Software Licensing and Development Agreements - PDF
Document Details
Uploaded by IncredibleLeopard
JÖSz Akadémia
Dr. Horváth Katalin
Tags
Summary
This document is a presentation on software licensing, development, and cloud computing. It covers various types of software licenses, including proprietary, semi-free, and free (open source), along with related legal issues. The presentation was given by Dr. Horváth Katalin.
Full Transcript
Szoftverszerződések: licencia, fejlesztés, Open source szoftverek Dr. Horváth Katalin Dawn raid training | 3 November 2021 Szoftverlicenc típusok . CMS Budapest Szoftverlicenc típusok Szoftverlicenc típusok Tulajdonosi (Proprietory) Félszabad (Semi-free) Kereskedelmi (Commercial) Ingyenes F...
Szoftverszerződések: licencia, fejlesztés, Open source szoftverek Dr. Horváth Katalin Dawn raid training | 3 November 2021 Szoftverlicenc típusok . CMS Budapest Szoftverlicenc típusok Szoftverlicenc típusok Tulajdonosi (Proprietory) Félszabad (Semi-free) Kereskedelmi (Commercial) Ingyenes Freeware Standard Shareware Szabad (Free) Dobozos (COTS) OSS Egyedi Licenc Strong Copyleft Restricted copyleft Adware OEM Abandonware Patchware Firmware Volume Licence Jogátruházás No copyleft OSS with options OSS with privilige CMS Budapest A tulajdonosi szoftver licencek jellemzői Kereskedelmi forgalomban értékesített szoftverekre vonatkoznak Általában ÁSZF-ként viselkedő EULA-k Commercial standard licencek közös jellemzői Nem kerülnek egyedileg megtárgyalásra Általában nem lehet tőlük eltérni Már meglévő szoftverre vonatkoznak Forráskódot nem biztosít CMS Budapest A tulajdonosi szoftver licencek jellemzői OEM Volume licence COTS/FPP Commercial standard licencek CMS Budapest Commercial standard licencek COTS/FPP (commercial off-the-shelf/Full packaged product) licencek ‒ ‒ ‒ ‒ Hordozóról vagy licenckóddal letöltéssel telepíthetők Lehet full vagy upgrade licence Általában kizárja a reverse engineering minden formáját Korlátozások: • Időbeli, földrajzi, nyelvi • Felhasználás módjára, céljára (commercial-non commercial) Továbbengedés, terjesztés kizárása Eszközváltás (transfer jog) CMS Budapest Commercial standard licencek OEM (Original Equipment Manufacturer) licencek ‒ Csak számítógéppel/eszközzel együtt ‒ Előtelepítve az eszközre, telepítés és EULA elfogadás első indításkor ‒ Korlátozások: • Nincs eszközváltási jog (transfer) • A gép átruházható a rajta lévő szoftverrel együtt másra • Időbeli, földrajzi, nyelvi • Felhasználás módjára, céljára (commercial, non- com.) • Továbbengedés, terjesztés kizárása CMS Budapest Commercial standard licencek Volume licensing ‒ Szervezeti felhasználás, ahol tömeges a felhasználási igény ‒ Mennyiségi kedvezmények ‒ Korlátozások metrika alapján: • Szerverre telepíthető szoftverek száma • Kliensoldali elérés száma (nevesített, konkuráló felhasználók, munkaállomások száma) • Funkcionalitások szerint • Jogosultságok szerint • Többi standard licenc korlátozás CMS Budapest Commercial egyedi licencek Licenc ‒ ‒ ‒ ‒ ‒ Egyedileg megtárgyalt Egyedi fejlesztésű szoftverre Forráskódletét Felhasználási jog Korlátozások: • Időbeli, földrajzi, nyelvi • Felhasználási módra, célra • Továbbengedési jogra Jogátruházás ‒ ‒ ‒ ‒ ‒ Egyedileg megtárgyalt Egyedi fejlesztésű szoftverre Forráskód átadása Összes szerzői vagyoni jog átruházásra kerül Általában korlátozás nélkül CMS Budapest Ingyenes tulajdonosi licencek Freeware Firmware Shareware Ingyenes tulajdonosi licencek Patchware Adware Abandonware CMS Budapest Ingyenes tulajdonosi licencek Freeware Shareware Adware Adware Tetszőlegesen hosszú ideig ingyenesen használható. Általában nem terjeszthető szabadon, nem engedélyezett a módosítása, zárt a forráskódja, felhasználási módok és célok szerint is korlátozható. Időbeli vagy funkcionalitásbeli korlátozással, szabadon terjeszthető, ingyenes. A használat időbeli vagy funkcióbeli korlátozása, zárt a forráskódja. Pl. demo vagy trial verzió Ad-powered vagy advertising-supported software - Reklámmal támogatott ingyenes, zárt forráskódú szoftver, fizetős változata is elérhető általában. Pl. VoIP, közösségi portálok, keresőszolgáltatások) CMS Budapest Ingyenes tulajdonosi licencek Abandonware Olyan tulajdonosi szoftver, amelynek fejlesztésével és támogatásával a gyártó felhagyott forráskódja gyakran nyilvános. Általában elavult. Patchware Javító szoftverek, vagy szoftverelemek, amelyeket egy szoftver gyártója annak érdekében bocsát ki, hogy alapszoftverében ezzel valamely hibát, hiányosságot, működési zavart kijavítson. Firmware Hardverbe rögzített, többnyire kisméretű program vagy adatstruktúra, amely az adott elektronikai eszköz vezérlését végzi el. CMS Budapest A szoftverfejlesztési és szoftverlicenc szerződések CMS Budapest Milyen szerződéstípus a szoftverlicenc/fejlesztési szerződés? Szerzői jogi törvény 16. § (1) és 42. § (1) bekezdése A szerzői jogi szerződések fajtái aa) licencia (felhasználási) szerződés ab) jogátruházási szerződés ac) meglévő szoftverre kötött szerződés ad) most fejlesztendő szoftverre kötött szerződés CMS Budapest Elkülönítés más szerződésektől Megbízás/vállalkozás Fejlesztés mint munkavégzés/szoftver mint eredmény létrehozása Díjazás Felhasználási szerződés Szoftver mint eredmény létrehozása Felhasználási engedély Díjazás Átadás Átadás CMS Budapest Elkülönítés más szerződésektől Adásvétel Szoftver tulajdonjogának átruházása Díjazás Jogátruházási szerződés Szoftver tulajdonjogának átruházása Szoftver szerzői vagyoni jogainak átruházása Átadás Díjazás Átadás CMS Budapest A szoftverfejlesztési és licenc szerződések tartalma és buktatói CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Szoftver A szoftver meghatározása A számítógépi programalkotás és a hozzá tartozó dokumentáció akár forráskódban, akár tárgykódban vagy bármilyen más formában rögzített minden fajtájában, ideértve a felhasználói programot és az operációs rendszert is. (Szjt. 1. § (2) bek. c) pont) Valamely ötlet, elv, elgondolás, eljárás, működési módszer vagy matematikai művelet nem lehet tárgya a szerzői jogi védelemnek. (Szjt. 1. § (6) bek.) Nem védi a szerzői jog az algoritmusokat, a matematikai műveleteket, a szoftver funkciókat, az adatbázis adatokat, adatsorrendeket. