مرحباً بكم في الأمم المتحدة
اللغة:
  1. الصفحة الرئيسية
  2. ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (أعدَّتها أمانة لجنة الأمم المتحدة للقانون التجاري الدولي، ٢٠١٩)

ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (أعدَّتها أمانة لجنة الأمم المتحدة للقانون التجاري الدولي، ٢٠١٩)

الجزء الأول- الجوانب الرئيسية السابقة للتعاقد

باء- تقييم المخاطر السابق للتعاقد

قد يشترط القانون الإلزامي المنطبق إجراء تقييم للمخاطر كشرط مسبق لإبرام عقد الحوسبة السحابية. وحتى في حال عدم وجود اشتراطات قانونية، قد يقرر الطرفان إجراء تقييم للمخاطر ليساعدهما على تحديد استراتيجيات للحد من المخاطر، بما في ذلك التفاوض على بنود تعاقدية مناسبة.

وقد لا تكون جميع المخاطر الناشئة عن عقود الحوسبة السحابية خاصة بالسُّحب، إذ قد تعالجَ بعض المخاطر خارج نطاق عقد الحوسبة السحابية (مثل المخاطر الناشئة عن انقطاع وصلات الإنترنت)، وقد لا يمكن تخفيف جميع المخاطر بتكلفة مقبولة (مثل الأضرار المتعلقة بالسُّمعة). كما أنَّ تقييم المخاطر لن يكون حدثاً يحصل مرة واحدة قبل إبرام العقد، فقد يكون مستمرا طوال مدة العقد، وقد تستلزم نتائجه تعديل العقد أو إنهاءه.

التحقق من المعلومات المتعلقة بخدمة حوسبة سحابية معيَّنة وطرف متعاقد مختار

قد تكون المعلومات التالية ذات أهمية للطرفين عند نظرهما في استعمال خدمة حوسبة سحابية معيَّنة واختيار طرف متعاقد:

(أ)      تراخيص الممتلكات الفكرية اللازمة لاستعمال خدمة حوسبة سحابية معيَّنة؛

(ب)    السياسات القائمة بشأن الخصوصية والسرية والأمن، وخصوصاً فيما يتعلق بمنع الوصول غير المأذون به إلى البيانات أو منع استعمالها أو تغييرها أو إتلافها أثناء معالجتها أو عبورها أو نقلها باستخدام مرفق الحوسبة السحابية؛

(ج)     التدابير الموجودة لضمان استمرارية تيسُّر الوصول إلى البيانات التعريفية وسجلات التدقيق وسائر السجلات الدالة على وجود تدابير أمنية؛

(د)      خطة التعافي من الكوارث والتزامات التبليغ الموجودة في حال وقوع خرق أمني أو تعطُّل للنظام؛

(ه‍)      السياسات القائمة بشأن النقل إلى السحابة والمساعدة المقدمة عند انتهاء الخدمة، وكذلك قابلية التشغيل التبادلي والقابلية للنقل؛

(و)      التدابير الموجودة للتحقق من مؤهلات المستخدَمين والمتعاقدين من الباطن وسائر الأطراف الثالثة التي تشارك في تقديم خدمات الحوسبة السحابية، ولتزويدهم بالتدريب؛

(ز)      الإحصاءات الخاصة بالحوادث الأمنية والمعلومات المتعلقة بأداء إجراءات التعافي من الكوارث في الماضي؛

(ح)     شهادة من طرف ثالث مستقل بشأن الامتثال للمعايير التقنية؛

(ط)     معلومات دالة على انتظام عمليات التدقيق التي تجريها هيئة مستقلة، ونطاق ذلك التدقيق؛

(ي)     الاستدامة المالية؛

(ك)     بوليصات التأمين؛

(ل)     احتمال تضارب المصالح؛

(م)      نطاق التعاقد من الباطن وخدمات الحوسبة السحابية المتعددة الطبقات؛

(ن)     مدى عزل البيانات عن المحتويات الأخرى في مرفق الحوسبة السحابية؛

(س)     الأدوار المتوقعة لكل من الطرفين ومسؤوليتهما المشتركة فيما يخص التدابير الأمنية.

