ข้อคิดในการทำสัญญาใช้บริการคลาวด์

ข้อควรพิจารณาในการเลือกผู้ให้บริการคลาวด์ (Cloud Service Provider) ตอนที่ 2

 

ตอนที่ 1 ได้พูดถึงแนวทางการเลือกผู้ให้บริการคลาวด์ และข้อที่พึงตระหนักเกี่ยวกับความมั่นคงปลอดภัยของข้อมูล สำหรับตอนที่ 2 นี้จะแนะนำแนวทางการทำสัญญาบริการกับผู้ให้บริการ ซึ่งเป็นบทเขียนที่เรียบเรียงมาจากหนังสือเรื่อง “Business in The Cloud: What Every Business Needs To Know About” เขียนโดย Michael Hugos และ Derek Hulitzky[1] ซึ่งผมเห็นว่าตรงประเด็นที่นำไปปรับใช้ได้

3.         ข้อคิดในการทำสัญญาบริการ

เหมือนกับสัญญาบริการ ( Service Level Agreement, SLA) อื่น ๆ   สัญญาบริการคลาวด์ต้องกำหนดรายละเอียดและเงื่อนไขให้ผู้ให้บริการต้องปฏิบัติ เพื่อให้มั่นใจว่าผู้ให้บริการสามารถบริการได้อย่างมีคุณภาพตามที่ผู้รับบริการคาดหวังว่าจะได้รับ สัญญาบริการคลาวด์ จะระบุเงื่อนไขและภาระรับผิดชอบทั้งฝ่ายผู้ให้บริการและผู้รับบริการ มีรายละเอียดเพียงพอที่จะใช้บังคับตามกฎหมายได้ในกรณีที่ฝ่ายหนึ่งฝ่ายใดไม่ปฏิบัติตามสัญญา รวมทั้งมาตาการการวัดคุณภาพของการดำเนินการบริการอย่างเป็นรูปธรรม  มีการกำหนดวิธีคิดค่าใช้จ่ายตามลักษณะของการใช้บริการอย่างชัดเจน สัญญาบริการคลาวด์ถูกร่างขึ้นเพื่อคุ้มครองคู่สัญญาด้วยข้อตกลงที่มีเหตุผล สามารถป้องกันการขัดแย้ง และช่วยแก้ปัญหาเมื่อมีข้อพิพาทเกิดขึ้น โดยทั่วไป SLA หรือสัญญาการใช้บริการคลาวด์ต้องมีหัวข้ออย่างน้อยดังนี้

3.1.     วัตถุประสงค์ของสัญญา 

ส่วนนี้บรรยายวัตถุประสงค์ของการบริการ โดยอธิบายเจตนาของสัญญาเป็นภาพรวม

3.2.     ขอบเขตของการบริการ

เป็นส่วนที่จะบรรยาย Scope of Work ที่ผู้ให้บริการสัญญาจะให้บริการ และผู้รับบริการคาดหวังว่าจะได้รับ เป็นรายละเอียดที่ผู้ให้บริการต้องปฏิบัติตามเงื่อนไขที่ตกลงไว้

