מחשוב ענן - היבטים משפטיים, עו"ד משה כאהן
למרות שהשימוש בשירותי מחשוב מבוססי ענן הולך ונהיה נפוץ יותר ויותר בעולם ואף בישראל, התקשרויות עם ספקי השירותים כנ"ל מעוררות לעיתים קרובות בעיות משפטיות שאינן פשוטות כלל ועיקר.
במאמר זה נסקור להלן היבטים משפטיים עיקריים, הקשורים להתקשרות לקבלת שירותי מיחשוב ענן.
נהוג כיום להתייחס ל-3 סוגים של שירותי מיחשוב ענן:
• SaaS- שירות המציע לרוכש שירותי תוכנה ואיחסון באתר הספק. זהו השירות הגדול והנפוץ ביותר כיום בתחום מיחשוב הענן.
• IaaS- שירות המציע לרוכש בעיקר תשתית לאיחסון וגיבוי.
• PaaS-שירות המציע לרוכש פלטפורמה לפיתוח תוכנות ואיחסון באתר הספק.
יתרונות
לשימוש בשירותי מחשוב ענן יתרונות לא מבוטלים: חיסכון מהותי בהוצאות הגדולות הכרוכות ברכישת ציוד חומרה (שרתים) ותוכנות יחודיות ובעיקר האפשרות להשתחרר מהצורך לנהל את מערכות המיחשוב באופן שוטף.
במסגרת השירות הניתן מהספק, מקבל רוכש השירות גישה לשרת הנמצא מחוץ לחצריו ולתוכנות ייחודיות, המנוהלות ע"י חברה גדולה ומוכרת, בעלת יכולות טכנולוגיות גבוהות וכח אדם מעולה, המספקת בד בבד שירותים דומים למספר גדול של משתמשים ונהנית מרמת אמינות גבוהה.
בצד יתרונות אלו, מציעים ספקי השירות ללקוחותיהם, גמישות בשימוש במשאבי המיחשוב, ויכולת גידול כמעט בלתי מוגבלת בצריכת השירותים. בנוסף, ספקי שירותי "ענן" אמורים לספק יכולות גבוהות, בכל הכרוך במנגנונים לרציפות עסקית ("BCP") ותוכניות התאוששות מאסונות ("DRP").
חסרונות
ברשימת החסרונות הקיימים כיום בהתקשרות לקבלת השירות, בולטים הסיכונים המובנים בשירות מסוג זה וביניהם: תלות כמעט מוחלטת בספק השירות ("Vendor Lock-in") וברשת האינטרנט וחוסר ודאות באשר לתוצאות תקלות טכניות אשר עשויות להתרחש. כמו כן, קיימות בעיות משפטיות לא פשוטות בעיקר בתחום שמירת הפרטיות, ובתחום אבטחת המידע אליהם נתייחס להלן.
מצב קיים
הסיכונים הנזכרים לעיל, וחוסר הווודאות הקיים, נוכח הזמן הקצר יחסית שבו ניתנים שירותי מיחשוב ענן בעולם, גורמים לעיתים קרובות לגופים כלכליים גדולים, הנדרשים ליכולת תגובה מהירה והמחזיקים במידע
רגיש ביותר, להתקשר בשירותי ענן רק לגבי תחומים שהינם מהותיים פחות לליבת העסקים שלהם כגון: שירותי CRM ולהשאיר ע"ג שרתים שבפיקוחם ובהישג ידם, את המידע והתוכנות שהינם קריטיים ביותר להמשך פעילות האירגון ("Mission- Critical").
רגולציה
כמעט ואין עדיין בעולם, רגולציה ספציפית המסדירה את עצם ההתקשרות בין רוכש לספק שירותי מיחשוב ענן.
מאידך, קיימת רגולציה עניפה החלה על תוצאות ההתקשרות, קרי, פעילות הצדדים והמידע המאוחסן בשרתי הענן, בעיקר בתחום הגנת הפרטיות ואבטחת המידע.
כפי שיפורט להלן, בנושאים אלו, רוכש שירותי מיחשוב ענן מישראל, יהיה כפוף לא רק לרגולציה הישראלית החלה עליו, אלא אף לרגולציה הזרה החלה על הספק ועל המקום בו מוצב השרת.
רגולציה ישראלית
כאמור, גם לאחר העברת הנתונים לשרת מבוסס ענן המוצב בחו"ל וככל שחלים דינים זרים על הפעילות (והם חלים), לא יהיה בכך כדי לשחרר את רוכש השירות הישראלי מהוראות הרגולציה המקומית, אשר תמשיך לחול עליו, בכל הנוגע למידע המצוי ע"ג השרת שבחו"ל.