مخاطر انتهاك الملكية الفكرية

يمكن أن تنشأ مخاطر انتهاك الملكية الفكرية، مثلاً، إذا لم يكن مقدِّم الخدمات هو مالك أو مطوِّر الموارد التي يقدمها إلى زبائنه، بل يستعملها بمقتضى ترتيب مبرم مع طرف ثالث بشأن ترخيص الممتلكات الفكرية. وقد تنشأ مخاطر انتهاك الملكية الفكرية أيضاً إذا كان الزبون ملزماً، من أجل تنفيذ العقد، بمنح مقدِّم الخدمات رخصة باستعمال المحتوى الذي يعتزم الزبون وضعه في السحابة. ففي بعض الولايات القضائية، قد يُعتبر تخزين المحتوى على السحابة، حتى لأغراض التخزين الاحتياطي، بمثابة استنساخ ويتطلب إذناً مسبقاً من مالك حقوق الملكية الفكرية.

ومن مصلحة كلا الطرفين أن يتكفَّلا قبل إبرام العقد بألا يشكل استعمال خدمات الحوسبة السحابية انتهاكاً لحقوق الملكية الفكرية وسبباً لسحب ترخيص الممتلكات الفكرية الممنوح لأيٍّ منهما، وقد تكون تكاليف انتهاك الملكية الفكرية عالية جدا. وقد يلزم اتخاذ ترتيبات بشأن الحق في الترخيص من الباطن، أو قد يلزم إبرام ترتيبات خاصة بالترخيص المباشر مع الطرف الثالث المرخِّص ذي الصلة يُمنَح بمقتضاها الحق في إدارة التراخيص. وقد يستلزم استعمال البرامجيات المفتوحة المصدر أو غيرها من المحتويات الحصولَ على موافقة مسبقة من أطراف ثالثة والإفصاح عن الشيفرة المصدرية مع أيِّ تعديلات مُدخَلة على البرامجيات المفتوحة المصدر أو المحتويات الأخرى.

المخاطر التي يتعرض لها أمن البيانات وسلامتها وسريتها وخصوصيتها

يؤدي نقل البيانات بأكملها أو جزء منها إلى السحابة إلى فقدان الزبون السيطرة الحصرية على تلك البيانات وقدرته على اتخاذ التدابير اللازمة لضمان سلامة وسرية البيانات أو التحقق من أنَّ عمليات معالجة البيانات والاحتفاظ بها تجري على نحو مناسب. وتتوقف درجة فقدان السيطرة على نوع خدمة الحوسبة السحابية.

وقد تتطلب السمات المتأصلة لخدمات الحوسبة السحابية، مثل اتساع نطاق تيسُّر الوصول إلى الشبكة وتعدد المستعملين وتجميع الموارد، من الطرفين اتخاذ مزيد من الاحتياطات لمنع اعتراض الاتصالات وغير ذلك من أشكال الهجمات السيبرانية، التي قد تؤدي إلى ضياع الإثباتات المخوِّلة للوصول إلى خدمات الحوسبة السحابية أو إلى التلاعب بتلك الإثباتات، أو إلى فقدان البيانات أو غير ذلك من الانتهاكات الأمنية. ويكتسي العزل المناسب للموارد وفرز البيانات واتباع إجراءات أمنية متينة أهميةً خاصة في بيئة مشتركة مثل الحوسبة السحابية.

وستكون التدابير الأمنية مسؤولية مشتركة بين الطرفين في بيئة الحوسبة السحابية بصرف النظر عن نوع خدمات الحوسبة السحابية المستعملة. ويتيح تقييم المخاطر السابق للتعاقد فرصة جيدة للطرفين لإزالة أي غموض في تحديد أدوارهما ومسؤولياتهما فيما يتعلق بأمن البيانات وسلامتها وسريتها وخصوصيتها. ومن شأن البنود التعاقدية أن تؤدي دوراً مهمًّا في تجسيد اتفاق الطرفين بشأن توزيع المخاطر والمسؤوليات المتعلقة بتلك الجوانب وغيرها من جوانب تقديم خدمات الحوسبة السحابية. ولن تكون لتلك البنود غَلَبة على أحكام القانون الإلزامية. إقرأ المزيد

اختبارات الاختراق، وعمليات التدقيق، والزيارات الموقعية

يمكن أن تُتخذ في المرحلة السابقة للتعاقد خطوات للتحقق من كفاية عزل الموارد وفرز البيانات، ومن إجراءات تحديد الهوية وغير ذلك من التدابير الأمنية. وينبغي أن ترمي هذه الخطوات إلى استبانة الاحتياطات الإضافية الممكنة التي قد يلزم أن يتخذها الطرفان لمنع حدوث خروقات أمنية وغير ذلك من الأعطال لدى تقديم خدمات الحوسبة السحابية إلى الزبون.

