Se sei una software house o un’azienda che fornisce servizi per la digitalizzazione delle imprese, potresti essere un rivenditore di servizi cloud e quindi di risorse informatiche condivise come server, storage, reti e applicazioni, ospitate su infrastrutture remote. Ti sei mai chiesto come regolamentare i rischi e responsabilità legate a questa attività?
Il cloud computing come servizio
Il cloud computing è il servizio che eroghi a favore del tuo cliente e che di solito a tua volta hai acquistato da uno o più venditori.
Può essere unico, oppure uno dei tuoi servizi principali che fornisci accanto ad altre attività (ad esempio, la manutenzione di un sito internet, il servizio backup, il disaster recovery e la gestione dei dati, ecc). A volte può diventare anche un servizio accessorio: ma in questi casi i clienti software house chiedono di specificare all’interno ad esempio di un contratto per sviluppo software o di consulenza hardware, che l’azienda non intende svolgere anche servizio di backup e archiviazione dei dati (per evitare di dare per scontato).
Di solito, i venditori (Dropbox, Google, o altri) impongono i loro termini e condizioni di servizio che posiamo unicamente accettare, se vogliamo fruire del servizio.
Redigere un contratto per il servizio di cloud computing significa invece descrivere la relazione tra il fornitore/provider di servizi cloud e il tuo cliente. È importante regolamentare i termini e le condizioni per l’uso e la gestione dei servizi cloud offerti.
Perchè un contratto di servizi di cloud computing?
Si tratta di un’attività ad alto rischio per i dati dei tuoi clienti, i segreti aziendali, le informazioni di dipendenti e fornitori.
Tutto questo si traduce in responsabilità contrattuale ed extracontrattuale della tua software house in caso di perdita di dati ed informazioni o a causa di una mancata adeguata gestione.
Dal punto di vista operativo, è quindi fondamentale dotarsi degli strumenti migliori per limitare i rischi.
Sotto il profilo legale diventa altrettanto essenziale stabilire diritti, doveri e responsabilità che fornitore e cliente avranno e dovranno rispettare
Quali sono gli elementi fondamentali del contratto di cloud computing?
Ovviamente, non vogliamo che tu scriva autonomamente un contratto. Ma vogliamo spiegarti, anche per farti capire che la lingua che parliamo è la stessa, quali sono gli aspetti fondamentali da valutare e includere all’interno di un contatto di cloud computer tra la tua software house e il cliente finale.
I servizi cloud offerti possono essere molto diversi tra loro, per cui è naturale che anche il contratto che li riguarda cambi molto. Tuttavia, si possono ritrovare degli elementi in comune che risulteranno spesso presenti.
Questionario di partenza per la redazione di un contratto di cloud computing
Partiamo quindi da alcune domande che puoi farti per inquadrare l’argomento. Forniscici le risposte per iniziare già in concreto.
Descrizione dettagliata dei servizi | Quali sono i servizi di cloud computing che offri al tuo cliente? Quali sono le fasi di attivazione? |
Valutazione della sicurezza delle informazioni e della privacy dei dati | Quali sono le misure di protezione che attui per la tutela delle informazioni? Cosa stabilisce il tuo venditore a riguardo? |
Interventi | Come gestisci gli interventi di manutenzione e assistenza? Sia a livello di attività ma anche di tempistiche. |
Quali sono i rischi da gestire con il contratto di cloud computing?
Come saprai, quando si parla di servizi cloud ci sono una serie di rischi che possono essere affrontati al meglio solo se si agisce preventivamente. Uno degli strumenti per un approccio basato sul rischio è elaborare un contratto di cloud computing adeguato.
5 rischi e come prevenirli con un contratto di cloud computing
- Sicurezza dei dati. Ovvero la possibilità che i dati dell’utente siano compromessi a causa di vulnerabilità nella sicurezza del servizio cloud. È fondamentale valutare l’affidabilità del provider affinchè non possa configurarsi una colpa connessa alla scelta dell’effettivo erogatore del servizio.
- Disponibilità del servizio. Ovvero il rischio di interruzioni del servizio che possono causare tempi di inattività e perdite di produttività per il cliente. Inserire all’interno del contratto tempi e modalità relative a manutenzione e aggiornamenti ma anche tempistiche di intervento in caso di malfunzionamenti.
- Compliance normativa. Ovvero il rischio che il servizio cloud non sia conforme ai requisiti normativi applicabili, come GDPR o altre leggi sulla privacy e sulla sicurezza dei dati. Ti suggerisco in questo senso di demandare ad un professionista specializzato questo profilo (ci occupiamo di privacy!).
- Problemi di prestazioni. Ovvero il rischio che il servizio cloud non soddisfi le aspettative in termini di prestazioni, velocità di risposta o scalabilità, compromettendo le esigenze del cliente. Approfondisci le modalità per scioglierti dall’accordo con il provider.
- Rischio di cessazione del servizio. Ovvero il rischio che il provider di servizi cloud cessi l’attività o interrompa il supporto per un determinato servizio, rendendo difficoltoso l’accesso e la gestione dei dati e delle risorse. All’interno del contratto dovrai definire durata del servizio e rinnovi.
Come gestire le responsabilità in caso di malfunzionamenti al servizio?
Ovviamente qui parliamo in generale: la risposta è quindi, dipende! Dipende dalla tipologia del servizio, dalla relazione con il provider, dalle clausole del contratto di cloud computing tra software house e cliente finale, ecc.
In generale:
- In caso di mancata erogazione del servizio, perdita di dati, gestione non corretta, la software house sarà responsabile in via diretta nei confronti del cliente finale.
- Tuttavia, potrà poi agire in regresso nei confronti del provider, entro i termini indicati nei termini e condizioni.
- Considera però che anche l’utente potrebbe essere ritenuto responsabile: ad esempio di un uso non corretto dei servizi cloud anche in merito alla gestione dei propri dati e alla scelta di quali inserirvi.
Come avrai intuito, la gestione del servizio di cloud computing, implica valutazioni concrete che includono anche i fornitori.
Puoi richiederci un colloquio così da gestire i rischi in via preventiva e regolamentare in modo completo la gestione del tuo servizio di cloud computing.