ملحوظات بشأن المسائل الرئيسية المتصلة بعقود الحوسبة السحابية (أعدَّتها أمانة لجنة الأمم المتحدة للقانون التجاري الدولي، ٢٠١٩)
الجزء الثاني- صياغة العقد
باء- تحديد هوية الطرفين المتعاقدين
قد يكون لتحديد هوية الطرفين المتعاقدين تحديداً صحيحاً أثر مباشر في تكوين العقد وقابليته للإنفاذ. ويحدد القانون المنطبق المعلومات اللازمة للتيقن من الشخصية الاعتبارية للكيان التجاري ومن قدرته على إبرام عقد. وقد يشترط القانون معلومات إضافية لأغراض معيَّنة، مثل رقم التعريف الخاص بالأغراض الضريبية أو توكيل رسمي للتيقن من أنَّ الشخص الطبيعي مخوَّل بالتوقيع والالتزام نيابة عن الكيان الاعتباري.
جيم- تحديد نطاق العقد وموضوعه
تتباين مواضيع عقود الحوسبة السحابية تبايناً كبيراً من حيث النوع ودرجة التعقُّد نظراً لاتساع نطاق خدمات الحوسبة السحابية. وقد يتغير موضوع العقد الواحد أثناء مدة سريانه: إذْ قد تلغى بعض خدمات الحوسبة السحابية وتضاف خدمات أخرى. ويمكن أن يشمل موضوع العقد تقديم خدمات أساسية وخدمات فرعية وخدمات اختيارية.
وعادة ما يتضمن وصف موضوع العقد وصفاً لنوع خدمات الحوسبة السحابية (البرامجية كخدمة (SaaS) أو المنصة كخدمة (PaaS) أو المرفق كخدمة (IaaS) أو توليفة منها)، ولنموذج نشرها (عمومي أو مجتمعي أو فردي أو هجين)، ولخصائصها التقنية والنوعية والأدائية، ولما ينطبق عليها من معايير تقنية. وثمة وثائق عدة يتألف منها العقد قد تكون لها صلة بتحديد موضوع العقد (اقرأ المزيد).
اتفاق مستوى الخدمة
يحتوي اتفاق مستوى الخدمة (SLA) على بارامترات أداء يُقاس على أساسها تنفيذ خدمات الحوسبة السحابية، ونطاق الالتزامات التعاقدية الواقعة على عاتق مقدِّم الخدمات وما يحتمل أن يرتكبه من إخلالات بالعقد. وعادة ما يشارك في صياغة بارامترات الأداء خبراء متخصصون في تكنولوجيا المعلومات.
وعادة ما ترتبط بارامترات الأداء الكمية بالسعة (سعة محددة لتخزين البيانات أو حجم ذاكرة محدد متاح لتشغيل البرنامج)، ومدة التعطل أو التوقف، وفترة الانتظار، وديمومة تخزين البيانات، وزمن التشغيل، وخدمات الدعم (على سبيل المثال، أثناء أوقات عمل الزبون أو على مدار الساعة وطيلة أيام الأسبوع)، وإدارة الحوادث والكوارث، وخطط التعافي منها. وقد تشمل هذه الأخيرة الوقت الأقصى لإزالة آثار الحادث، والوقت الأقصى للاستجابة الأُولى، ونقطة الاسترجاع المستهدفة، وزمن الاسترجاع المستهدف.
