Nove elementi chiave da negoziare nei contratti cloud per ridurre
al minimo i rischi per gli utenti: a evidenziarli è la società di
ricerche Gartner rivolgendosi a tutti i manager del sourcing e
dell’approvvigionamento It in cerca di opzioni che riducano i
costi ma tengano i rischi sotto controllo.
"Le soluzioni cloud spesso appaiono molto convenienti per i
bassi costi iniziali rispetto alle soluzioni tradizionali, ma
includono costi e rischi nascosti e richiedono termini adeguati nei
contratti per proteggere chi se ne serve”, nota Alexa Bona,
research vice president di Gartner. "Molti provider del cloud
si mostrano restii a negoziare i contratti e il punto di partenza
del contratto di solito favorisce il vendor piuttosto che le
esigenze dell’utente”.
Nel valutare il procurement e il sourcing tramite cloud, gli
executive aziendali devono dunque avere chiari gli elementi
contrattuali e di rischio che possono negoziare e i servizi che
possono esigere dal provider.
"I mercati cloud sono generalmente molto competitivi ed è
importante per gli executive che si occupano di sourcing e
procurement fare leva sulla forte concorrenza tra provider per
ottenere il massimo in fase di negoziazione del contratto. Devono
essere pronti anche ad abbandonare il tavolo delle trattative, se
alcuni elementi di rischio non sono adeguatamente affrontati”,
afferma Frank Ridder, research vice president di Gartner. "Nel
tempo, la pressione da parte del compratore unita al desiderio del
provider di abbreviare i tempi delle trattative produrrà contratti
meno incentrati sul fornitore e più attenti al cliente”.
Quali dunque i nove elementi chiave da capire nei contratti per la
fornitura di servizi cloud che aiutano a limitare i rischi?
Innanzitutto, le garanzie sull’uptime: gli analisti Gartner
dicono di aver visionato molti contratti privi di garanzie sul
"tempo di attività". Tali standard sulle prestazioni
devono essere sanciti da contratto e, idealmente, dovrebbero essere
previste penali se non rispettati. Lo stesso discorso vale per gli
accordi sul livello di servizio (Sla) o downtime
(l'interruzione dell'attività), che dovrebbero prevedere
penali se non soddisfatti.
A questo proposito, Gartner invita anche a prestare attenzione alle
clausole dei contratti disegnati dai provider che prevedono sì il
pagamento di penali in caso di mancato rispetto dei livelli del
servizio, ma con importanti esclusioni. I clienti dovrebbero
limitare al massimo queste esclusioni e accertarsi che la penale
scatti nell’esatto momento in cui inizia il downtime.
Altro tema cui prestare grande attenzione è la sicurezza. Gli
executive del procurement e della sicurezza delle aziende clienti
dovrebbero accertarsi che il provider del cloud segua norme di
sicurezza in linea con quelle della propria azienda, se non più
severe. Gartner consiglia di negoziare dei service level agreement
anche per la security, in particolare per le violazioni dei
sistemi, esigendo che il provider avvisi immediatamente il cliente
nel caso si verificassero intrusioni o attacchi. Il cliente deve
anche informarsi di quale sia il livello di compliance del provider
del cloud con la normativa sulla privacy e la protezione dei dati
personali. I contratti dovrebbero stabilire inequivocabilmente che
il provider del cloud non condividerà con altri i dati
personali.
Attenzione ancora a un altro elemento: i contratti del cloud
raramente impegnano il provider in merito alla Business continuity
e alla Disaster recovery. Alcuni provider di tipo infrastructure as
a service (IaaS) non si assumono nemmeno la responsabilità per il
back-up dei dati dei clienti.
Ancora, alcuni contratti per i servizi cloud stabiliscono che dopo
un ritardo di 30 giorni nel pagamento il servizio può essere
sospeso dal provider. Il cliente potrebbe invece negoziare, in caso
di ritardi o controversie sul pagamento, che il servizio non sia
comunque sospeso. Alcuni contratti permettono poi al fornitore di
terminare l’accordo entro 30 giorni con un avviso scritto: gli
utenti dovrebbero negoziare invece un preavviso di sei mesi, a meno
che non abbiano violato i termini del contratto.
Infine, il risarcimento in caso di danni: le aziende che si
rivolgono ai cloud provider dovrebbero cercare di ottenere una
maggiore protezione di quella garantita oggi dalla maggior parte
dei contratti cloud, che riduce le responsabilità dei fornitori al
massimo del valore della tariffa pagata negli ultimi 12 mesi.
