Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год): Глоссарий

Digital image with blue and light-filled colors. A map in the background with a honeycomb overlay and small locks that are unlocked.

180907-N-BK152-003 by NSWC Crane Corporate Communications is in the public domain


Глоссарий

Время ожидания

Метаданные

Отраслевые нормы

Права субъектов данных

Требования в отношении локализации данных

Время первой реакции

Многоуровневые услуги облачных вычислений

Параметры производительности

Проверка

Удаление данных

Время простоя или отключения

Модели развертывания

Партнеры по предоставлению услуг облачных вычислений

Программное обеспечение как услуга (ОкУ)

Управляющий в деле о несостоятельности

Время работоспособности

Надежность хранения данных

Переносимость

Производные данные услуг облачных вычислений

Услуги облачных вычислений

Инфраструктура как услуга (ИкУ)

Обособленность

Персональные данные

«Следуй за солнцем»

Функциональная совместимость

Инцидент, связанный с нарушением безопасности

Обработка персональных данных

Письменно или в письменной форме

Соглашение об уровне обслуживания (СУО)

Целевая точка восстановления (ЦТВ)

Контролер данных

Обработчик данных

Платформа как услуга (ПкУ)

Стандартные коммерческие облачные решения для групп абонентов

Целевое время восстановления (ЦВВ)

Лицензии на использование интеллектуальной собственности (ИС)

Обратимость

Политика приемлемого использования (ППИ)

Субъект данных

 

 


Время ожидания: задержка по времени с момента, когда пользователь сделал запрос, до момента, когда поставщик на него ответил. Это влияет на фактические показатели удобства услуг облачных вычислений. В соглашении об уровне обслуживания (СУО) время ожидания обычно выражается в миллисекундах.

Время первой реакции: период времени, прошедший с момента извещения клиентом об инциденте до момента первой реакции на это поставщика.

Время простоя или отключения: время, в течение которого услуги облачных вычислений являются недоступными для клиента. Это время исключается при расчете времени работоспособности или доступности системы. Время простоя обычно включает время на техническое обслуживание и обновление. В соглашении об уровне обслуживания (СУО) это может быть определено как количество допустимых отключений оговоренной продолжительности в течение данного периода времени, например, не более одного отключения продолжительностью до одного часа в день и не в интервале с 8:00 до 17:00.

Время работоспособности: время, в течение которого услуги облачных вычислений доступны и могут быть использованы. Оно может быть выражено как количественный или процентный показатель, как подробная формула или конкретные даты или дни и время, когда доступность услуг, связанных с определенной прикладной программой, имеет решающее значение.

Инфраструктура как услуга (ИкУ): категория услуг облачных вычислений, посредством которых клиент может получить и использовать ресурсы по обработке, хранению и сетевой передаче данных. Клиент не осуществляет управление базовыми физическими или виртуальными ресурсами и не контролирует их, однако обладает контролем над операционными системами, хранением данных и применяемыми приложениями, использующими физические или виртуальные ресурсы. Клиент также в
ограниченной степени может обладать контролем над определенными компонентами сети (например, межсетевым экраном интернет-хоста).

Инцидент, связанный с нарушением безопасности: событие, которое свидетельствует о том, что системе или данным был причинен ущерб или что действующие меры по их защите не увенчались успехом. Инцидент, связанный с нарушением безопасности, нарушает нормальную работу. Примерами таких инцидентов являются попытки из несанкционированных источников получить доступ к системам или данным, незапланированный сбой в предоставлении услуг или отказ в обслуживании,
несанкционированная обработка или хранение данных и несанкционированные изменения в инфраструктуре системы.

Контролер данных: лицо, определяющее цели и средства обработки персональных данных.