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Szoftver A szoftver meghatározása – mire vonatkozik a felhasználási engedély? A szoftver egésze A szoftver meghatározott része, modulja A szoftver meghatározott verziója A szoftver régebbi verziói is A szoftver mindig legfrissebb verziója A szoftver frissített, módosított verziói A szoftver továbbfejlesztett verziói A szoftver javításai, javított verziói Szoftverhez kapcsolt új szoftvermodulok, új szoftverrészek CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Szoftver A dokumentáció Felhasználói dokumentáció Fejlesztői dokumentáció ‒ Funkcionális leírás ‒ Telepítési útmutató ‒ Leírás a rendszerhasználat elkezdéséhez ‒ Referencia kézikönyv ‒ ‒ ‒ ‒ ‒ ‒ ‒ ‒ Feladatspecifikáció Programterv (szofterv design) Koncepcióterv Forrásprogram (forráskód) Tesztesetek és tesztadatok listája Teszteredmények Kockázat analízis Felhasználási esetek (use case) CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Szoftver A specifikáció - Hogyan határozzuk meg a szoftvert? Külön mellékletben specifikációval vagy követelmény leírással vagy műszaki dokumentációval Kinek a feladata a specifikáció elkészítése? - Ha a felek erről külön nem rendelkeznek, a megrendelő (felhasználó) feladata - Felek megállapodhatnak, hogy a fejlesztő a specifikációt is elkészíti A specifikáció mindkét felet védi. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Szoftver Mi történik, ha nincs/nem pontos/módosul a specifikáció? Ha egyáltalán nincs Ha pontatlan Ha a megrendelő fejlesztés közben módosítja a szerződés nem jön létre, ha a felek szerződéskötést megelőző levelezéséből, egyeztetéseiből sem lehet kideríteni, mi a szerződés tárgya, azaz a szoftver, amit el kell készíteni. i) a megrendelő nem tud hibás teljesítés miatt fellépni, nem tud kijavítást kérni, nem tud szavatossági igényt érvényesíteni, mert nem tudja bizonyítani, hogy mit kellett volna kifejleszteni. ii) a fejlesztő kérheti a pénzt a fejlesztésért, elvégre azt elvégezte, amit a megrendelő kért (még ha nem is teljesen világos, hogy mit kért). i) javasolt rendezni a kérdést a szerződésben, hogy mikor kérhet plusz díjazást a fejlesztő ii) szerződéses szabály hiányában a Ptk. többletmunka/pótmunka szabályai alkalmazandók CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Értelmezési alapelv A szoftverlicenc szerződést kétség esetén a szerzői jogosultra kedvezőbb módon kell értelmezni. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély Szoftver esetén szóba jöhető felhasználási módok és jogok: ‒ ‒ ‒ ‒ Többszörözés: betáplálás, telepítés, tárolás, futtatás, képernyőn történő megjelenítés, rögzítés, nyomtatás, másolás, mentés, képfelvétel készítése Terjesztés: bármely hordozón (pl. CD-n, DVD-n) rögzített szoftverpéldány forgalomba hozatala, felkínálása, tulajdonjogának átruházása, bérbeadása, importja Nyilvánossághoz közvetítés: internetes felhasználás, online elérhetővé tétel (feltöltés), felhőből való elérés Átdolgozás: a szoftver oly mértékben való módosítása, hogy eredményeképpen új szoftver jön létre (derivative works), pl. a szoftver eltérő programnyelvre történő átírása. Csak kifejezett kikötés esetén illeti meg a felhasználót. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély Többszörözés Átdolgozás, feldolgozás, fordítás (decompilation, reverse engineering is!) Hibajavítás Ha ezeket a szoftvert jogszerűen megszerző személy a szoftver rendeltetésszerű használata érdekében végzi Módosítás És ezek eredményének többszörözése Nem illeti meg azonban a felhasználót a fenti jog, ha annak célja a szoftver továbbfejlesztése, új funkciók kifejlesztése, a szoftverhez hasonló funkciójú más szoftver létrehozása. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A felhasználó törvény alapján járó, szerződésben ki NEM zárható jogai ‒ ‒ Egy biztonsági másolat készítése A szoftver algoritmus, működési elv megismerése céljából: • A szoftver működésének megfigyelése, tanulmányozása • A szoftver kipróbálása betáplálással, futtatással, képernyőn történő megjelenítéssel, továbbítással vagy tárolással • A felhasználó az így megszerzett ismereteket nem használhatja fel hasonló szoftver kifejlesztéséhez, a szoftver átdolgozásához, vagy más szerzői jogsértő cselekményhez • Nem jogosít fel a forráskód megismerésére, reverse engineeringre és decompilation-re sem CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A felhasználó törvény alapján járó, szerződésben ki NEM zárható jogai Interoperabilitási célú kód többszörözés és fordítás (reverse engineering, decompilation), ha: ‒ ‒ ‒ elengedhetetlen az önállóan megalkotott szoftvernek más szoftverekkel való együttes működtetéséhez szükséges információ megszerzése érdekében; az együttes működtetéshez szükséges információ a felhasználó számára nem vált könnyen hozzáférhetővé; e felhasználási cselekmények a szoftvernek azokra a részeire korlátozódnak, amelyek az együttes működtetés biztosításához szükségesek. Az így megszerzett információ: ‒ ‒ ‒ nem használható fel az önállóan megalkotott szoftverrel való együttes működtetésen kívüli célra; mással nem közölhető, kivéve, ha az önállóan megalkotott szoftverrel való együttes működtetés ezt szükségessé teszi; nem használható fel a kifejezési formájában lényegében hasonló másik szoftver kifejlesztéséhez, előállításához és forgalomba hozatalához, sem pedig a szerzői jog megsértésével járó bármely más cselekményhez. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A felhasználónak csak kifejezett szerződéses kikötés alapján járó jogok Kizárólagosság Továbbadási, átruházási, továbbengedélyezési jog Átdolgozási jog Képfelvétel készítési jog Számítógéppel történő másolás joga Elektronikus adathordozóra történő másolás joga Importjog CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A licenc továbbadhatósága (alvállalkozónak, vállalatcsoporton belül) A felhasználó csak akkor ruházhatja vagy engedélyezheti tovább a szoftvert harmadik személynek, ha erre a szerződésben kifejezetten jogot szerzett Cégcsoportok, multinacionális vállalatok, anya- és leányvállalatok esetén figyelni kell a felhasználói kör pontos meghatározására, még csoporttagnak, leány- vagy anyavállalatnak sem adható át a szoftver és a jog, ha a szerződésben ezt nem engedélyezték. Ha a megrendelő engedély nélkül ruházta/engedélyezte tovább a szoftvert, a megrendelő és a jogszerző egyetemlegesen felelnek a szerzői jogosulttal szemben a felhasználási szerződés teljesítéséért CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A kizárólagosság A szerződés csak akkor biztosít kizárólagos jogot, ha azt a felek kifejezetten kikötötték. Kizárólagosság kikötése esetén a szerzői jogosult csak akkor marad jogosult a szoftver saját felhasználására, ha ezt kikötötte a szerződésben. Kizárólagos szerződés esetén a fejlesztő másnak nem adhat engedélyt a szoftver felhasználására és saját maga sem használhatja fel a szoftvert más fejlesztésében. Ha a kizárólagos szerződés előtt adott nem kizárólagos felhasználási engedélyt másnak a szerzői jogosult, akkor a korábbi szerződés is fennmarad, de a felek rendelkezhetnek másként. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély Elrettentő példák A megrendelő a szoftvert átdolgozhatja, ha az saját gépi felhasználáshoz vagy archiváláshoz szükséges A megrendelőt felhasználói dokumentáció nem illeti meg A megrendelőt megilleti a szoftver számítógépes feladatmegoldásra, számítógép működésre való használatának joga A megrendelő forráskódra nem jogosult, de a fejlesztő köteles félévente átadni a forráskódot megrendelőnek zárt borítékban. Vállalkozó eladja, megrendelő megvásárolja a vállalkozó által létrehozott szoftvert CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A felhasználási engedély időbeli hatálya A feleknek meg kell határozniuk a felhasználási engedély időtartamát a szerződésben, ami lehet: ‒ ‒ határozatlan, a szoftver teljes védelmi idejére szóló határozott időre szóló Ha a felek nem határozzák meg a felhasználási engedély időtartamát: ̶ az engedély a szoftverek körében szokásosan alkalmazott időre jön létre – végső soron a bíróság dönti el – de semmiképpen nem „örökre”! CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély A felhasználási engedély területi hatálya A szerződésben meg kell jelölni a felhasználási engedély területi hatályát (pl. ország lista), ahol a felhasználó a szoftvert felhasználhatja Ha a felek nem jelölik meg, akkor a szoftvert a felhasználó csak Magyarország területén használhatja! CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói: Felhasználási engedély ‒ Nyelvi A felhasználás egyéb általános korlátozásai ‒ Cél szerinti (kereskedelmi, nem kereskedelmi célra, belső intézményi felhasználási célra, továbbfejlesztési célra, stb.) ‒ Eszközváltási korlátozása (transfer) jog kizárása, CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Felhasználási engedély A felhasználás egyéb speciális korlátozásai OEM licenceknél ‒ Csak számítógéppel/eszközzel együtt, ‒ Előtelepítve az eszközre, telepítés elfogadás első indításkor, és EULA ‒ A gép átruházható a rajta lévő szoftverrel együtt másra Volume Licensing esetén ‒ Szerverre telepíthető szoftverek száma ‒ Kliensoldali elérés száma (nevesített, konkuráló felhasználók, munkaállomások száma) ‒ Funkcionalitások szerinti korlátozás ‒ Jogosultságok szerinti korlátozás CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Jogátruházás A szoftver jogátruházási szerződések jellemzői A szoftverre vonatkozó szerzői vagyoni jogok átruházhatók. Lehetséges területenként, országonként más-más személyre átruházni a jogokat Teljes jogátruházás esetén valamennyi jogra vonatkozik az átruházás Az átruházás kiterjed a továbbruházhatóságra Az átruházás fogalmilag kizárólagos Az átruházás a mű teljes védelmi idejére szól (örökre) Egyebekben a felhasználási szerződés előző szabályai alkalmazandók a jogátruházásra CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Díj A felhasználási engedély ellenértéke A jogdíj mértéke a jogdíj felek megállapodása – csak akkor ingyenes, ha a szerzői jogosult kifejezetten lemondott a díjáról írásban – visszterhesség vélelme. Főszabály: a bevétellel arányos díjazás (Szjt. 16. § (4) bek.) A jogdíj típusai A jogdíj mértékét befolyásoló körülmények Típusok: - Egyösszegű díj - Havi/éves/időszakos fix díj - Felhasználónkénti díj - Százalékos díj (szoftver esetében ritka) jogátruházás vagy licenc, felhasználási engedély terjedelme, kizárólagosság, egyéb korlátozások. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Jogszavatosság Csak a jogátruházási szerződésnél van jogszabályi kötelezettsége a szerzői jogosultnak a jogszavatosságra Licencia szerződésnél nincs jogszabályi jogszavatossági előírás, csak akkor van, ha a szerződésben külön kikötötték a felek Tartalmilag a jogtisztaságot garantálja, és azt, hogy a forgalmazó/viszonteladó/szoftvercég valamennyi jogot megszerzett, amit a felhasználónak átenged Probléma: fejlesztőkkel, munkavállalókkal nem megfelelő szerződések megkötése miatt nem száll át a jog a gyártóra, forgalmazóra vagy viszonteladóra rossz szerződés miatt nem száll át a jog a gyártótól – jogszavatossággal nagyobb védelem biztosítható FLOSS szoftverek: általában nincs jogszavatosság! CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Felmondási jog Jogszabály által biztosított felmondási jog: A szerzői jogosult felmondhatja a kizárólagos felhasználási engedélyt tartalmazó szerződést, ha: a felhasználó nem kezdi meg a mű felhasználását a szerződésben meghatározott vagy - ennek hiányában - az adott helyzetben általában elvárható időn belül; vagy a felhasználó a szerződéssel megszerzett jogait nyilvánvalóan a szerződés céljának megvalósítására alkalmatlan módon vagy nem rendeltetésszerűen gyakorolja. ‒ Ha a felhasználási szerződést határozatlan vagy öt évnél hosszabb időtartamra kötötték, a szerző felmondási jogát csak a szerződés megkötésétől számított két év eltelte után gyakorolhatja. ‒ A felmondási jogáról a szerzői jogosult előzetesen nem mondhat le; gyakorlását szerződéssel csak a szerződéskötést vagy - ha ez a későbbi - a mű átadását követő legfeljebb ötéves időtartamra lehet kizárni. ‒ Felmondás helyett a szerzői jogosult - a felhasználásért fizetendő díj arányos csökkentése mellett - megszüntetheti az engedély kizárólagosságát. A szerződésben egyéb felmondási jogok is szabályozhatók CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Egyéb lehetséges rendelkezések A szoftverlicenc szerződések további lehetséges rendelkezései: Titoktartás/versenykizárás – kizárólagos felhasználási engedély esetén különösen fontos Szerződésszegés és szankciói – nem teljesítési, hibás teljesítési, meghiúsulási kötbér – általános szabályok szerint Forráskód letét M&A – átruházhatóság, kiterjed-e a licenc az új vállalatrészre/csoporttagra Kellékszavatosság, jótállás Szoftver audit A szoftverbe bevitt adatok „tulajdonjoga”, exportálása és ennek határideje (pl. dokumentum kezelő rendszerek esetén) CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Szoftver tesztelése és átvétele Nézzük meg a specifikációt! Ha a szoftver megfelel a specifikációban és a szerződésben foglalt követelményeknek Ha minden, a szerződésben és a specifikációban meghatározott szoftver elem, beleértve a dokumentációt is, elkészült Mikor minősül a szoftver késznek? Ha a szoftver rendeltetésszerű használatra alkalmas és működik Ha a Ptk. teljesítésre vonatkozó általános szabályai is teljesülnek. CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Szoftver tesztelése és átvétele Kötelező-e a tesztelés? Ki és mikor teszteljen? Ptk. szerint a megrendelőnek kell elvégeznie a szükséges próbákat, teszteket az átadásátvételt követően, így ha a felek a fejlesztőt akarják kötelezni a tesztek elvégzésére, akkor ezt külön ki kell kötni a szerződésben Szoftverszakmailag elfogadott és szokásos piaci gyakorlat, hogy a fejlesztő tesztel vagy a felek közösen tesztelnek. Célszerű, ha először a fejlesztő tesztel, majd átadja a megrendelőnek a tesztelési jegyzőkönyvet, amelyet a megrendelő is teszt keretében ellenőriz. A tesztelés eredményét a felek írásban, jegyzőkönyvben rögzítsék A tesztkörnyezetet általában a megrendelő biztosítja a saját költségén A tesztelésre célszerű határidőt és minimum sikerességi kritériumot meghatározni CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói - Szoftver tesztelése és átvétele Átadás-átvétel Tesztelést, próbaüzemet követően a fejlesztő kezdeményezésére történik az átvétel Írásbeli jegyzőkönyv felvétele célszerű az átadásról Átvételt követően a teljesítés elfogadására a megrendelőnek maximum 4 hónap áll a rendelkezésére Az elfogadási határidő lehet 4 hónapnál rövidebb, de hosszabb nem Szerződésben célszerű részletesen rögzíteni az átadás-átvételi procedúrát, a felek feladatait, visszajelzési határidőit Ha nem jelez vissza, elfogadottnak kell tekinteni CMS Budapest A szoftverlicenc/fejlesztési szerződés tartalma és buktatói Szoftver tesztelése és átvétele Nem működik a szoftver! - Ki fogja kijavítani? ‒ Ha a szoftver nem működik rendeltetésszerűen az átvételkor: a megrendelő megfelelő póthatáridő tűzésével, akár többször is visszaadhatja kijavításra a szoftvert ‒ A kijavításért, ha annak célja a specifikációnak való megfelelés, a fejlesztő plusz díjazást nem követelhet ‒ A megrendelő köteles a hibalistát, kifogásokat bizonyítható módon átadni a fejlesztőnek – célszerű írásban, de legalább e-mailben előírni ‒ Ha a fejlesztő nem javítja ki (jogellenesen megtagadja a kijavítást vagy nem végzi el határidőre): a megrendelő díjfizetés nélkül elállhat a szerződéstől ‒ Ha a fejlesztő rosszul javítja ki és a szoftver a kijavítás után sem alkalmas a felhasználásra: mérsékelt díjazás illeti csak meg a fejlesztőt ‒ Kijavíttatás más fejlesztővel: csak ha külön kikötötték