ويمكن أن تكون لبارامترات الأداء النوعية صلة بحذف البيانات، واشتراطات توطين البيانات، والقابلية للنقل، والأمن، وحماية البيانات والخصوصية. ويمكن قياس بعض جوانب الخدمة على أساس بارامترات الأداء النوعية والكمية. فعلى سبيل المثال، يمكن تعريف المرونة وإمكانية التوسع بالإشارة إلى كل من الحجم الأقصى للموارد المتاحة خلال فترة دنيا محددة، ونوعية وأمن المقاييس التي قد يلزم مواءمتها تبعاً لتباين درجات حساسية بيانات الزبون المخزنة. ويمكن التعبير عن التشفير كقيمة محدَّدة تُقاس بالبِت عند السكون وأثناء العبور وأثناء الاستعمال. وإلى جانب ذلك البارامتر الكمي، أو بدلا منه، يمكن قياس التشفير على أساس بارامتر نوعي (على سبيل المثال، بأن يكفل مقدِّم الخدمات تشفير بيانات الزبون حينما تنقل عبر شبكة اتصالات عمومية، وحينما تكون خاملة في مراكز البيانات التي يستعملها مقدِّم الخدمات).
ويمكن الاتفاق على التزامات مختلفة (أي التزامات تتعلق بالنتيجة أو ببذل قصارى الجهود) تتوقف، على وجه الخصوص، على أحكام الدفع وعلى ما إذا كانت ستقدَّم حلول منمَّطة ومسلَّعة متعددة المشتركين. وسيكون لنوع الالتزام تبعات تشمل تبعات تخص عبء الإثبات في حال نشوء نزاع.
قياس الأداء
يمكن أن يدرج الطرفان في العقد منهجية وإجراءات للقياس تحدد على وجه الخصوص فترة مرجعية لقياس الخدمات (يوميا، أسبوعيا، شهريا، إلخ)، وآليات للإبلاغ عن تقديم الخدمات (أي تواتر ذلك الإبلاغ وشكله)، ودور الطرفين ومسؤولياتهما، وعمليات القياس التي يتعين استخدامها (على سبيل المثال، القياس عند نقطة تقديم الخدمات أم عند نقطة استهلاكها). ويمكن أن يتفق الطرفان على جهة مستقلة تتولى قياس الأداء وتحديد كيفية توزيع التكاليف المرتبطة بذلك.
ويهتم الزبون عادة بقياس الخدمات أثناء أوقات الذروة، أي عندما تكون الحاجة إليها عند مستواها الأقصى. وعادة ما يكون بوسع الزبون أن يجري القياسات المستندة إلى الأداء عند نقطة الاستهلاك فقط (أو أن يتحقق من صحة القياسات التي يجريها مقدِّم الخدمات أو أطراف ثالثة)، ولكن ليس بوسعه فعل ذلك بشأن القياسات المستندة إلى أداء النظم عند نقطة تقديم الخدمات. وقد يستطيع الزبون تقييم الأداء عند نقطة تقديم الخدمات من خلال التقارير التي يقدمها مقدِّم الخدمات أو الأطراف الثالثة. فقد يوافق مقدِّم الخدمات على تزويد الزبون بتقارير عن الأداء عند الطلب، أو بصورة دورية (يوميا، أسبوعيا، شهريا، إلخ)، أو عقب حادث معيَّن. وبدلاً من ذلك، قد يوافق مقدِّم الخدمات على منح الزبون الحق في استعراض سجلات مقدِّم الخدمات المتعلقة بقياس مستوى الخدمات. وثمة مقدِّمو خدمات يتيحون للزبائن إمكانية الرصد الآني للبيانات المتعلقة بأداء الخدمات.
وقد يُلزم العقد أيًّا من الطرفين أو كليهما بحفظ سجلات عن تقديم الخدمات واستهلاكها لمدة زمنية معينة. وقد تكون تلك المعلومات مفيدة عند التفاوض على أيِّ تعديلات للعقد وفي حال نشوء منازعات.
