Veiledning ved anskaffelse av nettskytjenester Svein Erik Markussen, EVRY Veiledningens formål og bruk Kort om definisjoner og markedsstatus Hva skiller nettskyen fra tradisjonelle IT-tjenester Avtalekrav til tjenestene DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!
Veiledning ved anskaffelse av nettskytjenester Formål og bruksområde: Gi innsikt i avtalerelaterte vurderinger som bør gjøres Balansere «styrkeforholdet» mellom kunde og leverandør Spesiell fokus på risiko og sikkerhet Fokus på faste avtalefestede leveranser ikke sporadiske kjøp 2
Veiledning ved anskaffelse av nettskytjenester Arbeidsgruppe: Jørgen Petersen (prosjektleder), PROMIS Thor Beke, Steria (nå Berngaard Sandbek) Svein Erik Markussen, EVRY Erik Bollestad, Departementenes servicesenter Kari Anne Støkken, Statens lånekasse for utdanning Trine Lysaker Lehn, Oslo kommune (nå Statoil F&R) Innspill og høring: Haavind Advokatfirma, Simonsen Advokatfirma, Datatilsynet, Dataforeningens faggrupper, flere IT-leverandører m.m. 3
Scope og avgrensninger Veiledningen fokuserer på det som er spesielt for skytjenester og supplerer således Dataforeningens generelle veileder for ITdrift avtaler 4
Definisjoner og fokusområder Leveransemodeller/tjenestenivå: Programvare som en tjeneste (SaaS) Plattform som en tjeneste (PaaS) Infrastruktur som en tjeneste (IaaS) Typiske leverandørmodeller: Offentlig nettsky (Public Cloud) Privat nettsky (Private Cloud) Nettskyfellesskap (Community Cloud) Hybrid nettsky (Hybrid Cloud) 5
I utgangspunktet er nettskyen en gave til alle konsumenter av IT Tradisjonelt IT-tjenestetilbud Hva forretningssiden trenger Forretningsdrivere: Enkelhet, hastighet, fleksibilitet, effektivitet og kvalitet Virkemidler: Prefabrikering, selvbetjening og automatisering > industrialisering
8 Og ja, det er også utfordringer
Dataforeningens Veileder for nettskytjenester Hva skiller nettskyen fra tradisjonelle IT-tjenester DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!
Hva skiller nettskyen fra tradisjonelle IT-tjenester Støttefunksjoner og servicegarantier Bygger på stordrift og lav kundeinvolvering Selvbetjening og generell e-support Gode oppetidsgarantier, men ofte også minimal «straff» ved avvik ER dette dekkende - trenger man tilleggsytelser/tredjepart 10
Hva skiller nettskyen fra tradisjonelle IT-tjenester Integrasjon og ende til ende ansvar Nettskytjenester er normalt spissede leveranser som gir tilgang til en avgrenset funksjonalitet eller kapasitet Typisk er kun deler av IT-verdikjeden er dekket Eventuell integrasjon, utover det som er gjort i leverandørens datasenter, må gjerne håndteres på kundesiden eller av tredjepart Roller, ansvarsforankring og tilhørende servicegarantier i dette bildet må avklares 11
Hva skiller nettskyen fra tradisjonelle IT-tjenester Risiko og sårbarhet Offentlige nettskyer er basert på drift av mange kunder på delte plattformer Internett er normalt kanal for brukertilgang, datautveksling og administrasjon Data kan ofte lagres og prosesseres i en eller flere fremmede land Kritiske hendelser kan berøre svært mange kunder og datamengder samtidig Leverandørens sikkerhetsregime er avgjørende og må evalueres Ansvar ved konkurs eller insolvens bør også evalueres 12
Hva skiller nettskyen fra tradisjonelle IT-tjenester Internasjonale aspekter Nettskytjenester leveres ofte på tvers av landegrenser for å optimalisere ressurser Som kunde kan en bli eksponert for flere leverandører og lands rettssystemer For øvrig har de fleste ledende leverandører nå datasentre innen EU Informasjon lagret i et bestemt land kan bli gjenstand for revisjon eller tilsvarende basert på dette lands lovverk Dette må vurderes og tas i betraktning før nettskytjenester tas i bruk 13
