Está a fechar com um fornecedor de cloud? Não se esqueça de definir um plano de saída

Não se trata de pedir licença para partir; trata-se de garantir que quaisquer decisões não compliquem uma eventual saída.

Por Evan Schuman

Para a maior parte das empresas, faz sentido explorar maneiras pelas quais as empresas se podem preparar melhor para uma saída de um fornecedor de soluções de computação em nuvem – e, precisamente, como sair quando chegar a hora. O problema é que poucos departamentos jurídicos se concentram o suficiente nos detalhes da saída, especialmente quando acabam de negociar um novo contrato de longo prazo. Não se trata apenas de obter permissão fácil para partir; também é importante que a TI garanta que nenhuma decisão complique as coisas na hora de fazer uma pausa.

Arranjos complexos de nuvem global podem ficar complicados em 2022. O truque é que os recursos baseados em nuvem que tornam a partilha e a proteção de dados eficientes e sem atritos tendem a incluir muitos elementos proprietários. Estes são precisamente aqueles que tende a bloquear uma empresa e complicar o caminho de uma saída.

Os fornecedores de computação em nuvem “tornam mais fácil o uso dos serviços nativos”, que são invariavelmente proprietários e ter um grau de prisão, afirma Rich Cracknell, Líder de Segurança de Computação em Nuvem do escritório da McKinsey, em Silicon Valley.

O colega de Cracknell na McKinsey, Justin Greis, acrescentou que estes serviços de computação em nuvem podem ser “altamente dependentes (neste ambiente de nuvem) e fortemente acoplados. É necessários fazer uma análise aplicação a aplicação para ver como cada um é acoplado. Nós o refatoramos agora ou o movemos como está e chutamos esta lata no caminho?”

A realidade é que a maioria das empresas, especialmente na categoria Fortune 500 e maiores, já terá uma presença na nuvem com vários ambientes. Idealmente, isso significa que a TI já tem uma excelente noção de como as principais plataformas diferem. Dito isso, quando chega a hora de mudar de um para outro (como afirma Justin Greis: “A Amazon não necessariamente joga bem no mundo do Google”), surpresas desagradáveis são quase certas.

Isto traz-nos de volta ao ponto-chave: Quais termos/linguagem deseja nos contratos de fornecimento de computação em nuvem para facilitar a saída inevitável?

Muitas pessoas que lidaram com estes problemas dizem que deve existir um nível de assistência que o fornecedor de computação em nuvem existente deve fornecer na mudança para um novo fornecedor. Isto levanta uma questão suspeita: Realmente quer que o fornecedor de computação em nuvem com quem acabou de rescindir esteja envolvido na transição? Num mundo perfeito, esta ajuda seria crítica. Mas no mundo real, o fornecedor que acaba de rescindir não tem um conflito de interesses? Ficariam felizes se o novo ambiente de nuvem nunca funcionasse tão bem quanto o deles?

Há também problemas de conformidade e risco de segurança. Durante uma transição, os dados mais confidenciais supervisionados pelo regulador estarão em dois lugares ao mesmo tempo, potencialmente por semanas e talvez meses durante a fase de transição e teste. Há pouca ou nenhuma alternativa a não ser temporariamente ter dados duplos, mas é uma questão de risco e conformidade que precisa ser apresentada a essas áreas.

Todd Smith, Vice-Presidente e conselheiro geral de uma empresa de gestão de ciclo de vida de contratos, ofereceu uma sugestão que em breve pode não ser mais relevante.

“É muito menos comum hoje em dia, mas ocasionalmente um cliente pede um depósito de código-fonte. Em teoria, isso permitiria que o cliente administrasse o (ambiente) por conta própria se o fornecedor falir”, disse Smith. “Essa pergunta é muito menos comum hoje porque a maioria entende que o SaaS não é instrumentado dessa maneira e o modelo de assinatura reduz o compromisso no front end de qualquer maneira”.

Há muitas razões para querer sair de uma plataforma de computação em nuvem, mas é importante que o contrato especifique o direito de sair por conveniência – ou seja, sem nenhum motivo específico.

“Sem esta disposição, como empresa cliente, será obrigado a apresentar causa quando quiser rescindir o contrato com o prestador de serviços por não atender às suas expectativas estipuladas. Mostrar a causa é um esforço muito difícil e demorado para a empresa cliente”, disse Ben Richardson, Programador do fornecedor de segurança SecureW2. “Pode também garantir que o acordo estipule claramente eventos que são considerados uma violação fundamental do contrato pelo fornecedor de serviços. Esses eventos podem incluir perda de dados, prestação de serviços inconsistente, fuga de dados, uso indevido de dados e violações de proteção de dados pessoais. Reveja a lista de eventos e certifique-se de que todos os eventos que considera uma quebra de contrato foram incluídos”.

Mark Rasch, Chefe da Prática de Segurança Cibernética do escritório de advocacia Kohrman, Jackson and Krantz e ex-Chefe da unidade de crimes de alta tecnologia do Departamento de Justiça dos EUA, argumenta que o contrato também deve concentrar-se em questões de direitos e propriedade em relação a tudo nesse ambiente de computação em nuvem.

“O fato de possuir os dados não significa que tenha a capacidade ou o direito de movê-los de um lugar para outro. A propriedade é um conceito de direitos autorais e o controle é um conceito físico. Inclua uma cláusula de portabilidade de dados”, disse Rasch. “Quer deixar claro que meus dados são meus dados, assim como aplicações e APIs especializadas para tornar meus dados úteis. Quem é o proprietário dessas APIs? Quem as escreveu?”.

Rasch também sugere que o contrato também aborde explicitamente como todo e qualquer item no ambiente de computação em nuvem será tratado. “Após o término, tudo será apagado ou criptografado. Fale sobre o que acontece com os dados depois de sair. Detalhe a responsabilidade se não for apagada e depois for violada. Certifique-se de que o contrato exige que tudo também seja removido de todos os backups e de todos os arquivos”.




Deixe um comentário

O seu email não será publicado