CMS Budapest Gyártói szoftverlicenc szerződések . CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? A felhasználási szerződések fenti általános buktatóira ‒ Kik használhatják a szoftvert? Speciális előírásokra: ‒ Mit foglal magában a díj? ‒ Milyen garanciát ad a gyártó? ‒ Hogyan korlátozza a gyártó a felelősségét? CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Kik használhatják a szoftvert? ‒ legfeljebb hány felhasználó jogosult egyidejűleg használni a szoftvert ‒ név szerint megjelölt felhasználók jogosultak csak használni ‒ meghatározott számú számítógépre (munkaállomásra, vagy processzor számra) telepíthető csak a szoftver ‒ egy meghatározott helyen lévő valamennyi felhasználó használhatja (például egy meghatározott telephelyen dolgozó összes felhasználó), ‒ a nem munkaviszonyban álló személyzet, az alvállalkozók, a megbízási jogviszonyban bedolgozók használhatják-e a szoftvert ‒ a cégcsoport más tagjai által történő használat engedélyezett-e ‒ a más országban lévő anyavállalat/leányvállalat is használhatja-e a szoftvert CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Mit foglal magában a díj? A legtöbb gyártói szoftver licenc szerződés előírja, hogy a díj megfizetése a licenc megadásának feltétele, és a díjfizetés elmaradása esetén a licenc is megszűnik. A szoftverért fizetendő díj típusai: jogdíj (licencdíj), amelyet a szoftver felhasználási engedélyért (licencért) kell megfizetni; a szoftver karbantartás és támogatás díja (support díj), amelyet általában képlet alapján számítanak ki (például a licencdíj meghatározott százaléka), és amely általában időszakonként előre fizetendő; a szoftverrel kapcsolatos egyéb szolgáltatásokért fizetendő díj (mint például hosting, egyedi fejlesztés, testreszabás, módosítás díja, implementációért, oktatásért fizetendő díjak), amelyeket általában az aktuális árlista alapján, vagy előre meghatározott óradíj vagy egyedi megállapodás alapján határoznak meg a felek; ha a szoftvert a gyártó felhőjében tárolják, fontos meggyőződni arról, hogy a fizetendő díj a felhővel kapcsolatos valamennyi költséget magában foglalja. CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? A díjra vonatkozó kikötések ‒ A gyártó jogosult-e az ár egyoldalú növelésére, megváltoztatására? ‒ (pl. inflációkövetés, piaci körülmények változása, árfolyamváltozás miatt) ‒ A feltüntetett árak az ÁFA-t vagy egyéb adókat, közterheket magukban foglalják-e? ‒ Kedvezmény hosszú távú szerződéskötés, vagy nagy mennyiségű licenc vásárlása esetén, illetve egyösszegű előrefizetésre vonatkozóan ‒ Kedvezmény a gyártó más termékei megvásárlására vagy ugyanezen termékre vonatkozó újabb licencek vásárlása esetén ‒ Kedvezmény, előny a járulékos szolgáltatásokra (oktatás, implementálás), vagy a support szolgáltatások díjára CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Milyen garanciális feltételeket biztosít a gyártó? A garancia (jótállás) alapján a gyártó elsősorban azt garantálja, hogy a szoftver megfelel a szoftverhez tartozó dokumentációban meghatározott leírásnak. A gyártói garancia általában: ‒ ‒ ‒ korlátozott időre korlátozott jogorvoslati lehetőségek: • a hibás szoftver javítása • licenc szerződés felmondási joga és meghatározott licenc díj visszatérítése • korlátozott összegű és fajtájú kártérítés megfizetése szoftverhiba esetén CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Gyakori szerződéses kivételek a garancia alól: „Ha a jogosult a hibát a szerződéskötés időpontjában ismerte, vagy a hibát a szerződéskötés időpontjában ismernie kellett (Ptk)” Szoftver átadása: „adott állapotában”, „minden hibájával együtt” és „megtekintett formájában” A követelményben nem rögzített funkció, célkitűzés, platform A megrendelő által okozott hiba (szándékos vagy gondatlan) A hiba abból ered, hogy nem a gyártó vagy általa felhatalmazott szolgáltató implementálja a szoftvert Ha a szoftverhiba oka olyan esemény, amely a szolgáltató ellenőrzési körén kívül esik (például vis major esetek) A szoftverhibát a felhasználó nem megfelelő szoftver használata vagy nem megfelelő, nem szakszerű telepítése okozta Ha a szoftverhibát harmadik személy károkozása, közrehatása okozza CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Ki felel a garanciáért? Ha a felhasználó vállalkozás nem közvetlenül a gyártóval szerződik, hanem valamilyen viszonteladójával, ügynökével, akkor a szerződésnek rendelkeznie kell arról, hogy kihez fordulhat a felhasználó, ha garanciális igénye merül fel. CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? Mikortól indul a garanciális időszak? a licenc szerződés létrejöttének időpontjától? a szoftver felhasználóhoz való szállításától? a szoftver telepítésétől? a szoftver első éles használatától? szoftver tesztelése esetén a szoftver tesztelés elfogadásától? Ha például 1 éves garanciális időszakot biztosít a gyártó, és a kezdő időpont a szerződés megkötésének dátuma, akkor a garanciális időszakból a szoftver első éles használatáig eltelhet akár több hónap is anélkül, hogy a felhasználó ténylegesen használná a szoftvert és kiderülhetnének a szoftver esetleges garanciális hibái. CMS Budapest Gyártói szoftverlicenc szerződések – mire kell figyelni? A gyártó felelősségkorlátozása Garancia alóli kivételek ‒ ‒ ‒ ‒ ‒ ‒ ‒ Egyéb felelősségkorlátozások a szoftver által más rendszerekben okozott károk vírus által okozott károk adatvesztés, adatfájlok meghibásodása jogosulatlan hozzáférés bevitt adatok által okozott hiba kompatibilitás más szoftverekkel