לעניין זה יש להזכיר, בין היתר, את הוראות הרגולציה כדלקמן:
(א) חוק הגנת הפרטיות תשמ"ו- 1981
(ב) תקנות הגנת הפרטיות (העברת מידע אל מאגר מידע שמחוץ לגבולות המדינה)
תשס"א-2001
(ג) תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) התשמ"ו- 1986.
(ד) חוזר גופים מוסדיים 2006-9-6 "הוראה לניהול סיכוני אבטחת המידע של הגופים
המוסדיים" מיום 16.10.2006 (נוהל 257 ונוהל 357 ).
(ה) חוזר גופים מוסדיים 2010-9-4 ניהול טכנולוגיות מידע בגופים מוסדיים מיום 22.8.10.
לעניין החוזרים שבס"ק (ד) ו-(ה) הנזכרים לעיל, יחשבו שירותי מיחשוב ענן כ"מיקור חוץ".
לפיכך, בעת ההתקשרות לקבלת שירותי מיחשוב ענן, ע"י רוכש שירות ישראלי, קיימת חובה מצידו
להבטיח את קיום הוראות הרגולציה הישראלית החלה עליו, כולל קבלת אפשרות מהספק לפיקוח שוטף ולבקרה מטעמו על קיומם של הוראות דין אלו.
מיקום השירות, והדין החל על ההתקשרות
כבכל הסכם הנעשה בין גופים המצויים במדינות שונות, על הצדדים להסכים על הדין שיחול על ההסכם.
ברם, החלת דין מוסכם על הצדדים, אינה משחררת אותם מהוראות דין אחרות, הניתנות לאכיפה עליהם. גם למיקום השרת, יש משמעות גם לצורך אכיפת דינים זרים אשר עשויים לחול עליהם ויש לברר נושא זה מראש.
כך למשל: ככל שיהיה הספק כפוף ל- ,US Patriot Act הוא עלול להיות מחוייב להעביר לשילטונות האמריקאים מידע אישי אודות לקוחות, אשר מצוי ע"ג שרתי הספק, זאת מבלי ליידע את מקבל השירות או את הלקוח הרלבנטי אודות כך.
פעולה כזו עלולה להיחשב כהפרה של הוראות דין מקומיות מצד רוכש השירות, כמו גם הפרה מצידו, של מחויבויותו לשמירת סודיות כלפי הלקוחות.
ישנם עוד חוקים זרים דומים המקבילים מבחינת יישומם ל- Patriot Act (כגון:The Pipeda Case Summary #2008-394 הקנדי, The Regulation of Investigatory Powers Act of 2000 הבריטי), ועל כן ראוי לברר בטרם ההתקשרות, את תחולת הוראות הדין הנ"ל, על הספק, השרת, והמידע המאוחסן בשרת וזאת באמצעות קבלת חוות דעת משפטית מעורך דין מקומי.
חשוב לציין כי, ככל שהשירות כולל העברה לשרת בחו"ל של מידע, הנחשב בישראל ל"מאגר מידע", הרי שעפ"י תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה תשס"א- 2001, מותרת העברת מידע מ"מאגר מידע", רק לשרת המוצב במדינה שחוקיה מבטיחים הגנה על רמת אבטחת המידע כמפורט בתקנות.
גם ב- .E.U ישנן הוראות דין המגבילות העברת מידע מחוץ ל- E.U. וככל שדין זה חל על הספק או על העסקה, יש לברר מראש עניין זה, לפני ההתקשרות.
לעניין אבטחת מידע, ספקים מחזיקים לעיתים קרובות תעודות ואישורים המאשרים את רמת אבטחת המידע בשירותים הניתנים על ידם. תעודות אלו ניתנות ע"י גופים עצמאיים (כגון: Cloud Kick) הבודקים את רמת איכות השירות של הספקים בנושאים אלו, ומבקרים אותה.
תנאי ההתקשרות
רמת השירות ( Service Level Agreement)
תנאי השירות ינוסחו בדרך כלל ע"י הספק באופן חד צדדי לטובתו וללא ציון קריטריונים ופרמטים מחייבים לעניין רמת השירות. לפיכך, על הרוכש לעמוד על כך שחוזה ההתקשרות יכלול את כל הפרטים
והפרמטרים הטכניים, שיבטיחו לטעמו שירות ברמה הנאותה. בנוסף, יש לתת, בין היתר, דגש לנושאים הבאים:
• התמודדות הספק עם בעיות בהפעלת השירות, זמני תגובה, אמצעי מניעה, בקרה וכו'.
• טיפולי אחזקה בשרת והגבלות על שימוש בתקופות מסויימות ומוגבלות.
• גיבוי המידע ואפשרות איחזור.
• התחייבות הספק לטיפול במקרה אסון (Disaster Recovery) כולל קביעת זמנים.
