Составление договора SaaS, PaaS, IaaS

15 минут
22.06.2021
Существуют разные виды облачных бизнес-моделей. Основными являются SaaS, IaaS, PaaS. При составлении договоров на оказание услуг облачных вычислений важно обращать внимание на ключевые особенности каждой модели.

В чем суть
SaaS, PaaS, IaaS различаются объемами облачных ресурсов, которые задействованы пользователем в проекте, и отражают степень самостоятельности пользователя.

Software-as-a-Service — полностью готовое к использованию приложение, которое целиком находится в облаке.

Platform-as-a-Service — находящиеся в облаке инструменты, с помощью которых может быть создано приложение силами пользователя.

Infrastructure-as-a-Service — облачные вычислительные мощности, используемые в качестве основания проекта.

Основные виды as-a-Service
IaaS (Инфраструктура как сервис)
Сервис, предоставляющий только базовые ресурсы — объемы оперативной и внешней памяти, мощности процессора, что позволяет перенести в облако хранилища данных, виртуальные сети и серверы. IaaS — фундамент для чего-то большего, он позволяет выстроить полноценную информационную систему. Например, в виде операционной системы, системы документооборота или даже интернет-магазина.
Где может быть полезен?
Например, Google Cloud Platform предлагает снизить рабочую нагрузку на локальные ресурсы клиента, предоставляя ресурсы облачного суперкомпьютера с передовыми процессорами (в том числе графическими), низкой задержкой и вместительными data-хранилищами. Использование подобных сервисов позволяет существенно сэкономить средства на "железе".
PaaS (Платформа как сервис)
Сервис, предоставляющий среду для разработки приложений. Платформа как сервис имеет готовые инструменты для создания приложений, базирующиеся на вычислительных мощностях. То есть PaaS = IaaS + промежуточные приложения, инструменты для тестирования и непосредственной разработки ПО.
Где может быть полезен?
Например, платформа Google App Engine предоставляет инструменты в виде популярных языков программирования, фреймворков, программных продуктов для тестирования приложения, позволяя сосредоточиться на написании исходного кода приложения.
SaaS (Приложение как сервис)
Полностью готовое к выполнению на компьютере клиента приложение, например, e-mail сервисы, органайзеры, мессенджеры. Поддержка таких приложений, создание бэкапов, синхронизация для разных устройств полностью возложена на облачного провайдера. Пользователь же лишь применяет сервис в своих целях.
Где может быть полезен?
Пример популярной SaaS — Google Workspace, элементами которого являются известные Gmail, Google Drive, Google Keep, Google Calendar и иные инструменты. Они позволяют пользователю обмениваться сообщениями, сосредотачивать файлы в доступном для нужных лиц месте и заниматься совместным планированием.
Выбор в пользу конкретного сервиса обусловлен уровнем IT-инфраструктуры компании. Чем он выше, тем меньше элементов нужно перенести в облако.

Юридическое оформление as-a-Service
В юридической плоскости договоры об IaaS и PaaS структурируются по смешанному формату с элементами возмездного оказания услуг и лицензионного договора. Исполнитель оказывает услугу, связанную с предоставлением доступа к различным инструментам, на использование которых клиент должен получить лицензию.

Договор о SaaS можно двумя разными способами:

  • Если использование облачного приложения происходит только с помощью браузера — договор следует оформить как договор возмездного оказания услуг.

  • Если вместо браузера для SaaS клиентом используется специальное ПО на его устройстве, разработанное облачным провайдером — договор следует оформить по типу смешанного с элементами возмездного оказания услуг и лицензионного договора.

Более того, сторонам отношений, связанных с «облачными» сервисами, стоит учитывать то, что сделки с предметом «as-a-Service» освобождаются от НДС, при условии, что в их рамках происходит предоставление исключительных прав на ПО или базы данных, включенное в реестр отечественного ПО, с помощью удалённого доступа через Интернет, данного клиенту (пп. 26 п. 2 ст. 149 НК РФ).

Правильная квалификация договорных отношений и проработка условий договора важна для минимизации рисков, которые сопутствуют отношениям по моделям as-a-Service.

Почему это важно
Правильное структурирование договорных условий важно, поскольку при их поверхностной проработке, либо при использовании шаблонов договоров могут быть не учтены особенности модели, по которой работает сервис провайдера. А это может привести к причинению убытков как провайдеру облачного решения, так и пользователю.