Лицензии на использование интеллектуальной собственности (ИС): соглашения между владельцем прав на интеллектуальную собственность (лицензиаром) и лицом, имеющим разрешение на использование этих прав (лицензиатом). Такие соглашения обычно устанавливают ограничения и предусматривают обязательства в отношении того, в каком объеме и каким образом лицензиат или третьи стороны могут использовать лицензированную собственность. Например, программное обеспечение или визуальный контент (рисунки, схемы и изображения) могут быть лицензированы для конкретных видов использования с запрещением копирования, изменения или добавления и могут быть ограничены определенным носителем. Действие лицензии может быть ограничено определенным рынком (например, национальным или (суб)региональным), числом пользователей или числом устройств и сроком. Сублицензирование может быть запрещено. Лицензиар может потребовать ссылаться на
владельца прав на интеллектуальную собственность каждый раз, когда эти права используются.

Метаданные: основная информация о данных (например, об их авторе, времени создания и изменения и размере файла). Они облегчают поиск и использование данных и могут потребоваться для обеспечения аутентичности записей. Генерирование таких данных может осуществляться и клиентом, и поставщиком.

Многоуровневые услуги облачных вычислений: услуги, при предоставлении которых поставщик не является владельцем всех или является владельцем отдельных компьютерных ресурсов, которые он использует для предоставления услуг облачных вычислений для своих клиентов, а сам выступает в качестве клиента всех или отдельных услуг облачных вычислений. Например, поставщик услуг платформа как услуга (ПкУ) или программное обеспечение как услуга (ОкУ) может использовать
инфраструктуру для хранения данных и инфраструктуру серверов (центры данных, серверы баз данных), принадлежащие другой организации или предоставляемые другой организацией. В результате в предоставлении клиенту услуг облачных вычислений может участвовать один или более субпоставщиков. Клиент может не знать, какие из уровней в тот или иной момент времени задействованы в предоставлении услуг, что затрудняет идентификацию и управление рисками. Многоуровневые услуги облачных вычислений особенно характерны для ОкУ.

Модели развертывания: различные формы организации услуг облачных вычислений на основе контроля и совместного использования физических или виртуальных ресурсов, включая:

a) публичное облако, в котором услуги облачных вычислений могут быть потенциально предоставлены любому заинтересованному клиенту при осуществлении поставщиком контроля над ресурсами;
b) коллективное облако, в котором услуги облачных вычислений предоставляются исключительно отдельной группе связанных клиентов с общими потребностями при осуществлении контроля над ресурсами по крайней мере одним из членов этой группы;
c) частное облако, в котором услуги облачных вычислений используются исключительно одним клиентом при осуществлении этим клиентом контроля над ресурсами;
d) гибридное облако, в котором используются по крайней мере две различные модели развертывания облачных услуг.

Надежность хранения данных: вероятность того, что хранимые в облаке данные не будут утрачены в период действия договора. Она может быть определена в договоре в виде поддающегося измерению целевого показателя, исходя из которого клиент будет оценивать меры, предпринимаемые поставщиком для обеспечения надежности хранения данных (например, неповрежденные данные/неповрежденные данные + утраченные данные в течение указанного периода времени (например, календарного месяца)). В этой формуле потребуется определить тип данных (например, файлы, базы данных, коды, приложения) и единицу измерения (число файлов, длина в битах).

Обособленность: зависимость клиента от отдельного поставщика из-за высоких издержек, связанных с переходом к другому поставщику. Издержки в этом контексте следует понимать в самом широком смысле
как охватывающие не только финансовые затраты, но также и усилия, время и другие смежные аспекты.

Обработка персональных данных: сбор, запись, систематизация, хранение, адаптация или преобразование, поиск, считывание, использова-ние, раскрытие при передаче, распространение или иное предоставление в распоряжение, выравнивание или комбинирование, блокирование, стирание или уничтожение персональных данных.

Обработчик данных: лицо, которое осуществляет обработку данных от имени контролера данных.

Обратимость: процесс, в ходе которого клиент осуществляет вывод из облака своих данных, прикладных программ и другого сопутствующего контента, а поставщик удаляет данные клиента и другой сопутствующий контент по истечении согласованного срока.

Отраслевые нормы: нормы и правила финансового сектора, сектора здравоохранения и государственного сектора или другие отраслевые или профессиональные нормы (например, адвокатская тайна, врачебная тайна) и правила обращения с конфиденциальной информацией (в широком смысле определяемой как информация, доступ к которой в соответствии с законом или нормативными актами может иметь только ограниченная категория лиц).