3.3.     ประสิทธิภาพการให้บริการ  

ผู้รับบริการต้องให้ความสำคัญกับข้อสัญญาส่วนนี้มาก เนื่องจากเป็นส่วนที่เกี่ยวกับคุณภาพการให้บริการโดยตรง ถ้าผู้ให้บริการไม่ยอมลงทุนในอุปกรณ์ ลงทุนขนาดช่องความถี่ของระบบสื่อสารที่เหมาะสม และลงทุนจ้างพนักงานที่มีคุณภาพ ย่อมจะส่งผลสู่การบริการที่ไม่มีคุณภาพจนทำให้เกิดความเสียหายได้ ประเด็นสำคัญ ๆ ที่ต้องกำหนดไว้ในสัญญา ประกอบด้วยเรื่อง Uptime (ปริมาณเวลาในหนึ่งเดือนที่ระบบคลาวด์ต้องทำงานได้เป็นปกติ หรืออีกนัยหนึ่ง เป็นการสัญญาว่าระบบคลาวด์ต้องไม่ติดขัด หยุดชะงัก หรือทำงานไม่ได้ไม่เกินกี่ครั้งภายในหนึ่งเดือน หรือทำงานไม่ได้รวมกันยาวนานเป็นกี่นาที หรือกี่ชั่วโมงต่อเดือน)  มีข้อตกลงเรื่องความเร็วในการประมวลผล (Throughput และ Response time) และจำนวนผู้ใช้ที่สามารถทำงานพร้อมกันได้โดยไม่ชักช้า หรืออีกนัยหนึ่งเป็นการสัญญาว่าต้องสามารถบริการจำนวนผู้ใช้พร้อมกันได้กี่คน ข้อตกลงข้อนี้ต้องกำหนด Performance ที่เหมาะสม ไม่เกินความจำเป็น เนื่องจากคุณภาพการให้บริการนั้นเกี่ยวข้องกับการคิดค่าบริการ ถ้ากำหนดคุณภาพสูงเกินไป ผู้ใช้บริการอาจต้องจ่ายค่าบริการสูงเกินความจำเป็น เป็นการสิ้นเปลืองโดยไม่ได้ประโยชน์ นอกจากนี้ ผู้ใช้บริการคลาวด์ยังต้องสามารถตอบโจทย์ของตนเองทางธุรกิจ เช่นต้องการเข้าถึงลูกค้าได้โดยง่ายและกว้างขวาง หรือต้องการลดความเสี่ยง หรือต้องการใช้ Functions และ Feature ใหม่ ๆ ที่ตนเองยังไม่มีใช้ สิ่งเหล่านี้จำเป็นต้องกำหนดไว้ในสัญญาอย่างชัดเจน ในกรณีถ้าผู้ใช้ใช้บริการคลาวด์ในกลุ่มงานที่เป็น Mission Critical ที่เป็นความเป็นความตายขององค์กร อาจจำเป็นต้องว่าจ้างผู้เชี่ยวชาญภายนอกให้ช่วยติดตามประเมินคุณภาพบริการอย่างต่อเนื่อง เพื่อให้มั่นใจว่า ผู้ให้บริการสามารถบริการอย่างมีคุณภาพและต่อเนื่องตามที่สัญญาไว้ 

3.4.     มาตรการแก้ไขปัญหา

สัญญาข้อนี้เป็นการกำหนดวิธีแก้ปัญหาการบริการคลาวด์เมื่อเกิดปัญหาขึ้น เช่นระบบไอซีทีทำงานล่าช้าผิดปกติ อุปกรณ์บางส่วนหรือทั้งระบบทำงานไม่ได้ ระบบงานเกิดการ Shutdown โดยไม่รู้สาเหตุ ฐานข้อมูลล่มสลาย ข้อมูลสูญหาบางส่วนหรือทั้งหมด การประมวลผลผิดพลาด หรือแม้กระทั่งเมื่อระบบงานถูกไวรัสโจมตี เหล่านี้เป็นต้น นอกจากต้องกำหนดมาตรการแก้ไขปัญหาแล้ว ผู้ให้บริการยังต้องกำหนดระยะเวลาแก้ไขปัญหาในแต่ละเรื่องในแต่ครั้ง ข้อกำหนดเหล่านี้ต้องถูกบังคับใช้อย่างเคร่งครัด และจะต้องมีบทปรับเมื่อผู้ให้บริการไม่สามารถทำตามข้อสัญญา ดังนั้น จึงจำเป็นต้องกำหนดข้อสัญญาเหล่านี้ไว้อย่างละเอียดเพื่อหลีกเลี่ยงการโต้แย้งเมื่อเกิดกรณีขึ้น ข้อตกลงในข้อนี้ ผู้ใช้บริการอาจต้องมีส่วนรับผิดชอบในบางเรื่องที่ต้องกำหนดไว้ในสัญญาด้วย เช่นผู้ใช้บริการต้องจัดให้เจ้าหน้าที่ที่มีคุณภาพ และได้ผ่านการฝึกอบรมเพื่อทำงานกับระบบคลาวด์ ผู้ใช้บริการต้องทำงานตามขั้นตอนที่ถูกต้อง ไม่ใช้ระบบคลาวด์ที่นอกเหนือจากงานที่ได้ตกลงกัน รวมทั้งจำกัดการใช้บริการ (จำนวน End users และปริมาณข้อมูล)ไม่ให้เกินตามข้อตกลง เป็นต้น

