המנמ"ר, המנכ"ל וספק הענן – משא ומתן לקראת חוזה
מאמר שלישי בסדרה
במאמר הקודם תיארנו את עץ ההחלטות של המנמ"ר, שכלל בין היתר התייחסות לרמת הנגישות הנדרשת לאתר הענן, רמת האבטחה הנדרשת, המגבלות בהעברת מידע פרטי ומוגן וכן התאמת העברות המידע לדרישות הציות.
חמוש בעץ ההחלטות, פנה מנמ"רנו שוב אל היועץ המשפטי. "אני עורך דין, לא טכנולוג", אמר היועץ המשפטי. "איך אני יכול לעבור על החוזה הזה אם אני לא מבין את הטכנולוגיה, שלא לדבר על השפה הטכנית?". המנמ"ר חייך והפנה את היועץ המשפטי למסך המחשב שלפניו. "נראה לי טוב שמימון פרויקט הענן מגיע מהתקציב שלי ולא שלך. תסתכל על זה", אמר בחיוך של שביעות רצון על פניו. "אני מסתכל, אבל לא מבין מה אני רואה", השיב היועץ המשפטי.
ובכן, אמר המנמ"ר, תוך שהוא נשען לאחור על כסאו ולא מצליח לכבוש את חיוכו, "כאן אתה מסתכל על הצ'ק ליסט (רשימת תיוג) להסכם ההתקשרות לשרותי ענן (SLA, ר"ת Service Level Agreement) שקיבלתי מחברת הייעוץ המשפטי הבינלאומית וכאן, במסך הבא, זו התבנית שנזדקק לה לצורך בחינת הסכם ההתקשרות עם חברת ספק הענן שדיברתי עליה בפגישתנו הקודמת. שים לב ותראה איך עשיתי לך חיים הרבה יותר קלים: כל מה שאתה צריך לעשות, הוא לקחת את ההסכם שקיבלת מחברת הענן האמריקנית ולהשוות אותו לתבנית זו יחד עם הצ'ק ליסט ומכאן תתחיל את המשא ומתן". היועץ המשפטי שפשף את עיניו, הניע ראשו לכאן ולכאן והחל לצאת מהחדר תוך כדי שהוא ממלמל משהו על מספר הימים שנותרו לו עד הפנסיה.
הסופר אלדוס הוקסלי (Aldous Huxley) הגדיר את תקופת הענן כ-"עולם אמיץ וחדש", אך אמצעים מסורתיים להגנה על החברה ועל המידע שלה במציאות של מהפכת ממשל המידע, דורשים שיטות חדשות של ניתוח. עם זאת, מתודולוגיה זו יכולה להיות מותאמת בהחלט לתקציבו של המנמ"ר על ידי אמצעים של צ'ק ליסט לבחינת אמצעי הביטחון הנדרשים לחברה ועל ידי שימוש בתבניות לצורך אופטימיזציה של החוזה עם ספק הענן. קרא לזה אולי "הסכם ענן לביטחון ופרטיות".
אכן, הרבה מספקי הענן הם חברות מארה"ב ובריטניה והם כנראה יזעמו רק מעצם מהרעיון של מו"מ על החוזה ה-"סטנדרטי" שלהם. אבל זכור: אתה לא עובד עבורם. האחריות שלך היא כלפי החברה שלך כאן בישראל וכפוף לחוקי המדינה השונים. אתה יכול לעזור ליועץ המשפטי שלך במו"מ לחוזה שיענה על דרישות החוק הללו ולהציע אמצעי ביטחון למידע המועבר לספק הענן וזאת על ידי הצ'ק ליסט והתבניות אשר הוכנו על ידי צוות מיומן שנעזר בין השאר באנשי טכנולוגיה.
