隨著云支出的增長(zhǎng)， 云合同談判中不再是由服務(wù)供應(yīng)商進(jìn)行主導(dǎo)。本文將討論如何針對(duì)你的企業(yè)，進(jìn)行云合同的條款和條件的談判。

[[154853]]

CIO Cynthia Nustad回忔，在云早期，云合同談判中，IT領(lǐng)導(dǎo)人并沒(méi)有多少余地。

大約七年前，絕大多數(shù)的云服務(wù)供應(yīng)商都向企業(yè)提供一個(gè)千篇一律的合同，Nustad說(shuō)，她是醫(yī)療管理服務(wù)公司HMS的CIO。許多供應(yīng)商都拒絕承擔(dān)任何真正的責(zé)任，他們當(dāng)然回避簽署醫(yī)療行業(yè)的商業(yè)伙伴協(xié)議，這一協(xié)議要求供應(yīng)商在數(shù)據(jù)泄露事件中共同承擔(dān)責(zé)任。

這足以讓許多CIO在簽署云合同時(shí)，感到不安，Nustad當(dāng)時(shí)是另一家醫(yī)療行業(yè)公司的IT領(lǐng)導(dǎo)人，最終決定放棄。

“供應(yīng)商真的完全掌控了合同，”她說(shuō)。“也許你可以在價(jià)格或附加條件上進(jìn)行協(xié)商，但是核心服務(wù)都基本固定。你只能選擇簽名，這是你唯一的選擇。那時(shí)，我們做不到。數(shù)據(jù)泄露的成本實(shí)在太高，我們不能冒風(fēng)險(xiǎn)。”

然而，如今，許多云供應(yīng)商不再回避簽署那些商業(yè)伙伴協(xié)議。 “事情已經(jīng)發(fā)生重大變化，”Nustad說(shuō)。

云計(jì)算正在迅速發(fā)展，在某些情況下，這種發(fā)展已經(jīng)改變了云合同談判的性質(zhì)，使IT領(lǐng)導(dǎo)人擁有更多的優(yōu)勢(shì)。

根據(jù)IDG Enterprise的Computerworld Forecast Study 2015，預(yù)測(cè)42%的IT決策者正計(jì)劃在2015年增加云計(jì)算的開(kāi)支。去年年底IDC預(yù)測(cè)，到2016年，IT將會(huì)把預(yù)算中的11%從傳統(tǒng)的內(nèi)部IT交付，轉(zhuǎn)移到各類(lèi)型的云計(jì)算上，作為一種新的交付模型。IDC預(yù)測(cè)，公有云支出將在2018年達(dá)到1270億美元。

共享技術(shù)是云服務(wù)的核心，允許供應(yīng)商以非常難以抗拒的價(jià)格為CIO們提供他們的服務(wù)。但是，因?yàn)檫@樣的低成本，云供應(yīng)商通常期望公司簽署千篇一律的合同，并且沒(méi)有靈活性，Andy Sealock表示，他是Pace Harmon公司的總經(jīng)理，幫助客戶(hù)尋找合適的云服務(wù)供應(yīng)商。

“我們發(fā)現(xiàn)，云服務(wù)供應(yīng)商通常都是如此，并用低成本作為借口，而不提供我們客戶(hù)想要的服務(wù)，”Sealock說(shuō)。

但是，CIO和IT專(zhuān)家們都認(rèn)為，隨著市場(chǎng)的成熟，和云供應(yīng)商數(shù)量的增加，這一市場(chǎng)變得更有競(jìng)爭(zhēng)力， CIO們現(xiàn)在可以避開(kāi)這種一刀切的合同，開(kāi)始尋求和獲得帶有更多安全保障和自定義服務(wù)的合同，以滿(mǎn)足他們的業(yè)務(wù)需求。

