Една от характерните черти на последното десетилетие в световен план беше ускоряването на дигиталната трансформация на редица индустрии: особено значимо е това явление в сектора на услугите и търговията. Напоследък като че ли няма технически, финансов или друг професионален канал за новини и прогнози, който да не споменава думите блокчейн и изкуствен интелект във всевъзможен контекст. Тези феномени са безспорно значими, но техният потенциал по-скоро предстои да се разгърне. Онова, което наистина промени начина ни на общуване, достъпа ни до услуги и съдържание, обмена на информация, обработката и съхранението на огромни масиви от данни и ни позволи да ползваме огромен набор от услуги и ресурси, без да инвестираме в скъпа инфраструктура, е нещо друго: облачните системи и услуги. Ключовата роля на облака за постигането на Единния цифров пазар е разпозната и утвърдена и на ниво ЕС[1] и поставена в центъра на усилията да се догонят технологичните първенци в Азия и САЩ.

Голяма част от малките и средни (както и доста големи) предприемачи и техните консултанти все още нямат детайлно познание за облачната услуга, нейната същност, степен на регулиране, както и различните начини, по които тя може да бъде организирана и съответно – последиците за тяхната работа от това. От една страна, подобна липса на яснота е разбираема – светът около нас се променя толкова бързо, че ние просто нямаме капацитет да вникнем в същността на голяма част от технологиите, които ползваме. От друга страна, понякога поверяваме най-ценните интелектуални активи или управление на отношенията с нашите клиенти, както и други критични функции на организацията си на облака и може да се окаже, че носим финансова отговорност във връзка с протичането или непротичането на процеси, които не разбираме.

Работата ни по „облачни“ проекти през последните няколко години показа, че е добре като за начало да проверим дали клиентът е наясно каква облачна услуга ще ползва. Ще се опитам тук да обясня накратко и просто какви са основните видове модели на предоставяне на услуги или начини на тяхната организация.

  1. А какво все пак е облачна услуга?

Точният отговор на този въпрос е „зависи“ – от особеностите на различните модели услуги, за които повече е написано по-долу. Ако трябва да дадем простичко обяснение – това е компютърна мощност, памет, приложения за сигурност, операционна система, клиентски софтуерни приложения, които ползваме отдалечено, през защитена интернет връзка – и според нуждите си, които се променят ежедневно.

  1. Модели на предоставяне на облачни услуги

Преди да преминем към кратко описание на въпросните модели, може би е добре да дадем малко контекст на израза „като услуга“. В тези 2 думи именно е систематизирана „силата“ на облака – те означават, че ползващият го не купува съответното софтуерно приложение, памет или процесорна мощ, които са му необходими в даден момент, а ползва почти неизчерпаемите запаси на своя доставчик в зависимост от конкретните си нужди, които могат (ако е уговорено) да се променят дори ежеминутно, и то в голям обхват без да се променя тяхното качество: това са така наречените свойства мащабируемост и еластичност на облачната услуга, които пестят разходи за ресурси, защото гарантират, че ще платим само толкова, колкото ни е необходимо в даден момент или колкото действително сме ползвали. Много типичен клиент, търсещ точно такава гъвкавост, са доставчиците на бързооборотни потребителски стоки или на конфекция, например и изобщо всеки търговец или доставчик на услуги, обработващ голямо количество данни, чиято дейност се отличава със сезонност или цикличност, т.е. – с върхове и спадове.

В голяма степен горните възможности на облачната услуга се обуславят от виртуализацията – създаването на виртуални машини (компютри), които имитират наличието на физически такива: така един физически сървър може да бъде среда за успоредното и необезпокоявано изграждане и функциониране на няколко виртуални машини (ведно с процесорите, операционните системи и приложенията) едновременно, които дори да бъдат предназначени за различни клиенти (малко повече за това – по-нататък).

  • Инфраструктура като услуга (IaaS)

 В чист вид този тип услуга включва предоставянето от облачния доставчик „под наем“ на физически машини (така нареченият „гол метал“) в обезопасено и осигурено от към захранване, климатизация и широколентов интернет помещение. Върху тези машини клиентът е свободен да инсталира всяка операционна система и приложения по свой избор (в рамките на закона и политиката за приемливо ползване на облачния доставчик) и да ги достъпва отдалечено през криптиран „тунел“ (например VPN). Клиентът има възможно най-голяма свобода спрямо своя доставчик, но и носи цялата отговорност за осигуряване на информация/данните, както и изпълнение на договорите със своите клиенти, регулаторни изисквания, доколкото такива са приложими и т.н. От гледна точка на разпределение на риск, задължения и отговорности между облачния доставчик и клиента, това е най-простият и ясен случай.