سياسة الاستعمال المقبول
تحدد سياسة الاستعمال المقبول (AUP) شروط استعمال الزبون ومستعمليه النهائيين لخدمات الحوسبة السحابية المشمولة بالعقد. وهي تهدف إلى حماية مقدِّم الخدمات من المسؤولية الناشئة عن تصرفات زبائنه أو تصرفات المستعملين النهائيين التابعين لزبائنه. ويتوقع من أيِّ زبون محتمل أن يقبل هذه السياسة التي تشكل جزءا من العقد المبرم مع مقدِّم الخدمات. والغالبية العظمى من سياسات الاستعمال المقبول (AUP) النمطية تحظر القيام بمجموعة متسقة من الأنشطة يعتبرها مقدِّمو الخدمات استعمالات غير سليمة أو غير مشروعة لخدمات الحوسبة السحابية. وقد لا تقيِّد هذه السياسة نوع المحتوى الذي يجوز وضعه في السحابة فحسب، وإنما تقيِّد أيضاً حق الزبون في السماح لأطراف ثالثة (مثل رعايا بلدان معيَّنة أو الأشخاص المدرجة أسماؤهم في قوائم الجزاءات) بالوصول إلى البيانات وغيرها من المحتويات الموضوعة في السحابة. وقد يوافق الطرفان على إزالة بعض المحظورات لتلبية احتياجات معينة تتعلق بأعمال الزبون متى كانت تلك الإزالة مسموحا بها بمقتضى القانون.
ومن المعتاد أن تقضي الأحكام النمطية التي يعرضها مقدِّم الخدمات بأن يمتثل المستعملون النهائيون التابعون للزبون أيضاً لسياسة الاستعمال المقبول (AUP)، وأن تُلزِم الزبون بأن يبذل قصارى الجهود أو جهوداً معقولة تجاريا لضمان ذلك الامتثال. وقد يشترط بعض مقدِّمي الخدمات على الزبائن أن يعملوا جديا على منع أيِّ استعمال غير مأذون به أو غير ملائم من جانب الأطراف الثالثة لخدمات الحوسبة السحابية المقدمة بمقتضى العقد. ويمكن أن يتفق الطرفان على التزامات محدودة، تشمل، على سبيل المثال، أن يبلغ الزبونُ المستعملين النهائيين المعلومين لديه بسياسة الاستعمال المقبول (AUP)، وألا يأذن بتلك الاستعمالات أو يسمح بها عن علم، وأن يبلغ مقدِّم الخدمات عن جميع الاستعمالات غير المأذون بها أو غير الملائمة التي يصبح على علم بها.
وقد يفرض القانون في بعض الولايات القضائية واجبات على مقدِّم الخدمات فيما يخص المحتوى المستضاف في مرفق الحوسبة السحابية التابع له، مثل إلزامه بإبلاغ السلطات العمومية عن المواد غير المشروعة. وقد تكون تلك الواجبات غير قابلة للإحالة إلى الزبون أو المستعملين النهائيين من خلال سياسة الاستعمال المقبول (AUP) أو بطريقة أخرى. وقد تكون لها تداعيات تتعلق بالخصوصية وتداعيات أخرى، ويمكن أن تكون واحداً من العوامل التي تراعى عند اختيار مقدِّم خدمات مناسب. (اقرأ المزيد).
السياسة الأمنية
ينطوي أمن النظام، بما فيه أمن بيانات الزبون، على تقاسُم المسؤوليات بين الطرفين. ويلزم أن يحدد العقد أدوار الطرفين ومسؤولياتهما المتبادلة فيما يتعلق بالتدابير الأمنية، مع بيان الالتزامات التي قد يفرضها القانون الإلزامي على أيٍّ من الطرفين أو كليهما.
ومن المعتاد أن يتَّبع مقدِّم الخدمات سياساته الأمنية الخاصة. وفي بعض الحالات، قد يكون من الممكن التوصل إلى اتفاق بأن يتَّبع مقدِّم الخدمات سياسات الزبون الأمنية، وإن كان ذلك غير ممكن في حالة الحلول المنمَّطة والمسلَّعة المتعددة المشتركين. ويمكن أن ينص العقد على تدابير أمنية (مثل اشتراطات بإتلاف البيانات الموجودة في الوسائط المتضررة أو حذفها، وتخزين حزم بيانات منفصلة في أماكن مختلفة، وتخزين بيانات الزبون على جهاز معيَّن يَتَفرَّد به الزبون). غير أن الإفراط في الإفصاح عن المعلومات الأمنية في العقد قد ينطوي على مخاطر.