• אופן איחסון המידע הרגיש והנגישות לו תוך כדי תקופת השירות ולאחריה.
• פיקוח ובקרה של הלקוח או מי מטעמו על רמת השירות.
• פיקוח ובקרה של הלקוח או מי מטעמו על קיום הוראות הדין בדבר סודיות ואבטחת מידע.
• שיפורי גירסה של התוכנה.
• קבלת דוחות תקופתיים.
• תוצאות אי עמידת הספק בתנאי ההסכם (סנקציות וכו').
אפשרויות סיום ההסכם
יש לדרוש מהספק אפשרות יציאה "חלקה" ומהירה לרוכש השירות מההתקשרות, במידה ויתברר כי הספק אינו יכול לעמוד בדרישותיו, מבחינת רמת השירות או העמידה בדרישות הדין, תוך אפשרות העברת המידע לספק אחר (ראה להלן).
כמו כן, יש לאפשר לרוכש, לסיים את ההתקשרות ללא סיבה ("No Cause"), בהתראה קצרה יחסית.
מאידך, אין לאפשר לספק לסיים את ההתקשרות אלא לאחר מתן תקופת הודעה מוקדמת ארוכה, אשר תאפשר לרוכש השירות זמן התארגנות ראוי.
העברת המידע בעת סיום ההסכם
בשונה מהסכמים אחרים, בחוזי ,SaaS מדובר בשירות המבוסס על תוכנה השייכת לספק. לפיכך הוראה הסכמית המאפשרת את העברת המידע ללקוח או למי מטעמו בסיום ההסכם, אפילו בפורמט מוסכם,
אינה עשויה לפתור לחלוטין את רצף הפעילות של הרוכש, ככל שנדרשת העברתה לאפליקציה שונה מזו הנקובה אצל הספק הקיים.
בעניין זה, מומלץ להכניס להסכם מנגנון מוסכם של שיתוף פעולה להעברת הנתונים לאפליקציה אחרת, כולל של ספק אחר (Data Export Facilities), ולרבות תשלום מוסכם שישולם לספק בגין שיתוף הפעולה בהעברה לאפליקציה שונה והתחייבות לשיפוי הרוכש במקרה של נזקים הנובעים מחוסר שיתוף פעולה כאמור.
יש להשתמש בפתרון דומה גם למקרים שהספק יחדל לפעול מסיבה כלשהי או יחדל לספק את השירות הספציפי.
סודיות, פרטיות ואבטחת המידע
על ההסכם לכלול סעיפים ספציפים המחילים על הספק את מלוא האחריות לעמידה בדרישות הספציפיות של סודיות, פרטיות ואבטחת המידע, לרבות עפ"י דרישות הדין, ומנגנון בקרה ודיווח לעניין זה.
אחריות הספק וביטוח
הסכמי התקשרות עם ספקי שירות מיחשוב ענן, עלולים להכיל סעיפים דרקוניים הפוטרים את הספק מאחריות ברוב המקרים, ובמקרים חריגים מגבילים את גובה השיפוי שינתן לרוכש שניזוק, עד לגובה התשלום ששילם לספק.
למותר לציין, כי ככל שמדובר ברוכש שירותים בהיקף גדול יותר, הוא יוכל להתנות על הוראות מסוג זה ולקבוע אחריות מורחבת לספק ומנגנונים לפיצוי ראוי במקרה של נזקים שנובעים מאי עמידת הספק בתנאי ההסכם, כמו גם מנגנון שיפוי במקרה של תביעות.
יש גם לבדוק אפשרות של רכישת ביטוח. קיימות בשוק פוליסות ביטוח מסוג Cyber Liability, וגם כאן יש לבדוק את תנאי והיקף הכיסוי האפשרי.
זכויות קניין
על ההסכם להכיל הצהרה מצד הספק, כי החומרה והתוכנות בהם יעשה שימוש הינם בבעלותו המלאה או לחילופין כי יש לו רישיון בלתי חוזר ובלתי מותנה להשתמש בהם ולתת באמצעותם את השירותים לרוכש.
מאידך, ההסכם חייב לכלול התחייבות של הספק, כי לרוכש השירות זכויות בעלות בלעדיות במידע המאוחסן ע"ג השרת ובתוצרים של הפעילות.
פתרון סכסוכים
כבכל הסכם הנעשה בין צדדים המצויים במדינות שונות, יש לשקול את השיקולים השונים באשר לקביעת המקום והערכאה שתדון במקרים של מחלוקות בין הצדדים, מבחינות נוחות, עלויות, הדין החל במקום השיפוט וכיוצ"ב.
לא מן הנמנע שבוררותICC עשויה להוות לפתרון מחלוקות בחוזים מעין אלו אשר במקרים רבים כרוכים בהם גם עיניינים טכניים מורכבים.
מרץ 2011