3.5.     ค่าบริการ

ข้อตกลงข้อนี้ต้องระบุไว้อย่างชัดเจนว่า ค่าใช้จ่ายในการใช้บริการคลาวด์นั้นประกอบด้วยรายการใด  มีการแสดงวิธีคำนวณคิดค่าบริการด้วย ที่สำคัญต้องกำหนดเงื่อนไขการชำระเงินทุกรายการให้ชัดเจน

3.6.     หน้าที่ของผู้ใช้บริการ

ดังที่ได้กล่าวมาแล้วว่า การใช้บริการคลาวด์ ผู้ใช้บริการมีส่วนต้องรับผิดชอบเพื่อให้การใช้บริการนั้นมีคุณภาพ ดังนั้น ผู้ให้บริการอาจขอให้กำหนดหน้าที่ของผู้ใช้บริการในสัญญาด้วย แต่ทั้งนี้ ขึ้นอยู่กับชนิดของงานและประเภทบริการที่ใช้ (IaaS, PaaS, SaaS, และหรือ BPaaS, ฯลฯ) เช่นผู้ใช้ต้องไม่กระทำการใด ๆ อันจะทำให้เกิดความเสียหาย เช่นบันทึกข้อมูลที่ไม่พึงประสงค์หรือผิดกฎหมายเข้าไปในระบบ  ผู้ใช้บริการต้องรับผิดชอบในความสมบูรณ์ของระบบซอฟต์แวร์ (ซอฟต์แวร์ที่ไม่มี Bug) นอกจากนี้ ผู้ใช้ต้องให้ความร่วมมือกับผู้ให้บริการในการให้ข้อมูลเกี่ยวกับการใช้บริการอย่างสม่ำเสมอ เพื่อให้ผู้ให้บริการนำไปปรับปรุงการบริการอย่างมีคุณภาพตามข้อตกลง

3.7.     การรับประกัน

ข้อตกลงข้อนี้เป็นการบังคับให้ผู้ให้บริการทำตามข้อตกลงที่ให้ไว้ในสัญญา โดยเฉพาะข้อเกี่ยวกับคุณภาพการให้บริการตามข้อ 3.3 มาตรการแก้ปัญหาในข้อ 3.4 รวมทั้งการรักษาความลับของข้อมูลและข้ออื่น ๆ ที่จะกล่าวต่อไป และเมื่อผู้ให้บริการไม่ปฏิบัติตามข้อสัญญาไม่ว่ากรณีใด ก็จะมีบทปรับที่สามารถบังคับได้ตามกฎหมาย เงื่อนไขในข้อนี้มักจะมีการเจรจาต่อรองกันระหว่างทั้งสองฝ่ายก่อนจะบันทึกลงในสัญญา ดังนั้น ผู้ให้บริการจำเป็นต้องมีผู้ชำนาญการที่ทำหน้าที่เจรจาต่อรองกับผู้ให้บริการ เพื่อไม่เกิดความเสียเปรียบ

3.8.     ความมั่นคงปลอดภัย

เนื่องจากความมั่นคงปลอดภัยเป็นข้อกังวลที่อยู่ในใจของผู้ใช้บริการคลาวด์ตามที่ได้กล่าวมาแล้วในตอนที่ 1 จึงจำเป็นที่ผู้ใช้บริการต้องศึกษาอย่างระมัดระวังถึงประเด็นเกี่ยวกับข้อกังวลนี้ โดยเฉพาะเรื่องที่เกี่ยวกับความมั่นคงปลอดภัยของข้อมูลและระบบงาน ผู้ให้บริการต้องเสนอมาตรการที่จะกู้คืนข้อมูลที่สูญหาย เมื่อเกิดเหตุร้ายนี้ขึ้น เป็นต้น