وثمة تدابير أمنية لا تفترض مسبقاً أيَّ مساهمة من الطرف الآخر، بل تعتمد حصرا على أنشطة الطرف المعني الروتينية، مثل ما يقوم به مقدِّم الخدمات من عمليات تفقُّد للأجهزة التي تخزَّن فيها البيانات وتُدار الخدمات من خلالها، وعلى تدابير فعالة لضمان ضبط إمكانية الوصول إليها. وفي حالات أخرى، قد ينطوي السماح للطرف بأداء واجباته، أو بتقييم ورصد نوعية التدابير الأمنية الموفَّرة، على افتراض مسبق بمساهمة الطرف الآخر. فعلى سبيل المثال، سوف يُتوقع من الزبون أن يحدِّث قائمة الإثباتات المخوِّلة للمستعملين وحقوقهم في الوصول إلى البيانات، وأن يُبلغ مقدِّم الخدمات بالتغييرات المدخلة عليها في الوقت المناسب لضمان سلامة آليات إدارة الهوية وتيسُّر الوصول. وسوف يُتوقع من الزبون أيضاً أن يبلغ مقدِّم الخدمات بمستوى الأمن المراد توفيره لكل فئة من البيانات.
وقد تكون بعض الأخطار التي تهدد الأمن خارجة عن الإطار التعاقدي بين الزبون ومقدم الخدمات، مما يستلزم مواءمة أحكام عقد الحوسبة السحابية مع سائر العقود التي أبرمها مقدِّم الخدمات والزبون (مع مقدِّمي خدمات الإنترنت، مثلاً).
سلامة البيانات
قد تتضمن العقود النمطية التي يعرضها مقدِّم الخدمات بنداً عامًّا بشأن إخلاء المسؤولية ينص على أنَّ المسؤولية النهائية عن الحفاظ على سلامة بيانات الزبون تقع على عاتق الزبون نفسه.
وقد يكون بعض مقدِّمي الخدمات مستعدين للاضطلاع بالتزامات ضمان سلامة البيانات (من خلال عمليات تخزين احتياطي منتظمة، مثلاً)، ربما مقابل أتعاب إضافية. وبصرف النظر عن الترتيبات التعاقدية المبرمة مع مقدِّم الخدمات، قد يود الزبون النظر فيما إذا كان من الضروري أن يضمن إمكانية الوصول إلى نسخة واحدة على الأقل قابلة للاستعمال من بياناته تكون موجودة خارج نطاق سيطرة أو متناول أو تأثير مقدِّم الخدمات والمتعاقدين معه من الباطن وبصورة مستقلة عن مشاركتهم.
البند المتعلق بالسرِّية
يتوقف استعداد مقدِّم الخدمات للالتزام بضمان سرِّية بيانات الزبون على طبيعة الخدمات التي يقدمها إلى الزبون بمقتضى العقد، وخصوصاً على ما إذا كان سيلزم أن تتاح لمقدم الخدمات إمكانية الوصول غير المشفَّر إلى البيانات من أجل تقديم تلك الخدمات. وقد لا يكون بوسع بعض مقدِّمي الخدمات أن يعرضوا بنداً خاصًّا بمراعاة السرِّية أو بعدم الإفصاح، وقد يتنصَّلون صراحة من واجب مراعاة السرِّية فيما يتعلق ببيانات الزبائن. وقد يرغب مقدِّمو خدمات آخرون في تحمُّل المسؤولية عن سرِّية البيانات التي يُفصِح عنها الزبون أثناء التفاوض على العقد، لا البيانات التي تعالَج أثناء تقديم الخدمات. وقد لا تكون بعض البنود النمطية المتعلقة بالسرِّية التي يعرضها مقدِّمو الخدمات كافية لضمان الامتثال للقانون المنطبق.