Hva skiller nettskyen fra tradisjonelle IT-tjenester Regulatoriske føringer og virksomhetskrav Gjelder for alle eksterne IT-tjenester, men det kan være tyngre å få dokumentert etterlevelse i en offentlig nettsky Et stort antall kunder vil ofte medføre begrensede muligheter for kundespesifikk innsyn og revisjon Leverandøren kan også være underlagt andre lands krav og lovverk som gjør det vanskelig å fremme egne/norske krav Spesielt relevant er dette i relasjon til; Personopplysningsloven Regnskapsloven Helseregisterloven Føringer fra Finanstilsynet Samt for egne virksomhetskrav 14
Hva skiller nettskyen fra tradisjonelle IT-tjenester Terminering og flytting av leveranser Egne virksomhetsløsninger flyttes inn i fellessystemer med tilhørende drifts- og forvaltningsmetodikk eid av leverandøren Det er da viktig å ha avklart vilkår for terminering av leveransen, enten det initieres fra kunde- eller leverandørsiden Hvem eier hva Hvilke format kan data utleveres i Hvordan slettes data (kan ofte være umulig å garantere) Hvilke hjelpeverktøy er tilgjengelig ved flytting av data, etc. 15
Cloud adaption level Oppsummert vil graden av standardisering og industrialisering avgjør kundens påvirkning i kontrakt og leveranser ERVY s Managed IT services EVRY s Cloud based services Highly customizable Partly customizable Specialized Generic high volume Operational Services (classic) Infrastructure Utility Services Private Cloud Public Cloud Community Shared production Partly self serviced Self-serviced and automated delivery Converged infrastructure prepared for fast delivery Standardized service modules, shared skill pools and basic infrastructure Delivery industrialization level 16
Veiledning ved anskaffelse av nettskytjenester Anskaffelsesprosess Der tjenesten kjøpes løpende online, vil selve bestillingen bety aksept av avtalevilkår og betingelser Bruk støtteverktøy og maler i behovsspesifisering og utforming av forespørsel CloudStore Community UK Cloud services approved by HM Government Pass på å gi åpning for både tradisjonelle ITtjenester og nettskytjenester Det bør være enkelt for leverandørene å svare på om de oppfyller kravene Forstå rasjonale for leverandørens standardvilkår Særskilte kundekrav kan fort bli prisdrivende eller ekskluderende Lokale leverandører har ofte mer rom for tilpasninger i tjenester og vilkår 17
Dataforeningens Veileder for nettskytjenester Avtalekrav til tjenestene DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!
Veiledning ved anskaffelse av nettskytjenester Avtalekrav til tjenestene Krav til funksjonalitet SLA-krav og sanksjoner ved brudd «Rask utbedring av generelle mangler, men treg retting av kundespesifikke problem» SLA på sikkerhets- og katastrofehåndtering? Vurder mulige ansvarsfraskrivelser Krav til ansvar ved tap av data «Du får refundert 12 mnd. avtalekost» Ansvarsfraskrivelser Krav til samhandling og rapportering Krav til endringer i tjenestene Prismodeller «Forbruksbasert pris ga uventet utslag» Google har flere linker (URL) til selvstendige og «levende» avtalevilkår, f.eks. SLA og privacy policy
Veiledning ved anskaffelse av nettskytjenester Øvrige avtalemessige krav Rettigheter kunde/leverandør Oppsigelse og avslutning Krav til tilgang til data Partsspesifikke krav Krav til informasjonssikkerhet Generelle krav til behandling av personopplysninger NSA overvåkningsprogram PRISM
Veiledning ved anskaffelse av nettskytjenester Øvrige veiledninger, rammeverk og kilder 21
Veiledning ved anskaffelse av nettskytjenester Oppsummering Samme leveranse - Forskjellig leveransemodell Dette påvirker anskaffelsesprosess, avtaleverk og løpende leverandøroppfølging Stor fokus på sikkerhetsutfordringer i dag mye av dette vil bli løst eller akseptert Skillet mellom tradisjonelle tjenester og nettskytjenester vil gradvis forsvinne 22