Параметры производительности: количественные (представленные в цифровом выражении целевые или контрольные показатели или диапазоны производительности) или качественные (выраженные в виде гарантий качества обслуживания) параметры. Они могут указывать на соответствие применимым стандартам, включая дату прекращения действия любого свидетельства о соответствии (например, что поставщик соблюдает принципы управления ключами в соответствии с международным стандартом, определенным в договоре). Для того чтобы иметь практическое значение, такие параметры должны давать клиенту возможность оценивать важные для него аспекты производительности в простой для понимания и проверки форме. Они могут различаться в зависимости от конкретных рисков и коммерческих потребностей (например, критичности определенных данных, услуг или прикладных программ и соответствующей приоритетности восстановления). Например, система, не являющаяся критически важной и использующая облако в целях архивирования, не требует обеспечения такого же времени работоспособности или такого же выполнения других условий соглашения об уровне обслуживания (СУО), что и критически важная система или система, функционирующая в режиме реального времени.

Партнеры по предоставлению услуг облачных вычислений (например, инспекторы систем облачных вычислений, брокеры услуг облачных вычислений или системные интеграторы): лица, привлекаемые для оказания поддержки и предоставления вспомогательных услуг в связи с деятельностью поставщика или клиента или же обоих. Инспекторы систем облачных вычислений проводят проверку предоставления и использования услуг облачных вычислений. Брокеры услуг облачных вычислений оказывают сторонам помощь по широкому кругу вопросов, например помощь в нахождении правильных облачных решений, согласовании приемлемых условий и миграции клиента в облако.

Переносимость: возможность переноса данных, прикладных программ и другого контента из одной системы в другую без каких-либо затруднений (т.е. без значительных затрат, с минимальными неудобствами и без необходимости повторного введения данных, перестройки процессов или перепрограммирования приложений). Это достижимо в том случае, если данные можно извлечь в формате, приемлемом для другой системы, или в результате простого и прямого преобразования с использованием общедоступных средств. В соглашении об уровне обслуживания (СУО) могут быть указаны параметры производительности, касающиеся переносимости, например, что данные клиента могут быть извлечены клиентом через единую ссылку для загрузки или интерфейсы прикладных программ (ППИ); или что формат данных имеет структуру и описание, позволяющие клиенту использовать его повторно или, по желанию, преобразовать его в другой формат данных.

Персональные данные: чувствительные и нечувствительные данные, которые могут быть использованы для идентификации физического лица, к которому эти данные относятся. В некоторых юрисдикционных
системах определение персональных данных может охватывать любые данные или информацию, прямо или косвенно связанные с идентифицированным или идентифицируемым лицом или относящиеся к этому лицу (см. субъект данных).

Письменно или в письменной форме: информация, которая должна быть доступной в форме, пригодной для последующего использования. Это охватывает информацию на бумаге и в электронном сообщении. «Доступная» означает, что информация в виде компьютерных данных должна быть читаемой и объяснимой и что программное обеспечение, которое может потребоваться для обеспечения читаемости такой информации, должно быть сохранено. «Пригодная для использования» озна-
чает как использование человеком, так и компьютерную обработку.

Платформа как услуга (ПкУ): категория услуг облачных вычислений, благодаря которой клиент может развернуть, организовать и применять в облаке созданные или приобретенные им прикладные программы с использованием одного или более существующих языков программирования и видов среды выполнения, поддерживаемых поставщиком.

Политика приемлемого использования (ППИ): часть договора об облачных вычислениях между поставщиком и клиентом, в которой регламентируется использование клиентом и его конечными пользователями услуг облачных вычислений, предусмотренных в договоре.

Права субъектов данных: права, связанные с персональными данными субъектов данных. В соответствии с законом субъекты данных могут пользоваться правом на получение информации относительно всех важных фактов, касающихся персональных данных, включая местонахождение данных, их использование третьими сторонами, утечку данных и другие нарушения в использовании данных. Они могут также обладать правом получать доступ к персональным данным в любое время, правом стереть свои персональные данные (в соответствии с правом на полное удаление информации о них), правом ограничивать обработку своих персональных данных и правом, связанным с переносимостью своих персональных данных.

