随着云支出的增长, 云合同谈判中不再是由服务供应商进行主导。本文将讨论如何针对你的企业,进行云合同的条款和条件的谈判。
CIO Cynthia Nustad回忔,在云早期,云合同谈判中,IT领导人并没有多少余地。
大约七年前,绝大多数的云服务供应商都向企业提供一个千篇一律的合同,Nustad说,她是医疗管理服务公司HMS的CIO。许多供应商都拒绝承担任何真正的责任,他们当然回避签署医疗行业的商业伙伴协议,这一协议要求供应商在数据泄露事件中共同承担责任。
这足以让许多CIO在签署云合同时,感到不安,Nustad当时是另一家医疗行业公司的IT领导人,最终决定放弃。
“供应商真的完全掌控了合同,”她说。“也许你可以在价格或附加条件上进行协商,但是核心服务都基本固定。你只能选择签名,这是你唯一的选择。那时,我们做不到。数据泄露的成本实在太高,我们不能冒风险。”
然而,如今,许多云供应商不再回避签署那些商业伙伴协议。 “事情已经发生重大变化,”Nustad说。
云计算正在迅速发展,在某些情况下,这种发展已经改变了云合同谈判的性质,使IT领导人拥有更多的优势。
根据IDG Enterprise的Computerworld Forecast Study 2015,预测42%的IT决策者正计划在2015年增加云计算的开支。去年年底IDC预测,到2016年,IT将会把预算中的11%从传统的内部IT交付,转移到各类型的云计算上,作为一种新的交付模型。IDC预测,公有云支出将在2018年达到1270亿美元。
共享技术是云服务的核心,允许供应商以非常难以抗拒的价格为CIO们提供他们的服务。但是,因为这样的低成本,云供应商通常期望公司签署千篇一律的合同,并且没有灵活性,Andy Sealock表示,他是Pace Harmon公司的总经理,帮助客户寻找合适的云服务供应商。
“我们发现,云服务供应商通常都是如此,并用低成本作为借口,而不提供我们客户想要的服务,”Sealock说。
但是,CIO和IT专家们都认为,随着市场的成熟,和云供应商数量的增加,这一市场变得更有竞争力, CIO们现在可以避开这种一刀切的合同,开始寻求和获得带有更多安全保障和自定义服务的合同,以满足他们的业务需求。
“如果你是很重要的客户,服务供应商肯定很愿意进行商谈,因为这是一个销售机遇,”Sealock说。 “很多大公司像亚马逊和微软都会愿意进行协商,但即使是一些规模较小的供应商,也愿意协商,因为有时他们期望获得你的业务,也愿意提供定制服务。”
Sealock表示,需要进行一定的施压,才能让供应商提供超越标准合同的服务。 “很多时候需要有竞争力的计划书,否则,他们不会重视,”他说。
如今的云合同谈判已经远远不再是价格和服务水平协议。 以下是IT领导人在下次商谈云合同时,需要考虑的一些条款和因素:
云合同谈判:条款和条件
许多云供应商会说,“我们的条款和条件都在我们的网站上。” 但供应商通常会在不另行通知的情况下,修改这些条款, Colin Whiteneck说,他是德勤咨询公司的高级经理,为CIO们提供云合同咨询。
“你需要和他们进行谈判,让他们提供具体的条款和条件,”Whiteneck说。“如果他们不愿意进行协商,你就告诉他们你不想看到他们的计划书。”
即使供应商坚持使用标准条款,也需要在合同中阐明这些条款在整个合同期内都应适用,以避免未来发生对于企业不利的情况。
数据存储
John p . Donohue是宾夕法尼亚大学医学院的技术和基础设施的副CIO,他认为对于医疗服务提供者而言,知道自己的云供应商在何处存储数据是非常重要的。
“我们必须非常清楚数据存储的地点,并且我们希望,当他们要改变存储地点时,可以通知我们,”他说。 “云供应商通常使用成本最低的地点进行存储,而且会转换地点。我们希望能够禁止这种行为。”
一些供应商会让企业支付数据中心转移的费用。此外,许多合同中对于数据保留,和供应商对于数据存储的方式和地点的责任定义都非常模糊, Whiteneck说。
随着云的发展, 许多国家正在制定新的数据隐私法律——在某些情况下,要求某些数据存储在国家内部。 “明确数据的存储地点,保护的方式是很重要的,这样就可以遵从不同国家的法规,而这些法规也在不断变化,” Whiteneck说。
如果供应商决定与另一家公司合作,并且会改变数据存储的结构,企业必须获得通知。
“我有一个客户,发现七个月前供应商将数据搬到另一个公司存储,这改变了客户认可的安全性,” Michael Davis说,他是网络安全公司CounterTack的CTO, 也提供云合同,并且为客户提供云相关的安全问题咨询。
安全条款
公司应该让云服务供应商展现其架构和设计下的网络是如何连接的,数据是如何备份的,数据的存储地点,以及如何保护数据的安全, Sealock说。
“你必须尽职去调查这一切:如何应对数据修复?他们进行数据快照的频率,又如何存储它们?他们如何预防攻击?”Sealock建议。 “除非你问,你不会得到这些详细的细节。合同只是白纸黑字。你需要的是一个详细的解读。”
宾夕法尼亚大学医学院的Donohue说,当涉及到安全问题时,云供应商经常说他们“将采取最佳方案,”或“遵循行业标准”,但这些模糊语言并不能让他放心。
“我们想要知道他们具体将如何保证我们的数据安全,无论是物理上的,还是虚拟上的,”他说。
在标准的云合同中,通常在没有云供应商的批准下, 企业是没有足够的权限进行安全测试的,但是公司应该确保它能够开展自己的安全测试,,Davis说。金融服务和医疗行业尤其需要开展特定的扫描和测试。
“如果你没有获得许可,你开始做一些安全测试,供应商也许会认为这是一个真正的攻击,然后关闭你的服务,” Davis警告说。
公司还需要清楚供应商是如何响应安全漏洞事件的。在某些情况下,合同并没有要求供应商必须报告黑客攻击事件, Davis说,他举了一个公司的例子, 这家公司根本不知道被攻击了,直到公司高管在《华尔街日报》上看到新闻。
“你必须要求供应商在公开攻击事件之前,至少提前48个小时通知你,” Davis说。
关于其他安全方面的条款,Davis表示,他的公司会要求一定程度的访问权限控制,允许一些员工访问数据,但没有修改或删除任何信息的权限,而其他人可以有更大的权限。
“一些云供应商的访问控制薄弱。他们要么提供所有访问权限,要么完全没有权限,” Davis说。“如果你给任何员工所有访问权限,你只能祈求他不会删除什么重要信息。”