3.9.     การปฏิบัติตามระเบียบและกฎหมาย

กรณีที่ผู้ใช้บริการเป็นองค์กรหรือหน่วยงานที่ต้องปฏิบัติตามกฎระเบียบของวิชาชีพ หรือตามกฎหมายบ้านเมือง เช่นองค์กรที่เป็นบริษัทจดทะเบียน สถาบันการเงิน สำนักงานตรวจสอบ ฯลฯ ผู้ใช้บริการจำเป็นต้องกำหนดมาตรการในการดูแลรักษาข้อมูลไม่ให้รั่วไหลสู่ภายนอก หรือไม่ละเลยจนทำให้เกิดความเสียหาย ผู้ให้บริการต้องระบุรายละเอียดในเรื่องวิธีการที่จะช่วยทำตามข้อปฏิบัติตามระเบียบและกฎหมายที่กล่าว รวมทั้งมาตรการแก้ไขเมื่อมีเหตุอันไม่พึงปรารถนาเกิดขึ้น

3.10. การรักษาความลับของข้อมูลและทรัพย์สินทางปัญญา

ซอฟต์แวร์เป็นตัวอย่างของทรัพย์สินทางปัญญา ในการใช้บริการคลาวด์นั้นมีโอกาสที่จะใช้ซอฟต์แวร์ของทั้งผู้ให้บริการและผู้ใช้บริการ ดังนั้น จึงเป็นหน้าที่ของทั้งสองฝ่ายที่จะต้องไม่ละเมิดทรัพย์สินทางปัญญาของฝ่ายหนึ่งฝ่ายใด นอกจากนี้ข้อมูลที่เป็นความลับของผู้ใช้บริการที่เข้าไปอยู่ในความรับผิดชอบของผู้ให้บริการอันเนื่องมาจากการใช้บริการ เป็นหน้าที่ของผู้ให้บริการต้องรักษา ในกรณีที่ผู้ให้บริการจำเป็นต้องให้บริการผ่านบุคคลที่สาม เป็นเหตุให้ข้อมูลของผู้ใช้บริการไปตกอยู่ในมือของบุคคลที่สามซึ่งอยู่ในความรับผิดชอบของผู้ให้บริการ ผู้ให้บริการต้องกำหนดมาตรการที่จะป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลไม่ว่ากรณีใด ๆ 

3.11. การป้องกันความรับผิด (Liability protection)

เนื่องจากผู้ให้บริการคลาวด์อาจติดตั้งระบบเครือข่ายคอมพิวเตอร์อยู่ในหลาย ๆ ประเทศ ในกรณีนี้ ข้อมูลของผู้ใช้บริการอาจถูกกระจายไปประมวลผลอยู่ตามเครื่องคอมพิวเตอร์ในหลาย ๆ ประเทศแบบอัตโนมัติ ประเด็นปัญหาที่ผู้ใช้บริการต้องตระหนักคือ บางประเทศอาจมีข้อห้ามในการประมวลผลข้อมูลบางประเภท เช่นข้อมูลอันเป็นความลับของทางราชการบางอย่าง ข้อมูลเกี่ยวกับความลับของบุคคล หรือเกี่ยวกับลัทธิ หรือเกี่ยวกับศาสนา หรือข้อมูลต้องห้ามอื่น ๆ  ในกรณีเช่นนี้ ผู้ให้บริการอาจถูกสั่งห้ามไม่ให้ประมวลผลจากประเทศบางประเทศ เป็นเหตุให้การใช้บริการต้องหยุดชะงัก ผู้ใช้บริการจำเป็นต้องศึกษาร่วมกับผู้ให้บริการล่วงหน้าก่อนจะเริ่มใช้บริการ เพื่อให้รู้ว่ากลุ่มประเทศที่จะมีโอกาสประมวลข้อมูลของตน รวมทั้งเงื่อนไขและความเสี่ยงที่อาจละเมิดกฎหมายด้านประมวลข้อมูลบางประเภทของประเทศเหล่านั้น เพื่อหลีกเลี่ยงปัญหาด้านกฎหมายระหว่างประเทศดังกล่าว และให้มั่นใจว่าข้อตกลงในสัญญาจะต้องระบุอย่างชัดเจนคือการป้องกันความรับผิด (Liability protection) ในกรณีที่เกิดคดีที่กล่าว และผู้ให้บริการจะต้องเข้าใจลักษณะข้อมูลของตนที่จะใช้บริการประมวลผลผ่านระบบคลาวด์ของผู้ให้บริการ และจะต้องหลีกเลี่ยงปัญหาที่จะถูกดำเนินคดีอันเป็นเหตุให้การบริการประมวลผลของตนต้องหยุดชะงักทำให้เกิดความเสียหาย