összekapcsolás más rendszerekkel CMS Budapest Open source szoftverek kockázatai . CMS Budapest Free (szabad) szoftver licencek Szabad szoftverek ‒ ‒ ‒ ‒ ‒ ‒ ‒ Free Software Foundation Szabadon felhasználható Bármilyen célra Reverse engineering Módosítás, fejlesztés Forráskód nyílt Nem feltétlenül ingyenes Open source szoftverek (OSS) ‒ ‒ ‒ ‒ Open Source Initiative Nem feltétlenül ingyenes Forráskód nyílt Egyes OSS licenctípusokban különböző korlátozások lehetnek CMS Budapest OSS licencek Nem védi a szerzői jog (de igen) Bárhogyan felhasználhatók (derivative works?) Nincsenek licencfeltételeik (GPL v3, BSD, stb.) Fejlesztőik hobbi programozók (Apache - Oracle) Tévhitek Ingyenesek (nem feltétlenül) Nem biztonságosak Kockázat nélkül használhatók (viral effect?) Úgysem derül ki, ha OSS-t használunk (Skype, D-Link?) Nem lesz belőle bajunk, ha kiderül (Cisco – 500 M USD) CMS Budapest Az OSS licencek alaptípusai Típus Jellemző Strong copyleft A szoftver valamennyi módosított verzióját ugyanilyen licenc feltételekkel kell licencelni. Példa is GPL v2, GPL v3 Restricted copyleft A licenc néhány kivételt enged a módosított verzió licencelésére vonatkozóan, könnyebbé teszi a másfajta licencfeltételekkel rendelkező különböző szoftverek kombinálását. LGPL, MPL No copyleft Nem szükséges a módosított szoftvert OSS licenc alatt nyilvánosságra hozni, bármilyen licenc alatt használható a létrehozott szoftver. BSD, Apache OSS with options OSS with privilege A user választhat a különböző licenc variációk között a létrehozott módosított szoftverre vonatkozóan. Perl Artistic, Clarified Artistic OSS licenc alatt közzétett szoftverek, de hasznosítási Netscape jogait a szerző fenntartotta és további jogok Public License biztosíthatók a usernek. CMS Budapest OSS licenc kockázatok - Viral effect Viral effect = fertőző hatás ‒ A módosított, átdolgozott szoftver is csak OSS licenc alatt tehető elérhetővé/adható át ‒ Strong vagy restricted copyleft licenc esetén van viral effect ‒ Csak akkor, ha az egész módosított/létrehozott szoftver „derivative works”-nek minősül ‒ Ha nem jön létre derivative works, csak az OSS részt kell OSS licenc alatt kiadni CMS Budapest OSS licenc kockázatok - Szendvics helyzet - Felelősség és jogszavatosság Fejlesztő Megrendelő OSS A fejlesztő beragad az OSS szoftver jogosultja és a megrendelő közé. Az OSS jogosult általában kizárja felelősségét és jogszavatosságát az OSS szoftverre. A Megrendelő a fejlesztőtől követeli a felelősséget és a jogszavatosságot, amelyet a fejlesztő nem tud továbbhárítani az OSS jogosultra. Strong copyleft licencnél a fejlesztő a felelősség és jogszavatosság kizárást is köteles továbbvinni az egész szoftverre. A megrendelő nem tud teljes jogot szerezni a szoftverre. CMS Budapest OSS licenc kockázatok - Szendvics helyzet Az OSS szoftver készítők nem kötelezhetők valamennyi szoftverhiba felderítésére és kijavítására Javítási igények nem érvényesíthetők velük szemben SZENDVICS HELYZET Kellékszavatosságot, jótállást, supportot nem vállalnak A megrendelő viszont igényli a supportot, a hibajavítást és a szavatosságot/jótállást is CMS Budapest OSS licencek kompatibilitása GPL v2 Csak worldwide Strong copyleft MPL Restricted copyleft 3rd party software csak Európára ? CMS Budapest OSS licencek kompatibilitása Eredmény MPL restricted copyleft nem kompatibilis a GPL v2 strong copylefttel, a GPL v2 pedig nem kompatibilis a 3rd party szoftverrel területi hatályban, így a szoftverben nem használhatók, a kész szoftver nem terjeszthető. CMS Budapest OSS licenc megsértése - Következmények Cisco (2008, USA) Veszteség: 500 M USD CyberTan GPL kód használata a Broadcom nevében a Linuxhoz készített módosításban Broadcom A CyberTan által készített (GPL) kódot beépítette egy chip-be Linksys A Broadcom technológiáját beépítette a WRT54G broadband routerbe Cisco (2003) Megvásárolta a Linksys-t 500 millió USD-ért Free Software Foundation GPL licenc megsértéséért eljárás megindítása Cisco-val szemben Cisco Döntés: a teljes forráskódot (nemcsak a GPL-t!) nyilvánosságra kellett hozni CMS Budapest OSS licenc megsértése - Következmények Ideiglenes intézkedés: a bíróság ítélet előtt is azonnal megtilthatja a használatot, elrendelheti az eltávolítását, megtilthatja a terjesztést, értékesítést, visszahívás a forgalomból akkor is, ha a fejlesztő nem tudott róla – objektív jogkövetkezmények! Szerzői jogsértés – büntetőjogi felelősség! Kártérítés, gazdagodás (haszon elvonása) Teljes szoftver (nem csak az OSS!) forráskódjának nyilvánosságra hozatala megtérítése polgári és Nyilvános elégtételadás ügyfelek előtt és a sajtóban CMS Budapest Kockázatok elkerülése, csökkentése – Tudd, hogy mi van belül Figyelés, keresés a szoftverfejlesztés, szoftverbeszerzés, szoftver értékesítés során: ‒ Belső szoftverfejlesztők ‒ Szoftver beszállítók ‒ Szoftver debugger A megelőzés a védekezés legjobb (és egyetlen) módja. CMS Budapest Cloud computing Software-as-a-Service (SaaS) . CMS Budapest Mi az a felhőszolgáltatás? . CMS Budapest Felhőszolgáltatás fogalma A számítástechnikai felhőszolgáltatás lehetővé teszi az igény szerinti hálózati hozzáférést megosztott, konfigurálható számítástechnikai erőforrásokhoz (például hálózatokhoz, szerverekhez, tárolókhoz, alkalmazásokhoz és szolgáltatásokhoz), melyeket gyorsan lehet allokálni és használatukat lezárni, minimális menedzsment ráfordítással vagy szolgáltatói közreműködéssel (MNB 4/2019 ajánlás, National Institute of Standards and Technology) CMS Budapest