وفي حال عدم وجود التزامات تعاقدية والتزامات قانونية على عاتق مقدِّم الخدمات بالحفاظ على السرية، قد تقع مسؤولية الحفاظ على سرِّية البيانات كاملة على عاتق الزبون (من خلال التشفير، مثلاً). وفي حال تعذُّر التفاوض على بند عام متعلق بالسرِّية ينطبق على جميع بيانات الزبون الموضوعة في السحابة، يمكن للطرفين أن يتَّفقا على التزامات بمراعاة السرِّية فيما يخص بعض البيانات الحساسة (مع قواعد منفصلة بشأن المسؤولية عن انتهاك سرِّية تلك البيانات). وقد يكون الزبون منشغلاً على وجه الخصوص بشؤون أسراره التجارية ودرايته الفنية والمعلومات التي يلزم الحفاظ على سرِّيتها بمقتضى القانون أو بمقتضى التزامات تجاه أطراف ثالثة. ويمكن للطرفين أن يتَّفقا على أن تُحصَر إمكانية الوصول إلى تلك البيانات في عدد محدود من الموظفين، وأن يُشترَط الحصول منهم على التزامات منفردة بمراعاة السرِّية، وخصوصاً ممن لهم أدوار تنطوي على مخاطر عالية (مثل مديري النظم والمدققين والأشخاص الذين يتعاملون مع تقارير كشف التسلل ويتولَّون الاستجابة عند الحوادث). وفي تلك الحالات، يحدد الزبون عادةً لمقدم الخدمات ماهية تلك المعلومات ودرجة الحماية اللازمة وأيَّ قانون منطبق أو اشتراطات تعاقدية منطبقة وأيَّ تغييرات تمس تلك المعلومات، بما في ذلك أيُّ تغييرات في القانون المنطبق.
وفي بعض الحالات، قد يكون الإفصاح عن بيانات الزبون ضروريا للوفاء بالعقد. وفي حالات أخرى، قد يكون الإفصاح أمراً يفرضه القانون، على سبيل المثال بمقتضى واجب توفير المعلومات للسلطات الحكومية المختصة. ومن ثم، فقد يكون هناك مسوِّغ لاستثناءات مناسبة من البنود المتعلقة بالسرِّية.
وقد يفرض مقدِّم الخدمات بدوره على الزبون التزاماً بعدم الإفصاح عن معلومات بشأن الترتيبات الأمنية الخاصة بمقدم الخدمات وعن سائر تفاصيل الخدمات المقدمة إلى الزبون بمقتضى العقد أو القانون.
سياسة حماية البيانات أو الخصوصية، أو اتفاق معالجة البيانات
تخضع البيانات الشخصية لحماية خاصة بمقتضى القانون في ولايات قضائية كثيرة. وقد يكون القانون المنطبق على معالجة البيانات الشخصية مختلفاً عن القانون المنطبق على العقد، وسوف تكون له غَلَبةٌ على أيِّ بنود تعاقدية تتعارض معه.
وقد يتضمن العقد بنداً يتعلق بحماية البيانات أو بالخصوصية، أو اتفاقا لمعالجة البيانات أو اتفاقا من نوع مشابه، وإن كان بعض مقدِّمي الخدمات لا يوافقون إلاَّ على الالتزام العام بالامتثال لقوانين حماية البيانات المعمول بها. وقد لا يكون هذا الالتزام العام كافيا في بعض الولايات القضائية: وفي هذه الحالة، يلزم أن يحدد العقد، كحد أدنى، الشيءَ موضوعَ المعالجة ومدة المعالجة، وطبيعة معالجة البيانات الشخصية والغرض منها، ونوع البيانات الشخصيةوفئات الأشخاص مواضيع البيانات، والتزامات وحقوق كل من الشخص المسيطر على البيانات ومعالج البيانات. وفي حال تعذُّر التفاوض على بند لحماية البيانات في العقد، قد يود الزبون أن يستعرض الأحكام النمطية لتقرير ما إذا كانت تلك الأحكام تُوفِّر له ضمانات كافية لمعالجة البيانات الشخصية حسب مقتضى القانون وتدابير انتصاف وافية بشأن ما قد يلحق به من أضرار.