3.12. การทบทวนสัญญา

เนื่องจากการบริการคลาวด์ยังมีการพัฒนาไปเรื่อย ๆ มีโอกาสที่จะปรับปรุงและเพิ่มเติม Function/Features ให้ดีขึ้นและสมบูรณ์ขึ้นตลอดเวลา เป็นประโยชน์ต่อผู้ใช้บริการเป็นอย่างมาก  ดังนั้น จึงจำเป็นต้องร่วมกับผู้ให้บริการติดตามการเปลี่ยนแปลงในด้านความสามารถของคลาวด์คอมพิวติ่ง ถ้าจำเป็นอาจทำการปรับปรุงเปลี่ยนแปลงแนวทางการใช้บริการให้เหมาะสมและทันสมัย  ดังนั้นตัวสัญญาจะต้องเปิดโอกาสให้ปรับปรุงแก้ไขได้ตามสถานการณ์ ถ้าจำเป็น

3.13. การยกเลิกสัญญา

เหมือนสัญญาทั่วไป จำเป็นต้องเปิดช่องให้คู่สัญญาสามารถบอกเลิกสัญญาอีกฝ่ายหนึ่งได้  เมื่อจำเป็นต้องบอกเลิกสัญญา ก็มีวิธีปฏิบัติที่ชัดเจนตามที่กำหนดไว้ในสัญญา สิ่งสำคัญที่ต้องตระหนักคือ ต้องกำหนดข้อตกลงเกี่ยวกับความเป็นเจ้าของของข้อมูล เพื่อให้มั่นใจว่าผู้ใช้บริการสามารถอ้างสิทธิความเป็นเจ้าของข้อมูลตามกฎหมายได้ พร้อมด้วยขั้นตอนที่จะโอนย้ายข้อมูลจากระบบคอมพิวเตอร์ของผู้ให้บริการไปสู่ระบบใหม่ และกำหนดระยะเวลาที่ต้องดำเนินการให้แล้วเสร็จ

3.14. การดำเนินการ

เป็นการกำหนดตารางเวลาทำงาน ตั้งแต่การโอนย้ายงานจากระบบเดิม หรือระบบงานใหม่เพื่อใช้บริการคลาวด์ ไปจนถึงวันที่พร้อมให้บริการ End-users ได้ ที่จะลืมไม่ได้คือ ภายในตารางทำงานที่ตกลงกับผู้ให้บริการ ต้องกำหนดสิ่งที่ต้องส่งมอบ หรือผลผลิต (Deliverables) สำคัญ ๆ ตลอดช่วงเวลาการทำงานตามสัญญา

ทั้งหมดที่บรรยายมาข้างต้น เป็นเพียงตัวอย่างของเงื่อนไขสัญญาการใช้บริการคลาวด์ เงื่อนไขข้อตกลงจริงย่อมจะเปลี่ยนแปลงตามบริบทของโครงการและเจ้าของงาน ผู้ใช้บริการคลาวด์จำเป็นต้องมีพนักงานที่มีความรู้ในการเจรจากับผู้ให้บริการ ในบางกรณี อาจจำเป็นต้องอาศัยผู้เชี่ยวชาญจากภายนอก ทั้งหมดนี้ หวังว่าเป็นประโยชน์ต่อผู้ที่กำลังตัดสินใจจะใช้บริการคลาวด์   ข้อมูลชุดนี้สามารถใช้เป็นกรอบเพื่อการทำสัญญาบริการคลาวด์ อย่างน้อยได้ในระดับหนึ่ง

---

[1] Hugos, Michael H., Hulitzki, Derek, “Business in The Cloud: What Every Business Needs To Know About”, John Wiley & Sons, Inc., New Jersey, 2010.