Felhőszolgáltatás fogalma A felhőszolgáltatás öt lényegi ismérve a) b) c) d) e) a szolgáltatás igény szerinti, akár önkiszolgáló módon való igénybevétele; általános hálózati elérés (interneten vagy magánhálózaton keresztül); megosztottan használt erőforrások; a szolgáltató erőforrásaival több ügyfelet szolgál ki („multi-tenant” modellben), a különböző fizikai és virtuális erőforrásokat dinamikusan allokálja a felhasználói igények függvényében; az ügyfelek jellemzően nem ismerik, és nem befolyásolhatják az igénybe vett erőforrások pontos helyét, de adott esetben lehetőségük van a hely magasabb absztrakciós szinten való meghatározására (például ország, régió, vagy adatközpont szinten); a változó kapacitás-igények gyors lekövetése; mért szolgáltatás (felhasználással arányos használati díj). CMS Budapest A felhőszolgáltatások elérési modelljei Publikus Bárki számára elérhető Privát Csak egy adott entitás számára elérhető Közösségi Hibrid Több entitás által megosztott módon elérhető Az előző három típusból kettő keveredik benne Például: vállalatcsoport tagoknak, kormányzati szerveknek, ellátási lánc résztvevőinek CMS Budapest A felhőszolgáltatás típusai IaaS PaaS SaaS Infrastruktúraszolgáltatás: a szolgáltató virtuális hardvert ad, amelyre minden szoftvert a felhasználó telepít és üzemeltet. Platformszolgáltatás: a szolgáltató virtuális hardver erőforrást és alapszoftvert (jellemzően operációs rendszert, adatbáziskezelő rendszert, webszervert, alkalmazásszervert) ad, amelyre a felhasználó a saját üzleti alkalmazásait telepíti és üzemelteti (keretrendszer). Szoftverszolgáltatás: a szolgáltató felhő alapú infrastruktúrában üzemelő virtuális hardveren és az alapszoftvereken ad üzleti megoldást, melyet a felhasználó konfigurál, és részben üzemeltet. AWS, Microsoft Cloud Azure, Google AWS Elastic Beanstalk, Heroku, and Red Hat OpenShift Microsoft Outlook, Google Gmail, Dropbox, Salesforce, Google Apps Fejlesztés, tesztkörnyezet kialakítása, szoftverek elérhetővé tétele, skálázható IT kapacitás igénybe vétele Fejlesztőknek prototípus és alkalmazás fejlesztéshez, teszteléshez, üzembe helyezéshez. Kevesebb kódolás, könnyebb üzemeltetés. Szoftver igénybe vételére CMS Budapest A felhőszolgáltatás típusai Ki kontrollája? IaaS PaaS SaaS A felhőszolgáltató Virtualizáció Szerverek Tárolóeszközök Fizikai hálózat Virtualizáció Szerverek Tárolóeszközök Fizikai hálózat Futtató környezet Operációs rendszer Virtualizáció Szerverek Tárolóeszközök Fizikai hálózat Futtató környezet Operációs rendszer Alkalmazások A felhasználó vállalkozás Felhasználók Adatok Alkalmazások Futtató környezet Operációs rendszer Felhasználók Adatok Alkalmazások Felhasználók Adatok CMS Budapest A felhőszolgáltatás típusai Kinek a feladata? IaaS PaaS SaaS A felhőszolgáltatóé IT biztonság Support csak a felhőinfrastruktúrára Hordozhatóság biztosítása IT biztonság Support csak a platformra (op. rendszer, stb.) Backup a platformra Visszaállítás a platformra Hordozhatóság biztosítása Szoftverfrissítés, upgrade Szoftver karbantartás, support (2nd and 3rd level) Adat, szoftver és rendszer mentés Adat, szoftver és rendszer visszaállítás Adatbiztonság Hordozhatóság biztosítása Telepítés A felhasználó vállalkozásé Szoftverfrissítés, upgrade Szoftver karbantartás, support Adat és rendszer mentés Adat és rendszer visszaállítás Adatok letöltése Adatbiztonság Telepítés Szoftverfrissítés, upgrade Szoftver karbantartás, support Adat és szoftver mentés Adat és szoftver visszaállítás Adatok letöltése Adatbiztonság Telepítés Adatbiztonság Adatok letöltése Szoftver konfigurálás Részbeni üzemeltetés (first level support) CMS Budapest Szoftver licenc vs SaaS Szoftver licencia szerződés SaaS Szoftvert olyan hardveren telepítik, A szoftver a felhőből érhető el, az nem futtatják, amely a felhasználónál van kerül telepítésre, futtatásra a felhasználó eszközén, a felhasználó csak hozzáférést kap a szoftverhez Plusz szolgáltatásokat kínálhat hozzá a Nincs külön karbantartás, jogosult: implementáció, testreszabás, support és hosting, oktatás, hosting, karbantartás, technikai felhőszolgáltatás része support Van benne engedély szoftver technikai az a felhasználási Nincs benne szoftver felhasználási engedély, a felhasználó csak hozzáférést kap CMS Budapest SaaS jellemzői Szoftvert szolgáltató telepíti, üzemelteti Szolgáltatói központi frissítés, javítás, upgrade, karbantartás, tárolás, IT biztonság, mentések Minden felhasználó ugyanazon szoftververzióhoz kap hozzáférést az egységes központi frissítés miatt Szoftver futtatását nem a felhasználó végzi, a felhasználó csak műveleteket végez a szoftverrel - nincs szoftver felhasználási engedély SLA (rendelkezésre állás, hibaelhárítás, válaszidők) Felhasználási engedély csak módosításra, átdolgozásra, új funkciók hozzáadására kell 76 MOL Nyrt. | 2022. október 19. CMS Budapest Software-as-a-Service Szoftver licenc + Hosting + Support/karbantartás + Szoftverkövetés + Szoftver üzemeltetés egy szerződésben =/= SaaS Az SaaS lényege a technológiai modell A technológiai modell megértése szükséges a jó szerződéshez SaaS modell sokkal rugalmasabb szoftvergazdálkodást tesz lehetővé CMS Budapest A felhőre vonatkozó jogszabályok . CMS Budapest A felhőre vonatkozó jogszabályok Vannak-e specifikus jogszabályok a felhőszolgáltatásokkal kapcsolatban? DE: Általában nem – technológiasemlegesség. a polgári jogi, a fogyasztóvédelmi, (adott esetben) az elektronikus hírközlési / elektronikus kereskedelmi, az adatvédelmi, valamint a versenyjogi