Contratos de serviços em nuvem precisam de mais transparência, alerta Gartner

Contratos envolvendo computação em nuvem, em especial software como serviço (SaaS, na sigla em inglês), possuem termos ambíguos a respeito da manutenção da confidencialidade e integridade de dados, recuperação após incidentes, dentre outros fatores. Isso leva a uma insatisfação entre diversos usuários e CIOs, alerta recente relatório do Gartner.

Até 2015, 80% dos profissionais de compras em TI permanecerão com esse sentimento sobre os contratos firmados, especialmente devido à linguagem e proteções relacionadas à segurança. ?Continuamos a ver frustração entre usuários de cloud sobre a forma e o grau de transparência obtidos por provedores de serviços atuais e a prospecções de novos fornecedores?, relata Alexa Bona, vice-presidente e analista do Gartner.

No mínimo, ao contratar SaaS, é necessário garantir no contrato uma auditoria anual de segurança e uma certificação de um terceiro, com a opção de cancelar o acordo em caso de brecha de segurança caso o provedor falhe em qualquer medida material. Além disso, a consultoria recomenda solicitar ao provedor de serviço alguns resultados de instrumentos de avaliação.

Nos Estados Unidos, a Aliança para Segurança da Nuvem (CSA), por exemplo, possui uma matriz de controle de nuvem em formato de planilha com diversos parâmetros de controle. ?À medida que mais compradores demandarem por requisitos desse tipo, e conforme os padrões da nuvem amadureçam, veremos que a prática de ter índices de garantia em uma variedade de parâmetros se tornará comum?, defende Alexa.

Além disso, os executivos de TI não devem assumir que os contratos de SaaS possuem automaticamente acordos de nível de serviço (SLA) adequados sobre segurança e recuperação de dados. ?Qualquer que seja o termo utilizado para descrever as especificidades dos SLAs, os profissionais de compra de TI esperam que seus dados sejam protegidos de ataques ou sejam restauráveis em caso de incidentes e devem exigir dos provedores a obrigação contratual para atingir essas expectativas?, aponta a especialista.

A falta de compensação financeira por perdas também representa um risco indesejável de exposição ao assinar um contrato. ?SaaS é uma dentre várias situações nas quais uma única falha pode impactar milhares de clientes simultaneamente?, evidencia Alexa. Por isso, a maioria dos provedores evitam a obrigação contratual de qualquer forma de compensação, em vez de prover serviços suscetíveis a penalidades caso o SLA não seja cumprido. ?Usuários de SaaS devem negociar entre 24 a 36 meses de limites, em vez de 12 meses, além de adicionais responsabilidades?, conclui.