ويرجح أن يكون الزبون هو الشخص المسيطر على البيانات وأن يتولى مسؤولية الامتثال لقانون حماية البيانات فيما يخص البيانات الشخصية المجمَّعة والمعالجة في السحابة. ويمكن للطرفين أن يتفقا على بنود تعاقدية تهدف إلى ضمان الامتثال للوائح حماية البيانات المعمول بها، بما في ذلك الطلبات المتعلقة بحقوق الأشخاص مواضيع البيانات. ويمكن أن يتفق الطرفان أيضاً على تدابير انتصاف منفصلة في حال الإخلال بتلك البنود، منها إمكانية إنهاء العقد من جانب واحد والتعويض عن الأضرار.
وعادة ما تنص العقود النمطية التي يعرضها مقدِّمو الخدمات على ألاَّ يتولى مقدِّم الخدمات أيَّ دور كشخص مسيطر على البيانات. ويرجَّح ألاَّ يتولى مقدِّم الخدمات دور معالج البيانات إلاَّ عندما يعالج بيانات الزبون وفقاً لتعليمات الزبون لغرض وحيد هو تقديم خدمات الحوسبة السحابية. غير أنه، في بعض الولايات القضائية، يمكن اعتبار مقدِّم الخدمات شخصاً مسيطراً على البيانات، بصرف النظر عن البنود التعاقدية، عندما يُجري معالجة إضافية للبيانات لأغراضه الخاصة أو بناء على تعليمات السلطات الحكومية، ويمكن من ثم أن يتحمل كامل المسؤولية عن حماية البيانات الشخصية في سياق تلك المعالجة الإضافية للبيانات الشخصية.
الالتزامات الناشئة عن انتهاك سرية البيانات والحوادث الأمنية الأخرى
قد يُلزَم الطرفان، بمقتضى القانون أو العقد (أو كليهما)، بأن يُبلِغ أحدُهما الآخر في الحال بما يصل إلى علمه من وقوع حادث أمني ذي صلة بالعقد أو وجود أيِّ شبهة بهذا الشأن. وقد يكون هذا الالتزام بإبلاغ جميع الجهات المعنية ذات المصلحة (بما فيها الأشخاص مواضيع البيانات وشركات التأمين والسلطات الحكومية، أو عامة الناس) مضافاً إلى ما قد يشترطه القانون بشأن التبليغ العام عن أيِّ حادث أمني، من أجل منع وقوع تلك الحوادث أو تقليل أثرها إلى أدنى حد ممكن.
وقد يتضمن القانون اشتراطات معينة بشأن التبليغ عن الحوادث الأمنية، منها اشتراطات بشأن توقيت التبليغ، وتحديد الأشخاص المسؤولين عن الامتثال لتلك الاشتراطات. ورهناً بتلك الأحكام الإلزامية، يمكن أن يحدد الطرفان في العقد مهلة التبليغ (يوم واحد، مثلاً، بعد أن يصبح الطرف على علم بوقوع الحادث أو بخطر وقوعه) وشكل ومحتوى التبليغ عن الحادث الأمني. ويتضمن محتوى التبليغ عادة معلومات عن ملابسات الحادث وسبب وقوعه، ونوع البيانات المتضررة، والخطوات التي يتعين اتخاذها لإزالة آثار الحادث، والوقت الذي يتوقع فيه إزالة تلك الآثار، وخطة الطوارئ التي يتعين استخدامها ريثما يجري إزالة تلك الآثار. وقد يتضمن أيضاً معلومات عن محاولات الانتهاك الفاشلة والهجمات الموجهة ضد أهداف معينة (مصنفة حسب مستعمل الزبون أو حسب تطبيقة معينة أو حسب جهاز مادي معين)، ومعلومات عن الاتجاهات السائدة والإحصاءات. وعادة ما تراعي أيُّ اشتراطات تتعلق بالتبليغ ضرورةَ عدم الإفصاح عن أيِّ معلومات حساسة يمكن أن تفضي إلى تعريض نظام الطرف المتأثر أو عملياته أو شبكته للخطر.
