למה לשים לב לקראת התקשרות בהסכם שימוש בענן? חלק ב'

בשנים הספורות מאז שהוא בא לעולם, מחשוב הענן הספיק להשתרבב למרכזו של משבר פוליטי-מדיני בין ארצות הברית לאיחוד האירופי; להיות הכוח המניע להמצאה הטכנולוגית שמאתגרת את מערכת הפיננסים העולמית (ע"ע ביטקוין); ולהיות יעד אטרקטיבי לפריצות האקרים, שעלו שוב לכותרות בעקבות הפריצה לפני כמה חודשים למאגרי תמונות פרטיות ורגישות של ידוענים.

חברות ישראליות מספקות שירותי ענן בתצורות וגוונים שונים, אולם רבות מהחברות הפועלות בארץ מצויות דווקא מעברו השני של המתרס, כצרכניות של שירותים אלה. השימוש בשירותי ענן לא מאפיין רק חברות היי-טק, אלא גם מספר הולך וגובר בקרב חברות מסורתיות, בהן בנקים ומוסדות פיננסיים, מוסדות חינוך, מוסדות רפואיים ועוד.

חובות אבטחת מידע אישי

על פי דין, אבטחת מאגר הכולל מידע אישי היא חובה ראשונה במעלה בדין הישראלי. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), שהותקנו בשנת 1986 ועודכנו קלות לפני כעשור, מחייבות לנקוט באמצעי אבטחת מידע הדרושים לקיום התקנות, בהתאם לנסיבות השימוש במאגר המידע. נסיון של רמו"ט לתקן את התקנות כדי שיתאימו יותר לרוח הזמן נעצר ב-2012. מאז הנושא לא קודם.

התקנות מאתגרות את השימוש בענן מפני שהן מניחות שליטה פיזית על מקום הימצאן של מערכות המידע. הן קובעות רשימה לא סגורה של תת-תחומים שיש לטפל בהם בנושא אבטחת מאגר מידע, ובכלל זה קביעת סדרי ניהול של מאגר המידע שיחולו גם על ספק שירותי הענן, אבטחה פיזית של מאגר המידע, שמירת שלמות המידע, סדרי בקרה לגילוי פגיעות בשלמות המידע ותיקון ליקויים, ואחזקת רשימה מעודכנת של מורשי גישה למידע לפי ההרשאות השונות.

להסדרי אבטחת המידע בענן ולהוראות החוזה שיחייבו את ספק שירותי הענן בנושא זה נודעה חשיבות עליונה. אולם בענייני אבטחת מידע אין מידה אחת המתאימה לכל. חובה אפוא להתאים את הסדרי אבטחת המידע ואת החובות החוזיות של ספק הענן בנושא זה, למידות ולמאפיינים הייחודיים של החברה המזמינה את שירותי הענן, ולאפיון הסיכונים הצפויים לגבי המידע והנזק המוערך אם יתממשו.

מלבד זה, הוראות חוזיות כלליות שניתן לשקול בהקשר אבטחת מידע הן התחייבות מצד הספק שלא יבצע פעולות כלשהן ביחס למידע החורגות מהוראות מזמין שירותי הענן; התחייבות לסודיות של הספק, עובדיו ומי שפועל מטעמו; התחייבות שלפיה בכל מקרה בו הספק נדרש לחשוף מידע לצד שלישי, על-פי צו או הוראה של רשות מוסמכת, עליו לדווח מידית למזמין שירותי הענן, זולת אם חל על הספק איסור על-פי דין למסור דיווח כזה; התחייבות הספק למחיקת המידע מיד עם סיום ההתקשרות עם המזמין, מבלי להותיר אצלו מידע, והמצאת אישור בכתב על השלמתה המוצלחת של המחיקה.

מנגנוני הגנה חוזיים

החוזה עם ספק שירותי הענן צריך להגן כמובן גם על האינטרסים המרכזיים של מזמין השירותים. אולם מטבע הדברים, הקושי בעניין הזה טמון באופיים של הסכמי ההתקשרות של ספקי שירותי הענן, בהן ענקיות כמו אמזון, גוגל ומייקרוסופט. במקרים רבים אלה חוזי 'הקש וקבל' שאי אפשר לשנות בהם אף תו. מה גם שההתמקחות עם ענקי השירות העולמיים קשה ומצויה רחוק מיכולתן של חברות רבות. יחד עם זה, ניסיון המיקוח לעתים עולה יפה והחברות מגלות גמישות מסיומת, ולו מינימלית, להתאמות חוזיות.

בנוסף, ספקי ענן מציעים לעתים סוגים שונים של התקשרויות או מאפייני שירות, שנבדלים בהתחייבויות החוזיות שספק הענן מוכן ליטול על עצמו. בירור מקיף של אלה, והשוואה בין ספקים שונים, יכולים להציף חלופות טובות יותר מכפי שנראה תחילה.

בין האינטרסים החוזיים שכדאי למזמין לתת עליהם את הדעת ניתן למנות את זכותו של המזמין לשנות את מאפייני והיקף פעילות המחשוב שהוא מבצע בענן, על פי צרכיו; הקצאת המידע לאחסנה בחוות שרתים מסוימות (לדוגמה, כאלה המצויות באירופה ולא בארצות-הברית); טיפול הספק בתקלות וזמינותו לתת להן מענה (Service Level Agreement – SLA); ועיגון זכות המזמין לסיים את ההתקשרות בכל עת או בהודעה קצרה מראש.

אלה הם על קצה המזלג כמה מהנושאים שיש לשים לב אליהם לקראת התקשרות בהסכם עם ספק שירותי ענן. כמו בנושאים רבים, גם בענן אלוהים נמצא כפי הנראה בפרטים הקטנים.

מאמר זה נועד לצרכים אינפורמטיביים כלליים בלבד ואינו מתיימר למצות את כל הוראות הדין וההמלצות המשפטיות בעניין. אין להסתמך על האמור בו כעצה משפטית ואין לראותו כחוות-דעת משפטית.

עו"ד חיים רביה הוא שותף בכיר וראש קבוצת האינטרנט, IT וזכויות יוצרים בפרל כהן צדק לצר ברץ.
עו"ד דותן המר מפרל כהן צדק לצר ברץ הוא חבר בקבוצה ומטפל באופן שוטף בחוזי ענן.

לקריאת חלקו הראשון של המאמר לחצו כאן.