На что обратить внимание
Ниже указаны ключевые риски, которые важно учитывать при подготовке as-Service договора:
Низкая производительность сервиса
Нагрузки на облако, сбои на стороне провайдера могут ударить по производительности сервиса, что может быть критично для бизнеса клиента. Для того, чтобы избежать таких последствий, следует обозначить в договоре и в Service Level Agreements (SLA, Соглашение об уровне предоставления услуги):

  • показатели производительности сервиса, которые должны быть обеспечены провайдером;
  • ответственность провайдера за необеспечение таких показателей;
  • возмещение потерь (ст. 406.1 ГК РФ) на случай низкой производительности, возникшей не по вине исполнителя.
Нарушение прав на интеллектуальную собственность третьих лиц провайдером
Провайдер является информационным посредником (ст. 1253.1 ГК РФ), поэтому в процессе работы с данными клиента присутствует риск нарушения провайдером интеллектуальных прав третьих лиц.

Для минимизации такого риска, нужно предусмотреть гарантии, устраняющие ответственность провайдера, но не ущемляющие интересы клиента, например:

  • право провайдера на возмещение потерь заказчиком;
  • гарантия "юридической чистоты" прав на объекты интеллектуальной собственности, с которыми будет работать провайдер;
  • порядок действий провайдера в случае нарушения интеллектуальных прав третьих лиц.
Нарушение интеллектуальных прав клиента
Подобно любому договору, затрагивающему интеллектуальную собственность, в договоре as-a-Service должен быть урегулирован аспект интеллектуальных прав. Риск заключается в нарушении интеллектуальных прав клиента, поскольку цель as-a-Service заключается в работе над ПО / иной интеллектуальной собственностью.

Для того, чтобы избежать негативных последствий в договоре следует предусмотреть:

  • гарантии для провайдера и клиента о "юридической чистоте" прав на интеллектуальную собственность;
  • ответственность за нарушение интеллектуальных прав и ее размеры;
  • право провайдера использовать интеллектуальную собственность только для целей договора as-a-Service.
Нарушение законодательства о персональных данных
Если клиент обрабатывает персональные данные и использует «облачные» сервисы, то и клиент сервиса, и его провайдер могут нарушить законодательство о персональных данных. Условия защиты персональных данных также должны быть структурированы в договоре, например:

1. Обязательства, соответствующие стандартам ISO, нормативно-правовым актам ФСТЭК, Правительства РФ, например, по:

  • обеспечению сохранности носителей персональных данных;
  • проведению мер по технической защите конфиденциальности данных;
  • реализации антивирусной защиты в системе, обрабатывающей персональные данные;
  • разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.

2. Гарантии соблюдения провайдером и клиентом законодательства о персональных данных.

3. Ответственность за допущенные сторонами нарушения и ее размеры.

Более того, если серверное и сетевое оборудование провайдера находится за пределами РФ, нужно учитывать требования законодательства относительно трансграничной передачи персональных данных: нужно убедиться в адекватности защиты персональных данных в иностранном государстве, и если установленный Роскомнадзором уровень адекватности не соблюдается, то передачу данных можно производить только при соблюдении конкретных условий (ст. 12 № 152-ФЗ).
Нарушение конфиденциальности передаваемых в облако данных
Посторонние лица могут получить доступ к облаку, в котором хранится конфиденциальная информация заказчика. Чтобы минимизировать такой риск, в договоре следует предусмотреть:

1. Обязанности по обеспечению конфиденциальности информации, например, соответствующие стандарту ISO:

  • обязанность использовать средства для безопасной обработки информации (например, уничтожение записей);
  • обязанность обеспечить соблюдение конфиденциальности сотрудниками, подрядчиками и иным персоналом провайдера;
  • иные.

2. Ответственность за нарушение режима конфиденциальности и нарушение требований к его обеспечению, в том числе после прекращения договора.

3. Конкретные инструменты, которые должен использовать провайдер, и которые смогут обеспечить конфиденциальность информации.
ЗАКАЗЧИКИ И ПЛАТФОРМЫ
30.06.2021
читайте также:
Составление и проверка договоров с заказчиком
Для минимизации возможных спорных ситуаций необходимо уделить особое внимание условиям...
ЗАКАЗЧИКИ И ПЛАТФОРМЫ
26.06.2021
Разработка пользовательского соглашения
Пользовательское соглашение (Terms of use / TOU) — важный документ, который устанавливает...
ЗАКАЗЧИКИ И ПЛАТФОРМЫ
26.06.2021
Разработка SLA
Копирование приложений наносит вред их разработчикам: не только финансовый, но и...