  • Платформа като услуга (PaaS)

 Под „платформа“ в случая се разбира най-вече операционна система[2], преходът между физическата инфраструктура (която в този случай облачният доставчик също предоставя) и приложенията, която я населяват. Последните вече се осигуряват, инсталират, контролират и оперират от клиента. Този тип услуга изисква висока IT компетентност от клиента с оглед конфигуриране на цялата система преди достъпването й от крайните ползватели  – такава е например услугата Azure на Microsoft. Съответно, отговорността на облачният доставчик във връзка с информационна сигурност и осигуряване на непрекъсваемост на услугата с високо качество е значително по-голяма спрямо IaaS.

  • Софтуер като услуга (SaaS)

 Почти всичко, което ползваме като потребители, попада тук – всички приложения за разговори в интернет, социални мрежи, безплатна поща. Нямаме свобода, нямаме контрол, но и нямаме особена отговорност, освен да прочетем внимателно документацията на доставчика (а дали изобщо го правим е друг въпрос). Тази услуга включва останалите модели на облака и ги надгражда, като възможностите за контрол и промяна от страна на потребителя обхващат най-много промяната на някои настройки.

  1. Начини на организация на облачните услуги
  •  Частен облак

 Този организационен подход се налага при големи клиенти с много данни и ресурси, включително финансови, които желаят да се възползват от гъвкавостта, която облакът им дава, но не и да се разделят с контрола и нивата на сигурност и обособеност, които са имали до този момент. Ето защо те инвестират в инфраструктура, но организират нейното ползване за вътрешни нужди по начина, характерен за облачните услуги, включително разчитайки на виртуализация за по-лесно и бързо увеличаване на възможностите на инфраструктурата, в зависимост от конкретните нужди. Собствените им физически машини, снабдени с операционни системи и приложения могат да бъдат разположени на място в помещенията на клиента или в специално нает за целта център за данни, осигуряващ подходяща среда, температура, двойно захранване с електричество и т.н. Разбира се, този тип организиране на услугата предполага много по-големи разходи от публичния облак.

  • Публичен облак

 Този начин на организация е най-типичния за предоставянето на облачните услуги. Физическата инфраструктура  и евентуално разположените върху нея операционна среда и приложения са собственост на доставчика и същият задава еднакви или минимално различни условия на ползване, нива на качество, стандарти за сигурност и т.н. към всички свои клиенти. Обособеността на данните и средите на клиентите може да е по-голяма (при принципа една машина – един наемател) или по-малка (ако клиентите са в хипотезата една машина – много наематели в условията на виртуализация).

  • Частен облак, прерастващ в публичен (cloud bursting)

 Това е „най-доброто от двата свята“ на частния и публичния облак. По-чувствителната информация/данни може да се обработва в частния облак, а останалата – в публичния или ресурсите на публичния облак да се ползват при нужда (пиково натоварване) в периодите, когато предварително зададения капацитет на частния облак се запълни.

  • Общностен облак

 Този тип организация започва да се търси от корпоративни клиенти, подлежащи на засилена регулация и строги изисквания за информационна сигурност, както и рамка за ползване на аутсорсинг/външни услуги (например кредитните и платежните институции). Предимството е, че облачната услуга може да бъде организирана съобразно регулаторните изисквания към подобен тип компании в даден регион на света и да бъде достъпна за тях – с известен допълнителен марж в цената.

  1. Облачната услуга като стока

За да може „магията“ на облачната услуга да работи добре – т.е., същата да бъде бърза, гъвкава и достъпна, тя няма как да бъде (особено) индивидуална. Колкото по-малък е контролът или участието на клиента в услугата и колкото по-евтина е тя, толкова по-нищожен е шансът нещо в условията да бъде променено за нуждите на един конкретен клиент. Добре е това да се знае предварително с цел правилно управление на очакванията. Няма как малка компания, която иска да ползва няколко пощенски кутии и приложения за управление на проекти, например реалистично да очаква нещо в условията на облачния доставчик да бъде променено по тяхно желание. Условията и договорите са от типа „взимаш или оставяш“.

  1. Безплатните облачни услуги

 Често пъти предназначените за потребители услуги тип SaaS са „безплатни“, т.е., предоставят се без заплащане на парични средства. „It is free and always will be“ е добре познатото приканващо съобщение на входа на най-голямата и влиятелна социална мрежа в Европа и САЩ. Какво означава „свободно“ обаче? В случая – само и единствено това, че никой няма да ни поиска пари за посещението. Ние все пак плащаме на социалните мрежи с най-ценната за тях валута – нашите данни и така нареченото „потребителско съдържание“, което е в основата на феномена web 3.0. Данните ни са ценни, защото се монетаризират от платформите – брокери на таргетирана реклама в интернет, но и защото са идеалния материал, позволяващ на алгоритмите – машини на социалните мрежи, които се обучават по този начин да правят прогнози и да имитират човешки разказ/разговор. Обучаването на алгоритми/машини ще допринесе в голяма степен за милиардните приходи на своите собственици монополисти съвсем скоро.