להלן רשימה חלקית של היסודות אשר ירכיבו את הצ'ק ליסט והתבניות:
1. בחינה של סוג המידע המועבר לענן או איזה מידע ישמש את אפליקציות הענן. האם למידע דרושה הגנה ולכן העברתו כפופה למגבלות בחוק הישראלי או הזר במדינות בהן פועלת חברתך? אם כן, ה-SLA צריך, למשל, להכיל אמצעי ביטחון כמו הצפנת מידע בהעברה ובאחסון המידע המותאמים לחוקים הנ"ל.
2. בחינת רמת הביטחון לה ערב ספק הענן ומהם הסייגים לערובות אלה. לאחרונה בדקנו חוזה שסעיף "כשל ספק" היה סייג לערבות הזו. הערך "ספק" לא הוגדר בחוזה ולכן מאוד יכול להיות שספק הענן עצמו, שהינו צד לחוזה זה, ימצא לעצמו כיסוי תחת לסייג זה. האם זה עונה על הדרישות המשפטיות שלנו?
3. בחינת המאפיינים לגישה אל המידע אצל ספק הענן. יש לבדוק לדוגמה האם מדובר על גישה של 24/7 וכן את ההוראות למקרה של "זמן הפסקה" (down time) לצורך תחזוקה ושדרוגים אצל הספק עצמו.
4. בחינת תוכנית חלופית למקרה של איבוד מידע, כגון מערכת גיבויים. לבדוק את תדירות עריכת גיבוי המידע, באיזו מדיה מתבצע ובאילו מיקומים. כמו כן יש לבדוק האם במקרה של כשל, ספק הענן מציע פיצויים או ביטוח סיכוני רשת כאשר המוטב הרשום בפוליסה הינו חברתך.
5. בחינה האם מיקום אחסון המידע תואם את דרישות החוק הישראלי בהעברת מידע פרטי למדינות בהם הסטנדרט של שמירת מידע ופרטיות הוא נמוך יותר.
6. בחינת הוראות בחוזה לגבי מיקום המידע מחדש או החזרתו בתום החוזה וכן מהן ההוראות כאשר הספק כבר לא קיים או נרכש על ידי אחר.
רשימה חלקית זו מדגישה את הצורך בשיטה (צ'ק ליסט + תבנית) כדי להעריך ולבחון את חוזי ספק הענן. ההשקעה ההתחלתית בצ'ק ליסט והתבנית תחזיר את עצמה כנגד הוצאות משפטיות שיידרשו מתוך הצורך בעורכי דין חיצוניים אשר יעברו על כל חוזה וחוזה עם שכר טרחה של שעות יקרות. אם נאמץ את השיטה, עורכי הדין של החברה יוכלו להתמקד במה שהם עושים הכי טוב וזה לעזור ליועץ המשפטי בניהול המו"מ. אימוץ המודל אמור לגרום ליועץ המשפטי להתחיל לחייך או לפחות לרטון פחות.
פניות ותגובות יתקבלו בברכה בכתובת הדוא"ל הבאה.
* המידע הנכלל במאמר זה הינו בבחינת מידע כללי בלבד ואינו מהווה חוות דעת ו/או ייעוץ משפטי
עו"ד אמנון פיראן מתמחה בדיני מחשבים, ביטוח ובתחום שמירת הון לדורות. בנוסף, חבר עו"ד פיראן בוועדת הביטוח ו-ועדת הנזיקין של לשכת עורכי הדין בישראל.
עו"ד קנת' נ. רשבאום (Kenneth N. Rashbaum, Esq) מניו-יורק מייעץ לחברות רב לאומיות בנושאי ממשל המידע בתאגידים, התאמה לדרישות רגולטוריות בנושאי שמירת מידע ופרטיות, גילוי וחשיפת מידע אלקטרוני וייצוג מוסדות, ארגונים וחברות בבתי משפט ומול ממשלות. בנוסף, משמש רשבאום כסגן בוועדת הטכנולוגיות ובוועדת שירותי המידע הבינלאומי במסגרת האגף הבינלאומי בלשכת עורכי הדין האמריקנית.
תגובות
(0)