Как проверить нового поставщика IT-решений? Часть 2

Впервые мы видим, как целую страну пытаются отменить. Есть вероятность, что будущие внутренние региональные IT-платформы будут развиваться активнее и поддерживаться на уровне государств, что приведет к росту конкуренции на глобальном рынке. Многие бизнесы теперь не раз подумают: что мы будем делать, если нас внезапно отключат от банка или от чего-то другого? В России довольно много лет законодательство требует персональные данные граждан хранить на территории РФ, этот риск был проконтролирован. Но все риски учесть сложно.


Анкета для нового провайдера: 6 вопросов не в бровь, а в глаз

До выбора нового провайдера есть смысл сделать глубокий вдох и понять: какую проблему вы решаете, зачем вообще нужен аналог этого решения? Иногда бывает, что проблема решается вообще другим способом или сервис потерял актуальность.

Первый вопрос: где находятся разработчики?

Например, компания Wargaming, у которой были офисы разработки в России и Беларуси, создала отдельную компанию и передала ей права на «Танки» в России и Беларуси. Остальную разработку перенесли в юрлицо за пределы РФ и РБ. Для заказчика сейчас важно понимать, кто разработчик. С американскими сервисами, с украинскими есть проблемы. Что вы будете делать, если компания-разработчик уйдет с рынка РФ?

Второй вопрос: где хранятся ваши данные? Если вам отключат к ним доступ, вы сможете что-то с этим сделать?

Если база данных лежит на сервере в Европе, а провайдер одним днем закрывает к ней доступ, в суд вы на них, скорее всего, не подадите. Данные лучше размещать там, где они доступны. Есть простой вариант: сервер у вас в офисе. Или дата-центр в РФ, куда вы сможете в случае чего «сходить за своим сервером». Так у вас есть возможность влиять на ситуацию.

Третий вопрос — это инфраструктура. Насколько оборудование и ПО — ваши?

Мы говорили об этом в первой части статьи.

Четвертый вопрос — это контроль софта.

Если вам что-то разработанное принесли в офис и поставили, оно будет работать, даже если компания-разработчик исчезнет с лица земли. Хотя бы пока вы не найдете замену. Над облачными сервисами у вас никакого контроля нет. Лишиться сервиса грустно. Например, недавно «Сбербанк» и «Альфа-банк» лишились учетных записей на GitHub (это популярный сервис по хранению кода).

Пятый вопрос: возможность юридического взаимодействия с поставщиками, чтобы была возможность хотя бы компенсацию попросить.

Шестой и последний вопрос. Даже если компания не российская, полезно узнать, какой процент бизнеса у них в России.

Например, у нас работает «Леруа Мерлен». У них 18% бизнеса в России, они продолжают работать. Если у компании есть финансовый стимул продолжать работать, уйти с рынка будет более болезненно.


А где провайдер хранит ваши данные?

Первый и самый простой способ узнать, хранит ли провайдер данные на территории России: найти его в реестре российского ПО, который есть в открытом доступе.

Единый реестр российских программ для электронных вычислительных машин и баз данных: https://reestr.digital.gov.ru

Чтобы там оказаться, разработка и права на продукт должны принадлежать российскому юрлицу, это важно. До 2020 года разработчику можно было войти в реестр российского ПО, если он был лицензиатом, только представителем разработчика, поэтому лучше проверять еще и правообладателей. Сейчас эту лазейку закрыли. В любом случае, стоит начать с Реестра российского ПО.

Второе. Наличие аттестата ФСТЭК (Федеральная служба по техническому и экспортному контролю). Для получения аттестата ФСТЭК нужно предоставить данные о местонахождении дата-центров, в которых арендованы мощности. Буквально, на какой стойке, на каком месте стоит сервер. Подается также информация о том, какие персональные данные обрабатываются. Есть несколько уровней защиты данных, просто критичность данных «ФИО+почта» ниже, чем у «ФИО+данные банковской карты», например. Советуем HR-ам запрашивать у поставщика услуг третий уровень защищености данных.

Официальный сайт ФСТЭК: https://fstec.ru

Если компания российская, она подотчетна российскому законодательству, разместит сервера в России, это не очень сложно. Для полной уверенности вы можете запросить договор с ЦОДом. Сейчас компании, которые сертифицированы государством выдавать сертификаты ФСТЭК, проверяют все схемы взаимодействия и оборудование, а с 2022 года «выход за контур» автоматически ведет к отзыву аттестата. Если у компании-провайдера есть аттестат ФСТЭК 2021 или 2022 года, у них с хранением данных точно все хорошо.