وقد تتطلب القوانين واللوائح عمليات تدقيق واختبارات اختراق وتفقُّداً ماديًّا لمراكز البيانات المشاركة في تقديم خدمات الحوسبة السحابية، وخصوصاً من أجل التيقُّن من أنَّ مكانها يمتثل لاشتراطات توطين البيانات. وسوف يَلزَم أن يتفق الطرفان على شروط القيام بتلك الأنشطة، بما في ذلك توقيتها وتوزيع تكاليفها والتعويض عما قد تُسبِّبه من أضرار.

مخاطر الارتهان

قد يكون تفادي مخاطر الارتهان، التي تنشأ غالبا من انعدام قابلية التشغيل التبادلي والقابلية للنقل، أو الحد من تلك المخاطر واحداً من أهم الاعتبارات لدى الطرفين. وقد ينشأ ارتفاع مخاطر الارتهان عن العقود الطويلة الأمد وعن العقود القصيرة والمتوسطة الأمد القابلة للتجديد التلقائي.

وترتفع مخاطر الارتهان فيما يتعلق بالتطبيقات والبيانات بصفة خاصة في سياق البرامجية كخدمة (SaaS) والمنصة كخدمة (PaaS). فقد تكون البيانات موجودة في أنساق خاصة بنظام سحابي ما ولا يمكن استعمالها في نظم أخرى. وإلى جانب ذلك، قد تُستعمل في تنظيم البيانات تطبيقةٌ أو نظام خاضع لحقوق امتلاكية، مما يتطلب تعديل أحكام الترخيص لكي يتسنى تشغيل تلك التطبيقة أو ذلك النظام في شبكة مختلفة. وقد يلزم إعادة كتابة برامج من أجل التفاعل مع واجهات برمجة التطبيقات (API) لتأخذ في الاعتبار واجهات برمجة التطبيقات الخاصة بالنظام الجديد. كما قد تؤدي الحاجة إلى تدريب المستعملين النهائيين إلى ارتفاع تكاليف الانتقال إلى نظام جديد.

وفي سياق المنصة كخدمة (PaaS)، يمكن أن يكون هناك أيضاً ارتهان يتعلق بنظام زمن التشغيل، لأن أنظمة زمن التشغيل (أي البرامجيات المصممة لدعم تنفيذ برامج حاسوبية مكتوبة بلغة برمجة معينة) كثيراً ما تكون شديدة التخصص (على سبيل المثال، فيما يتعلق بجوانب مثل تخصيص الذاكرة أو تحريرها، وإزالة الأخطاء الحاسوبية، وما إلى ذلك). ويتباين الارتهان في سياق المرفق كخدمة (IaaS) تبعاً لنوع خدمات المرافق المستهلكة. وكما هو الحال في سياق المنصة كخدمة، يمكن لبعض خدمات المرافق أن تؤدي أيضاً إلى ارتهان خاص بالتطبيقة إذا كانت هذه الخدمة تعتمد على سمات سياساتية معينة (مثل ضوابط الدخول). ويمكن لبعض خدمات المرافق أن تؤدي أيضاً إلى ارتهان خاص بالبيانات إذا جرى نقل مزيد من البيانات لتخزينها في السحابة.

ويمكن في المرحلة السابقة للتعاقد إجراء اختبارات للتحقق من إمكانية تصدير البيانات والمحتويات الأخرى إلى نظام آخر وجعلها قابلة للاستعمال فيه. وقد يلزم المزامنة بين منصَّة السحابة والمنصات الداخلية ونسخ البيانات الموجودة في موضع آخر. وقد يكون التعامل مع أكثر من طرف واحد واختيار توليفة من مختلف أنواع خدمات الحوسبة السحابية ونماذج نشرها (أي الاستعانة بمصادر متعددة) جزءاً مهمًّا من استراتيجية تخفيف مخاطر الارتهان، رغم ما قد يرتبط بذلك من تكاليف وآثار أخرى. ويمكن للبنود التعاقدية أن تساعد أيضاً على تخفيف مخاطر الارتهان. اقرأ المزيد