وقد يشترط القانون أو العقد على مقدِّم الخدمات أو الزبون، أو كليهما، بما في ذلك من خلال إشراك طرف ثالث، اتخاذ تدابير عقب وقوع حادث أمني (ما يسمى ب"الخطوات اللاحقة للحادث")، منها عزل المناطق المتضررة، وإجراء تحليل للأسباب الجذرية، وإعداد تقرير تحليلي للحادث. ويمكن أن يعد التقرير التحليلي للحادث الطرف المتضرر وحده أو بمشاركة الطرف الآخر، أو أن يعده طرف ثالث مستقل. وقد تتباين الخطوات اللاحقة للحادث تبعاً لفئات البيانات المخزَّنة في السحابة وعوامل أخرى.
وقد يفضي حادث أمني خطير ينتج عنه، مثلا، فقدانٌ للبيانات إلى إنهاء العقد.
اشتراطات توطين البيانات
قد تنص الأحكام النمطية التي يعرضها مقدِّم الخدمات صراحةً على احتفاظ مقدِّم الخدمات بالحق في تخزين بيانات الزبون في أيِّ بلد يعمل فيه مقدِّم الخدمات أو المتعاقدون معه من الباطن. ومن الأرجح أن تُتَّبع هذه الممارسة حتى في حال عدم وجود حق تعاقدي صريح، لأنَّ من المفهوم ضمناً في سياق تقديم خدمات الحوسبة السحابية أنَّ تلك الخدمات، كقاعدة عامة، تقدم من أكثر من مكان واحد (فقد تقدم خدمات التخزين الاحتياطي والحماية من الفيروسات، مثلاً، من مكان بعيد، كما قد تقدم خدمات الدعم على صعيد عالمي وفقا لنموذج "اتباع حركة الشمس"). وقد لا تمتثل هذه الممارسة لاشتراطات توطين البيانات المنطبقة على أيٍّ من الطرفين أو كليهما (اقرأ المزيد).
وقد تُدرَج في العقد ضمانات تكفل الامتثال لاشتراطات توطين البيانات، مثل حظر نقل البيانات والمحتويات الأخرى خارج مكان محدد، أو اشتراط الحصول على موافقة مسبقة من الطرف الآخر على هذا النقل. فعلى سبيل المثال، قد يدرَج في اتفاق مستوى الخدمة (SLA) بارامتر خاص بالأداء النوعي لضمان أن تكون بيانات الزبون (بما فيها أيُّ نسخة وأيُّ بيانات تعريفية أو نسخ احتياطية لها) مخزَّنةً حصراً في مراكز بيانات توجد ماديًّا في الولايات القضائية المبيَّنة في العقد وتملكها وتُشغِّلها كيانات منشأة في تلك الولايات القضائية. وبدلاً من ذلك، يمكن أن ينصَّ ذلك البارامتر، مثلا، على أنه لا يجوز نقل البيانات أبداً خارج بلد أو إقليم معين، ولكن يجوز استنساخها في بلد ثالث معين أو في أماكن أخرى، مع عدم جواز استنساخها بتاتاً في بلد معين.