Проверка: процесс анализа соблюдения установленных договором и нормативными актами требований или технических стандартов. Она может охватывать технические аспекты, например касаться качества и безопасности аппаратных средств и программного обеспечения; соблюдение любых применимых отраслевых стандартов; и применение надлежащих мер, в том числе изоляцию, для недопущения несанкционированного доступа к системе и ее несанкционированного использования и обеспечения целостности данных. Проверка может осуществляться либо внутри, либо вне структуры или проводиться независимой третьей стороной, назначенной поставщиком или клиентом, или же обоими. В соглашении
об уровне обслуживания (СУО)
могут быть указаны конкретные параметры производительности, касающиеся проверки, например, что услуги, предоставляемые по договору, сертифицируются по крайней мере один раз в год независимым аудитором, исходя из стандарта безопасности,
определенного в договоре.

Программное обеспечение как услуга (ОкУ): категория услуг облачных вычислений, благодаря которой клиент может использовать в облаке прикладные программы поставщика.

Производные данные услуг облачных вычислений: находящиеся под контролем поставщика данные, полученные в результате использования клиентом услуг облачных вычислений этого поставщика. Они включают метаданные и любые другие учетные данные, созданные поставщиком и содержащие информацию о том, кому услуги были оказаны, в какое время и какие при этом использовались функции и виды данных. Они могут также включать информацию об уполномоченных пользователях, их идентификаторах и о любой конфигурации, изменении с учетом потребностей или модификации.

«Следуй за солнцем»: модель, в соответствии с которой рабочий объем распределяется между различными географическими регионами таким образом, чтобы более эффективно распределить ресурсы с учетом спроса. Целью такой модели может быть предоставление услуг на круглосуточной основе и минимизация среднего расстояния между серверами и конечными пользователями в рамках усилий по сокращению времени ожидания в сети и максимальному увеличению скорости, с которой дан-
ные передаются с одного устройства на другое (скорость передачи данных (СПД) или пропускная способность).

Соглашение об уровне обслуживания (СУО): часть договора об облачных вычислениях между поставщиком и клиентом, в которой определяются услуги облачных вычислений, предусмотренные договором, и уровень обслуживания, который ожидается или должен быть достигнут согласно договору (см. параметры производительности).

Стандартные коммерческие облачные решения для групп абонентов: услуги облачных вычислений, предоставляемые неограниченному числу клиентов как массовый продукт или товар на стандартных условиях поставщика, не подлежащих пересмотру. Широкие оговорки об ограничении или исключении ответственности поставщика являются обычными для такого типа решений. Клиент, возможно, будет в состоянии сравнить различных поставщиков и их договоры и выбрать из имеющихся на рынке наиболее приемлемый вариант, отвечающий его потребностям, но не может вести переговоры об изменении условий договора.

Субъект данных: физическое лицо, которое может быть идентифицировано, прямо или косвенно, с помощью данных, в том числе путем ссылки на такие идентификаторы, как имя, идентификационный номер, местонахождение и любые факторы, характерные для физической, генетической, умственной, экономической, культурной или социальной идентичности этого лица. В ряде юрисдикционных систем субъекты данных пользуются, согласно нормативно-правовым актам о защите или неприкосновенности данных, определенными правами в отношении данных, которые помогают их идентифицировать. Эти нормативно-правовые акты могут способствовать включению в соглашение об уровне обслуживания
(СУО)
конкретных параметров производительности, касающихся защиты данных, например, что услуги, предоставляемые по договору, сертифицируются по крайней мере один раз в год независимым аудитором, исходя из стандарта защиты/неприкосновенности данных, указан-ного в договоре. (См. также права субъекта данных и персональные данные).

