”
即使供應商堅持使用標準條款,也需要在合同中闡明這些條款在整個合同期內都應適用,以避免未來發生對于企業不利的情況。
數據存儲
John p . Donohue是賓夕法尼亞大學醫學院的技術和基礎設施的副CIO,他認為對于醫療服務提供者而言,知道自己的云供應商在何處存儲數據是非常重要的。
“我們必須非常清楚數據存儲的地點,并且我們希望,當他們要改變存儲地點時,可以通知我們,”他說。 “云供應商通常使用成本最低的地點進行存儲,而且會轉換地點。我們希望能夠禁止這種行為。”
一些供應商會讓企業支付數據中心轉移的費用。此外,許多合同中對于數據保留,和供應商對于數據存儲的方式和地點的責任定義都非常模糊, Whiteneck說。
隨著云的發展, 許多國家正在制定新的數據隱私法律——在某些情況下,要求某些數據存儲在國家內部。 “明確數據的存儲地點,保護的方式是很重要的,這樣就可以遵從不同國家的法規,而這些法規也在不斷變化,” Whiteneck說。
如果供應商決定與另一家公司合作,并且會改變數據存儲的結構,企業必須獲得通知。
“我有一個客戶,發現七個月前供應商將數據搬到另一個公司存儲,這改變了客戶認可的安全性,” Michael Davis說,他是網絡安全公司CounterTack的CTO, 也提供云合同,并且為客戶提供云相關的安全問題咨詢。
安全條款
公司應該讓云服務供應商展現其架構和設計下的網絡是如何連接的,數據是如何備份的,數據的存儲地點,以及如何保護數據的安全, Sealock說。
“你必須盡職去調查這一切:如何應對數據修復?他們進行數據快照的頻率,又如何存儲它們?他們如何預防攻擊?”Sealock建議。 “除非你問,你不會得到這些詳細的細節。合同只是白紙黑字。你需要的是一個詳細的解讀。”
賓夕法尼亞大學醫學院的Donohue說,當涉及到安全問題時,云供應商經常說他們“將采取最佳方案,”或“遵循行業標準”,但這些模糊語言并不能讓他放心。
“我們想要知道他們具體將如何保證我們的數據安全,無論是物理上的,還是虛擬上的,”他說。
在標準的云合同中,通常在沒有云供應商的批準下, 企業是沒有足夠的權限進行安全測試的,但是公司應該確保它能夠開展自己的安全測試,,Davis說。金融服務和醫療行業尤其需要開展特定的掃描和測試。
“如果你沒有獲得許可,你開始做一些安全測試,供應商也許會認為這是一個真正的攻擊,然后關閉你的服務,” Davis警告說。
公司還需要清楚供應商是如何響應安全漏洞事件的。在某些情況下,合同并沒有要求供應商必須報告黑客攻擊事件, Davis說,他舉了一個公司的例子, 這家公司根本不知道被攻擊了,直到公司高管在《華爾街日報》上看到新聞。
“你必須要求供應商在公開攻擊事件之前,至少提前48個小時通知你,” Davis說。
關于其他安全方面的條款,Davis表示,他的公司會要求一定程度的訪問權限控制,允許一些員工訪問數據,但沒有修改或刪除任何信息的權限,而其他人可以有更大的權限。
“一些云供應商的訪問控制薄弱。他們要么提供所有訪問權限,要么完全沒有權限,” Davis說。“如果你給任何員工所有訪問權限,你只能祈求他不會刪除什么重要信息。”
京公網安備 11010502049343號