Está fechando com um provedor de nuvem? Não se esqueça de definir um plano de saída

Para a maior parte das empresas, faz sentido explorar maneiras pelas quais as empresas podem se preparar melhor para uma saída de um provedor de nuvem – e, precisamente, como sair quando chegar a hora. O problema é que poucos departamentos jurídicos se concentram o suficiente nos detalhes da saída, especialmente quando acabam de negociar um novo contrato de longo prazo. Não se trata apenas de obter permissão fácil para partir; também é importante que a TI garanta que nenhuma decisão complique as coisas na hora de fazer uma pausa.

Arranjos complexos de nuvem global podem ficar complicados em 2022. O truque é que os recursos baseados em nuvem que tornam o compartilhamento e a proteção de dados eficientes e sem atritos tendem a incluir muitos elementos proprietários. Esses são precisamente o tipo que tende a bloquear uma empresa e complicar uma saída no caminho.

Os provedores de nuvem “tornam mais fácil para você usar seus serviços nativos”, que são invariavelmente proprietários e têm um grau de aprisionamento, disse Rich Cracknell, Líder de Segurança em Nuvem do escritório da McKinsey, no Vale do Silício.

O colega de Cracknell na McKinsey, Justin Greis, acrescentou que esses serviços em nuvem podem ser “altamente dependentes (nesse ambiente de nuvem) e fortemente acoplados. Você precisa fazer uma análise aplicativo por aplicativo para ver como cada um é fortemente acoplado. Nós o refatoramos agora ou o movemos como está e chutamos essa lata no caminho?”

A realidade é que a maioria das empresas, especialmente na categoria Fortune 500 e maiores, já terá uma presença na nuvem com vários ambientes de nuvem. Idealmente, isso significa que a TI já tem uma excelente noção de como as principais plataformas diferem. Dito isso, quando chega a hora de mudar de um para outro (disse Greis: “A Amazon não necessariamente joga bem no mundo do Google”), surpresas desagradáveis são quase certas.

Isso nos traz de volta ao ponto-chave: Quais termos/linguagem você deseja nos contratos de nuvem para facilitar a saída inevitável?

Muitas pessoas que lidaram com problemas de nuvem falam sobre o nível de assistência que o fornecedor de nuvem existente deve fornecer na mudança para um novo provedor. Isso levanta uma questão suspeita: Você realmente quer que o fornecedor de nuvem que você acabou de demitir esteja envolvido na transição? Em um mundo perfeito, essa ajuda seria crítica. Mas no mundo real, o fornecedor de nuvem demitido não tem um conflito de interesses? Eles ficariam felizes se o novo ambiente de nuvem nunca funcionasse tão bem quanto o deles?

Há também problemas de conformidade e risco de segurança. Durante uma transição, seus dados mais confidenciais supervisionados pelo regulador estarão em dois lugares ao mesmo tempo, potencialmente por semanas e talvez meses durante a fase de transição e teste. Há pouca ou nenhuma alternativa a não ser temporariamente ter dados duplos, mas é uma questão de risco e conformidade que precisa ser apresentada a essas áreas.

Todd Smith, Vice-Presidente Sênior e conselheiro geral da empresa de gerenciamento de ciclo de vida de contratos Icertis, ofereceu uma sugestão que em breve pode não ser mais relevante.

“É muito menos comum hoje em dia, mas ocasionalmente um cliente pede um depósito de código-fonte. Em teoria, isso permitiria que o cliente administrasse o (ambiente) por conta própria se o fornecedor falir”, disse Smith. “Essa pergunta é muito menos comum hoje porque a maioria entende que o SaaS não é instrumentado dessa maneira e o modelo de assinatura reduz o compromisso no front end de qualquer maneira”.

Há muitas razões para querer sair de uma plataforma em nuvem, mas é importante que seu contrato especifique o direito de sair por conveniência – ou seja, sem nenhum motivo específico. É uma espécie de contrato de fornecedor de nuvem equivalente ao contrato sem vínculo trabalhista, que o empregador pode demitir um funcionário por qualquer motivo e sem aviso prévio.

“Sem essa disposição, você, como empresa cliente, será obrigado a apresentar causa quando quiser rescindir o contrato com o prestador de serviços por não atender às suas expectativas estipuladas. Mostrar a causa é um esforço muito difícil e demorado para a empresa cliente”, disse Ben Richardson, Desenvolvedor de Software Sênior do fornecedor de segurança SecureW2. “Você também quer garantir que o acordo estipule claramente eventos que são considerados uma violação fundamental do contrato pelo provedor de serviços. Esses eventos podem incluir perda de dados, prestação de serviços inconsistente, vazamentos de dados, uso indevido de dados e violações de proteção de dados pessoais. Revise os eventos listados e certifique-se de que todos os eventos que você considera uma quebra de contrato foram incluídos”.

Mark Rasch, Chefe da Prática de Segurança Cibernética do escritório de advocacia Kohrman, Jackson and Krantz e ex-Chefe da unidade de crimes de alta tecnologia do Departamento de Justiça dos EUA, argumenta que o contrato também deve se concentrar em questões de direitos e propriedade em relação a tudo nesse ambiente de nuvem.

“O fato de você possuir os dados não significa que você tenha a capacidade ou o direito de movê-los de um lugar para outro. A propriedade é um conceito de direitos autorais e o controle é um conceito físico. Inclua uma cláusula de portabilidade de dados”, disse Rasch. “Você quer deixar claro que meus dados são meus dados, assim como aplicativos e APIs especializadas para tornar meus dados úteis. Quem é o proprietário dessas APIs? Você não as escreveu”.

Rasch também sugere que o contrato também aborde explicitamente como todo e qualquer item no ambiente de nuvem será tratado. “Após o término, tudo será apagado ou criptografado. Fale sobre o que acontece com os dados depois que você sair. Detalhe a responsabilidade se não for apagada e depois for violada. Certifique-se de que o contrato exige que tudo também seja removido de todos os backups e de todos os arquivos”.