المخاطر المتعلقة باستمرارية الأعمال

قد يساور الطرفين قلق بشأن المخاطر المتعلقة باستمرارية الأعمال، لا من حيث توقُّع انتهاء العقد في الموعد المقرر فحسب، بل ومن حيث احتمال تعليقه من جانب واحد أو إنهائه في وقت أبكر من قِبل أحد الطرفين، بما في ذلك احتمال توقُّف أحد الطرفين عن مزاولة أعماله. وقد يقضي القانون بوضع استراتيجية مناسبة يخطط لها مسبقا لضمان استمرارية الأعمال، وخصوصاً من أجل تفادي ما يترتب على إنهاء خدمات الحوسبة السحابية أو تعليقها من أثر سلبي على المستعملين النهائيين. ويمكن للبنود التعاقدية أن تساعد أيضاً على تخفيف المخاطر المتعلقة باستمرارية الأعمال. اقرأ المزيد

استراتيجيات الخروج

قد يتطلب نجاح استراتيجيات الخروج من الطرفين توضيح ما يلي منذ البداية: (أ) ماهية المحتوى الذي سيكون خاضعاً للخروج (مثلاً، هل سينحصر في البيانات التي أدخلها الزبون في السحابة، أم سيشمل أيضاً البيانات المستمدة من الخدمات السحابية)؛ (ب) التعديلات التي قد يلزم إدخالها على تراخيص الممتلكات الفكريةلكي يتسنى استعمال تلك المحتويات في نظام آخر؛ (ج) مراقبة مفاتيح فك التشفير وضبط إمكانية الوصول إليها؛ (د) المدة الزمنية اللازمة لإنجاز عملية الخروج. وعادة ما تجسد البنود التعاقدية المتعلقة بنهاية الخدمة اتفاق الطرفين بشأن تلك المسائل. ‏اقرأ المزيد

 

المفردات ذات الصلة في مسرد المصطلحات

خدمات الحوسبة السحابية (Cloud computing services): هي خدمات مقدمة على شبكة الإنترنت تتسم بما يلي:

(أ) اتساع نطاق الوصول إلى الشبكة، أي أنه يمكن الوصول إلى الخدمات من خلال الشبكة من أيِّ مكان يتاح فيه استعمال الشبكة (عن طريق الإنترنت، مثلاً)، باستخدام طائفةٍ واسعةٍ من الأجهزة، مثل الهواتف المحمولة والحواسيب اللوحية والحواسيب المحمولة؛

(ب) التوصيل المقيس، بما يتيح رصد استعمال الموارد وحساب تكلفتها تبعاً لحجم الاستعمال (على أساس الدفع أوَّلا بأوَّل

(ج) تعدُّد المستعملين، أي أنَّ الموارد المادية والافتراضية مخصصة لمستعملين متعددين تكون بيانات كل منهم معزولة عن الآخرين ولا يمكن للآخرين الوصول إليها؛

(د) الخدمة الذاتية عند الطلب، أي أن يكون بوسع الزبون أن يستعمل الخدمات حسب الحاجة أو تلقائيا أو بأدنى قدرٍ من التفاعل مع مقدِّم الخدمة؛

(ه‍) المرونة وإمكانية التوسع، أي القدرة على زيادة حجم استهلاك الخدمات أو تقليله بسرعة تبعاً لاحتياجات الزبون، بما في ذلك تبعاً للاتجاهات السائدة على نطاق واسع في استعمال الموارد (مثل الآثار الموسمية)؛

(و) تجميع الموارد، أي أنه يمكن لمقدم الخدمات أن يجمِّع الموارد المادية أو الافتراضية من أجل خدمة زبون واحد أو أكثر دون أن تكون للزبائن سيطرة على العمليات المعنية أو علم بها؛

(ز) اتساع تشكيلة الخدمات، من توفير واستعمال خدمات الربط البسيطة وخدمات الحوسبة الأساسية (مثل التخزين والبريد الإلكتروني والتطبيقات المكتبية) إلى توفير واستعمال المجموعة الكاملة من المرافق المادية لتكنولوجيا المعلومات (مثل الخواديم ومراكز البيانات) والموارد الافتراضية اللازمة لكي يبني الزبائن منصات تكنولوجيا المعلومات الخاصة بهم أو توزيع وإدارة وتشغيل تطبيقات أو برامجيات ينشئها أو يقتنيها الزبائن. ومن أنواع خدمات الحوسبة السحابية المرفق كخدمة (IaaS) والمنصة كخدمة (PaaS) والبرامجية كخدمة (SaaS).