“如果你是很重要的客戶(hù)，服務(wù)供應(yīng)商肯定很愿意進(jìn)行商談，因?yàn)檫@是一個(gè)銷(xiāo)售機(jī)遇，”Sealock說(shuō)。 “很多大公司像亞馬遜和微軟都會(huì)愿意進(jìn)行協(xié)商，但即使是一些規(guī)模較小的供應(yīng)商，也愿意協(xié)商，因?yàn)橛袝r(shí)他們期望獲得你的業(yè)務(wù)，也愿意提供定制服務(wù)。”

Sealock表示，需要進(jìn)行一定的施壓，才能讓供應(yīng)商提供超越標(biāo)準(zhǔn)合同的服務(wù)。 “很多時(shí)候需要有競(jìng)爭(zhēng)力的計(jì)劃書(shū)，否則，他們不會(huì)重視，”他說(shuō)。

如今的云合同談判已經(jīng)遠(yuǎn)遠(yuǎn)不再是價(jià)格和服務(wù)水平協(xié)議。 以下是IT領(lǐng)導(dǎo)人在下次商談云合同時(shí)，需要考慮的一些條款和因素：

云合同談判：條款和條件

許多云供應(yīng)商會(huì)說(shuō)，“我們的條款和條件都在我們的網(wǎng)站上。” 但供應(yīng)商通常會(huì)在不另行通知的情況下，修改這些條款， Colin Whiteneck說(shuō)，他是德勤咨詢(xún)公司的高級(jí)經(jīng)理，為CIO們提供云合同咨詢(xún)。

“你需要和他們進(jìn)行談判，讓他們提供具體的條款和條件，”Whiteneck說(shuō)。“如果他們不愿意進(jìn)行協(xié)商，你就告訴他們你不想看到他們的計(jì)劃書(shū)。”

即使供應(yīng)商堅(jiān)持使用標(biāo)準(zhǔn)條款，也需要在合同中闡明這些條款在整個(gè)合同期內(nèi)都應(yīng)適用，以避免未來(lái)發(fā)生對(duì)于企業(yè)不利的情況。

數(shù)據(jù)存儲(chǔ)

John p . Donohue是賓夕法尼亞大學(xué)醫(yī)學(xué)院的技術(shù)和基礎(chǔ)設(shè)施的副CIO，他認(rèn)為對(duì)于醫(yī)療服務(wù)提供者而言，知道自己的云供應(yīng)商在何處存儲(chǔ)數(shù)據(jù)是非常重要的。

“我們必須非常清楚數(shù)據(jù)存儲(chǔ)的地點(diǎn)，并且我們希望，當(dāng)他們要改變存儲(chǔ)地點(diǎn)時(shí)，可以通知我們，”他說(shuō)。 “云供應(yīng)商通常使用成本最低的地點(diǎn)進(jìn)行存儲(chǔ)，而且會(huì)轉(zhuǎn)換地點(diǎn)。我們希望能夠禁止這種行為。”

一些供應(yīng)商會(huì)讓企業(yè)支付數(shù)據(jù)中心轉(zhuǎn)移的費(fèi)用。此外，許多合同中對(duì)于數(shù)據(jù)保留，和供應(yīng)商對(duì)于數(shù)據(jù)存儲(chǔ)的方式和地點(diǎn)的責(zé)任定義都非常模糊， Whiteneck說(shuō)。

隨著云的發(fā)展， 許多國(guó)家正在制定新的數(shù)據(jù)隱私法律——在某些情況下，要求某些數(shù)據(jù)存儲(chǔ)在國(guó)家內(nèi)部。 “明確數(shù)據(jù)的存儲(chǔ)地點(diǎn)，保護(hù)的方式是很重要的，這樣就可以遵從不同國(guó)家的法規(guī)，而這些法規(guī)也在不斷變化，” Whiteneck說(shuō)。