Така че тази услуга не е безплатна и имаме право да изискваме (вкупом, всички ние, потребителите) информирано и активно нейното качество поне да не бъде по-лошо от това на платените.

  1. Регулация на облачните услуги

 Цялостна регулация на облачните услуги не съществува в ЕС. Въпреки това, тези услуги все повече се отдалечават от принципите на самоуправление, пожелателното прилагане на международни стандарти и прилагането на собствени общи условия. В Европа облачните услуги се обхващат от т.нар. цифрови услуги, чиято рамка се постави от Директивата за мрежова и информационна сигурност 2016/1148. Съгласно националните закони, транспониращи посочената директива, доставчиците на облачни услуги подлежат на институционализиран контрол във връзка с прилаганите от тях стандарти за информационна сигурност, както и разкриването и управлението на такива нарушения – този месец (юли 2019) МС прие и Наредба за приложимите минимални изисквания в тази област, която предстои да бъде публикувана всеки момент в Държавен вестник. Наредбата се прилага заедно с Регламент за изпълнение 2018/151 относно елементите, които трябва да се вземат предвид от доставчиците на цифрови услуги при управлението на рисковете за сигурността на мрежите и информационните системи, както и на показателите за определяне на това дали даден инцидент има съществено въздействие.

За GDPR – тъй като облачните доставчици са или администратори, или обработващи на лични данни за своите клиенти – е излишно да говорим. Едва ли има някой, който не е запознат поне частично с последиците от неговото неспазване.

Налице е вече и секторна (макар и „мека“) регулация на облачните услуги, когато се предоставят на кредитни институции, например – Препоръките на Европейската централна банка от края на 2017 година.

През 2021 предстои да започне да се прилага и националното законодателство, прието в изпълнение на Директива 2019/770 за някои аспекти на договорите за предоставяне на цифрово съдържание и цифрови услуги, която, макар и косвено, има отношение и към начина, по който услугата е организирана, а това по правило е чрез облак.

Следва да споменем и Регламент 2018/1807 относно рамката за свободното движение на нелични данни в Европейския съюз, който премахва съществуващите досега по места национални изисквания за локализация на данни на територията на някои страни членки и задължава доставчиците на цифрови услуги да осигурят преносимост на данни към друг доставчик при наличието на определени условия за това.

Миналият месец (юни 2019) беше формално одобрен от Съвета на ЕС и регламента за осигуряване на справедливост и прозрачност при ползването на онлайн посреднически услуги от страна на бизнеса. На практика всички платформи (социални мрежи, онлайн места за пазаруване, доставчици на услуги на споделената икономика и т.н.) са облачни услуги и досега за малките и средните (а и повечето големи) пазарни участници правилата на платформите бяха и закона в отношенията между тях поради концентрираната пазарна мощ на последните. Новата рамка на ниво ЕС под формата на пряко приложимо регламент задава минимилен стандарт, под който тези доставчици вече не биха могли законосъобразно да паднат.

Дългият списък може да бъде попълнен с готвения регламент против речта на омразата, с наскоро приетата Директива за авторското право в цифровия единен пазар… списъкът е наистина дълъг.

С две думи – когато правите бизнес с облачен доставчик от някакъв вид, може би имате повече права дори в сравнение с година по-рано, независимо дали сте потребител или средно голямо дружество. Осъзнаваме, че проследяването на все по-динамичното развитие на законодателството относно цифровите услуги е нелека задача, но то е пряко следствие и наваксване на промените, донесени от дигитализацията, икономиката на платформите/споделената икономика и мрежовия ефект, за който допринасят и облачните услуги. Най-доброто, което можете да направите преди да доверите важна бизнес функция или целия семеен архив на облака, е да се информирате подробно за възможностите и правата, които имате.

Във втората част на тази статия ще направя опит да разкажа кои са някои от най-важните моменти от отношенията ви с облачните гиганти и как да се ориентирате в тяхната изобилна и понякога объркваща документация.

[1] https://ec.europa.eu/digital-single-market/en/cloud

[2] Но не винаги. Подробностите и спецификите са оставени на компютърните експерти, към които авторът не принадлежи.

 

Автор: Адвокат Жулиета Мандажиева

Статията не представлява правно становище или съвет, свързан с конкретен казус или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация може да се свържете с автора й на имейл: mandazhieva@tmlawoffice.bg