البيانات المستمدة من الخدمات السحابية (Cloud service-derived data): هي البيانات الموجودة تحت سيطرة مقدِّم الخدمات والمتأتية نتيجة لاستعمال الزبون خدمات الحوسبة السحابية التي يوفرها مقدِّم الخدمات. وهي تشمل البيانات التعريفية وأيَّ بيانات مسجلة أخرى يولِّدها مقدِّم الخدمات وتحتوي على سجلات بمن استعمل الخدمات وأوقات استعمالها وماهية الوظائف وأنواع البيانات المعنية. ويمكن أن تشمل أيضاً المعلومات المتعلقة بالمستعملين المأذون لهم ومحدِّدات هوياتهم، وما أجري من عمليات نَسْق أو تكييف أو تعديل.

القابلية للتشغيل التبادلي (Interoperability): هي قدرة اثنين أو أكثر من النظم أو التطبيقات على تبادل المعلومات وعلى الاستعمال التبادلي للمعلومات التي جرى تبادلها.

خدمات الحوسبة السحابية المتعددة الطبقات (Layered cloud computing services): حين لا يكون مقدِّم الخدمات مالكاً لجميع الموارد الحاسوبية التي يستخدمها في تقديم خدمات الحوسبة السحابية إلى زبائنه، أو لأيٍّ من تلك الموارد، بل يكون هو نفسه زبوناً لجميع خدمات الحوسبة السحابية أو لبعضها. فعلى سبيل المثال، قد يستعمل مقدِّم أنواع خدمات المنصة كخدمة (PaaS) والبرامجية كخدمة (SaaS) مرافق تخزين أو خَودَمة (مراكز بيانات، خواديم بيانات) مملوكة لكيان آخر أو يوفرها كيان آخر. ونتيجة لذلك، قد يشارك في تقديم خدمات الحوسبة السحابية إلى الزبون مقدِّم خدمات فرعي واحد أو أكثر. وقد لا يكون الزبون على علم بطبقات مقدِّمي الخدمات المشاركين في تقديم الخدمات إليه في وقت معين، مما يجعل استبانة المخاطر وإدارتها أمراً صعبا. وتَعدُّد طبقات خدمات الحوسبة السحابية أمر شائع، خصوصاً في إطار البرامجية كخدمة (SaaS).

الارتهان (Lock-in): حيث يكون الزبون معتمدا على مقدِّم خدمات وحيد بسبب ضخامة تكاليف التحول إلى مقدِّم خدمات آخر. ويتعين فهم التكاليف في هذا السياق بأوسع معانيها على أنها لا تشمل النفقات النقدية فحسب، بل تشمل أيضاً الجهد والوقت والجوانب الخاصة بالعلاقات. 

القابلية للنقل (Portability): هي إمكانية نقل البيانات والتطبيقات وأي محتوى آخر بيسر من نظام إلى آخر (أي بتكلفة منخفضة وبأدنى درجة من التعطيل وبدون حاجة إلى معاودة إدخال البيانات أو إعادة هندسة العمليات أو إعادة برمجة التطبيقات). ويمكن تحقيق هذا إذا أمكن استرجاع البيانات بالنَّسَق المقبول في نظام آخر، أو بعملية تحويل بسيطة ومباشرة باستخدام أدوات متاحة للعموم. وقد يتضمن اتفاق مستوى الخدمة (SLA) بارامترات أداء معيَّنة تتعلق بالقابلية للنقل، مثل، أن تكون بيانات الزبون قابلة للاسترجاع من جانب الزبون عبر وصلة تن‍زيل واحدة أو واجهة موثَّقة واحدة لبرمجة التطبيقات (API)؛ أو أن يكون نَسَق البيانات مهيكلاً وموثَّقا على نحو كاف بحيث يتسنى للزبون إعادة استعمالها أو إعادة هيكلتها في نسق بياناتي مغاير إذا رغب في ذلك.