如果供應(yīng)商決定與另一家公司合作，并且會(huì)改變數(shù)據(jù)存儲(chǔ)的結(jié)構(gòu)，企業(yè)必須獲得通知。

“我有一個(gè)客戶(hù)，發(fā)現(xiàn)七個(gè)月前供應(yīng)商將數(shù)據(jù)搬到另一個(gè)公司存儲(chǔ)，這改變了客戶(hù)認(rèn)可的安全性，” Michael Davis說(shuō)，他是網(wǎng)絡(luò)安全公司CounterTack的CTO， 也提供云合同，并且為客戶(hù)提供云相關(guān)的安全問(wèn)題咨詢(xún)。

安全條款

公司應(yīng)該讓云服務(wù)供應(yīng)商展現(xiàn)其架構(gòu)和設(shè)計(jì)下的網(wǎng)絡(luò)是如何連接的，數(shù)據(jù)是如何備份的，數(shù)據(jù)的存儲(chǔ)地點(diǎn)，以及如何保護(hù)數(shù)據(jù)的安全， Sealock說(shuō)。

“你必須盡職去調(diào)查這一切：如何應(yīng)對(duì)數(shù)據(jù)修復(fù)?他們進(jìn)行數(shù)據(jù)快照的頻率，又如何存儲(chǔ)它們?他們?nèi)绾晤A(yù)防攻擊?”Sealock建議。 “除非你問(wèn)，你不會(huì)得到這些詳細(xì)的細(xì)節(jié)。合同只是白紙黑字。你需要的是一個(gè)詳細(xì)的解讀。”

賓夕法尼亞大學(xué)醫(yī)學(xué)院的Donohue說(shuō)，當(dāng)涉及到安全問(wèn)題時(shí)，云供應(yīng)商經(jīng)常說(shuō)他們“將采取最佳方案，”或“遵循行業(yè)標(biāo)準(zhǔn)”，但這些模糊語(yǔ)言并不能讓他放心。

“我們想要知道他們具體將如何保證我們的數(shù)據(jù)安全，無(wú)論是物理上的，還是虛擬上的，”他說(shuō)。

在標(biāo)準(zhǔn)的云合同中，通常在沒(méi)有云供應(yīng)商的批準(zhǔn)下， 企業(yè)是沒(méi)有足夠的權(quán)限進(jìn)行安全測(cè)試的，但是公司應(yīng)該確保它能夠開(kāi)展自己的安全測(cè)試,，Davis說(shuō)。金融服務(wù)和醫(yī)療行業(yè)尤其需要開(kāi)展特定的掃描和測(cè)試。

“如果你沒(méi)有獲得許可，你開(kāi)始做一些安全測(cè)試，供應(yīng)商也許會(huì)認(rèn)為這是一個(gè)真正的攻擊，然后關(guān)閉你的服務(wù)，” Davis警告說(shuō)。

公司還需要清楚供應(yīng)商是如何響應(yīng)安全漏洞事件的。在某些情況下，合同并沒(méi)有要求供應(yīng)商必須報(bào)告黑客攻擊事件， Davis說(shuō)，他舉了一個(gè)公司的例子， 這家公司根本不知道被攻擊了，直到公司高管在《華爾街日?qǐng)?bào)》上看到新聞。

“你必須要求供應(yīng)商在公開(kāi)攻擊事件之前，至少提前48個(gè)小時(shí)通知你，” Davis說(shuō)。

關(guān)于其他安全方面的條款，Davis表示，他的公司會(huì)要求一定程度的訪問(wèn)權(quán)限控制，允許一些員工訪問(wèn)數(shù)據(jù)，但沒(méi)有修改或刪除任何信息的權(quán)限，而其他人可以有更大的權(quán)限。

“一些云供應(yīng)商的訪問(wèn)控制薄弱。他們要么提供所有訪問(wèn)權(quán)限，要么完全沒(méi)有權(quán)限，” Davis說(shuō)。“如果你給任何員工所有訪問(wèn)權(quán)限，你只能祈求他不會(huì)刪除什么重要信息。”

原文鏈接：http://www.searchcio.com.cn/showcontent_91154.htm