Требования в отношении локализации данных: требования в отношении местонахождения данных и другого контента, центров данных или поставщика. В соответствии с такими требованиями может быть либо запрещено размещение определенного вида данных (включая метаданные и резервные копии) в тех или иных районах или юрисдикционных системах или же транзит через эти районы или юрисдикционные системы, либо предусмотрена необходимость получения предварительного согласия на это от компетентного государственного органа. Такие требования обычно содержатся в законодательстве и нормативных актах о защите данных, которые могут предусматривать, в частности, запрет на размещение или передачу персональных данных в юрисдикционных системах, не применяющих определенные стандарты в отношении защиты персональных данных.

Удаление данных: последовательность операций, преследующих цель необратимо удалить данные, включая их резервные копии и метаданные, а также другой контент из инфраструктуры облачных вычислений (физической и виртуальной). В некоторых случаях для удаления данных может
потребоваться уничтожение физической инфраструктуры (например, серверов), в которой хранятся данные. В соглашении об уровне обслуживания (СУО) может быть указан конкретный параметр производительности, касающийся удаления данных, например, что поставщик обеспечивает эффективное, необратимое и окончательное удаление данных клиента по любой просьбе клиента в течение определенного периода времени, определенного в договоре, и в соответствии со стандартом
или методом, определенным в договоре.

Управляющий в деле о несостоятельности: лицо или орган, уполномоченный в рамках производства по делу о несостоятельности управлять реорганизацией или ликвидацией активов несостоятельного должника, которые являются предметом производства по делу о несостоятельности.

Услуги облачных вычислений: онлайновые услуги, характерными особенностями которых являются:

a) широкий сетевой доступ, означающий, что услуги могут быть доступны через сеть из любой точки, где эта сеть присутствует (например, через Интернет), с использованием различных средств, таких как
мобильные телефоны, планшеты и портативные компьютеры;
b) измеряемый объем предоставления, допускающий осуществление контроля за использованием ресурсов и взимание платы с учетом уровня использования (оплата по мере оказания услуг);

c) коллективная аренда, означающая, что физические и виртуальные ресурсы предоставляются многочисленным пользователям, данные которых изолированы и недоступны для других пользователей;
d) самообслуживание по требованию, означающее, что услуги используются клиентом по мере необходимости, автоматически либо при минимальном взаимодействии с поставщиком;
e) эластичность и масштабируемость, означающие способность быстро расширять или сокращать масштабы потребления услуг в соответствии с потребностями клиента, включая типичные общие колебания в потреблении ресурса (например, сезонные изменения);
f) объединение ресурсов, означающее, что физические и виртуальные ресурсы могут быть агрегированы поставщиком, с тем чтобы осуществлять обслуживание одного или более клиентов без контроля или осведомленности с их стороны в отношении используемых процессов;
g) широкий спектр услуг от предоставления и использования услуг по простому сетевому подключению и базовым вычислениям (например, хранение данных, электронная почта и офисные прикладные
программы) до предоставления и использования широкого спектра средств физической инфраструктуры информационно-коммуникационных технологий (ИТ) (например, серверов и центров данных) и виртуаль-
ных ресурсов, необходимых клиенту для формирования своих собственных платформ информационно-коммуникационных технологий или же развертывания, организации и использования созданных или при-
обретенных клиентом прикладных программ или программного обеспечения. Разновидностями услуг облачных вычислений являются инфраструктура как услуга (ИкУ), платформа как услуга (ПкУ) или программное обеспечение как услуга (ОкУ).

Функциональная совместимость: способность двух или более систем или прикладных программ производить обмен информацией и осуществлять взаимное использование информации, которой они обмениваются.

Целевая точка восстановления (ЦТВ): максимальный период времени до незапланированного сбоя в предоставлении услуг, в течение которого возможна утрата изменений данных после восстановления. Если в договоре ЦТВ определяется как два часа до сбоя в предоставлении услуг, это будет означать, что после восстановления все данные будут доступны в том же виде, в каком они существовали за два часа до произошедшего сбоя.

Целевое время восстановления (ЦВВ): период времени, в течение которого все услуги облачных вычислений и сами данные должны быть восстановлены после незапланированного сбоя.