jogszabályok a felhőszolgáltatásokra is vonatkoznak. CMS Budapest A felhőre vonatkozó jogszabályok Egyesült Királyság - UK’s National Security and Investment Act 2021: a felhőszolgáltatókban való részesedés-szerzéshez engedély kell, ha ez hatással lehet az Egyesült Királyság nemzetbiztonságára (17 kulcsfontosságú szektor). Export tilalmak (export control) és kettős felhasználású (dual use) termékekkel kapcsolatos korlátozások. Közszférával kapcsolatos specifikus megfontolások, például: Svédország, Magyarország. CMS Budapest Önszabályozási eszközök CMS Budapest EU-s felhő szabályozások, kezdeményezések European Alliance on Industrial Data, Edge and Cloud: Common European Data Spaces, EU Cloud Rulebook EU Cloud Rulebook for cloud services: a single European framework of rules, transparency on the compliance and best practices for cloud use in Europe European marketplace for cloud services: users will have a single portal to cloud services meeting key EU standards and rules European cybersecurity agency ENISA is working on a single European cybersecurity certification scheme for cloud services. The scheme will provide increased assurance to businesses, public administrations and citizens that their data is secure wherever they are stored or processed SWIPO data portability Codes of Conduct and the CSPCERT Recommendations for a candidate European cloud security certification scheme Standardised Cloud SLA in the EU Standardised Cloud Service Level Agreements (SLA) that guarantee the quality of cloud services in the European market CMS Budapest Szektor-specifikus felhő szabályozás Az MNB „közösségi és publikus felhőszolgáltatások igénybevételéről szóló” 4/2019. (IV.1). MNB ajánlása. Célja, hogy a pénzügyi közvetítőrendszer szereplői számára gyakorlati útmutatást adjon a közösségi és publikus felhőszolgáltatások igénybevételéből eredő kockázatok kezeléséhez, valamint a vonatkozó nemzeti és európai uniós jogszabályokban, egyéb szabályozó eszközökben foglalt rendelkezések egységes alkalmazásához. Az ajánlás 2019. május 1-től alkalmazandó. Elérhető itt: https://www.mnb.hu/letoltes/4-2019-felho.pdf CMS Budapest Szektor-specifikus felhő szabályozás PRUDENCIÁLIS MODELLEZÉSI ÉS IT FELÜGYELETI IGAZGATÓSÁG Gyakori kérdések és válaszok felhőszolgáltatások igénybevételével kapcsolatban (GYIK) felho-gyik-v2.pdf (mnb.hu) CMS Budapest A felhő szerződések kérdései . CMS Budapest A felhő szerződések tárgyalhatósága Számos felhőszolgáltatás, különösen a KKVk által használt felhőszolgáltatások csak nem tárgyalható „clickwrap” kattintási szerződések révén érhetők el, ahol az ügyfél egyszerűen az „Elfogadom” gombra kattintva elfogadja a feltételeket és megkapja a szolgáltatásokat. Az ügyfélnek nincs lehetősége a feltételek (pl. felelősségkorlátozás, szolgáltató-barát feltételek) tárgyalására vagy a felhőszolgáltató specifikus átvilágítására. Még ha a szerződés tárgyalható is, bizonyos változtatások magasabb szolgáltatási díjakhoz vezetnek, mivel a felhőszolgáltató üzleti modellje a szerződési feltételek testreszabásának korlátozására épül. CMS Budapest Díjak és költségek: a számla sose annyi, mint amit beterveztek. Nem lesz olcsóbb, mint az on-premise. Alap havi szolgáltatási díj. A díj sok tételből áll össze, amelyek változnak. Bármilyen külön licencdíj vagy egyéb kötelező díjak (op. rendszer licencdíj, követési díjak). A szolgáltatás alapvető jellemzői és korlátai (például felhasználók vagy tárhely), forgalom alapú díjak CMS Budapest Költségek Költségváltozások Ár további felhasználónként vagy tárhelyenként, vagy adatforgalom után. Mennyiségi kedvezmények. Az alaptámogatás vagy karbantartási díj jellemzői és ára. A prémium támogatás vagy karbantartás jellemzői és ára. Egyéb díjköteles elemek (tréning, konfiguráció, tanácsadás, implementáció). CMS Budapest Szolgáltatási szintek A szolgáltatási szint meghatározása meg kell feleljen az ügyfél elvárásainak. − − − − Rendelkezésre állás: hány kilences? (99,9…%) Kivételek a rendelkezésre állás alól (tervezett karbantartás, első X perc, számítási mód, időszak, kötbér/service credit) Support: 1st, 2nd vagy 3rd level support? Update-ek, upgrade-ek Hibajavítás: • • • • • Hibakategóriák, ki kategorizál? Válaszidők Javítási határidők Eszkaláció Ticketing rendszer CMS Budapest Service Credit és felmondási jog Service Credit A kiszervezési szerződésekhez hasonlóan a felhőszerződések is biztosíthatnak szolgáltatási szintű jóváírásokat (service credits) - általában jóváírás formájában a következő számlán, ha a felhőszolgáltató nem éri el a szolgáltatási szintet. Általában az ügyfél havi díjának százalékában fejezik ki, az üzemidő százalékától függő skálán határozzák meg, így a szolgáltatási jóváírásokat a havi kiadásokhoz kapcsolják, és általában a havi díjak százalékában korlátozzák (maximális összeg egy adott időszakban). A legtöbbször ezek jelentik az ügyfél egyetlen és kizárólagos jogorvoslatát (vagyis az ügyfél nem perelheti a felhőszolgáltatót kártérítésért a szolgáltatás elérhetetlensége miatt). Hasznos lehet még a kiváltó okok elemzésének (root cause analysis) előírása, hogy meghatározzák a hibák okát és megelőzzék a jövőbeni hibákat. Súlyos teljesítményhiba esetén: rendkívüli felmondási jog. CMS Budapest Felhasználási feltételek „Megengedett használattal kapcsolatos policy” (Acceptable Use Policy) − bármilyen illegális tevékenység; − harmadik felek jogainak megsértése (beleértve a szolgáltatás visszafejtését) vagy bármely vonatkozó jogszabályt sértő magatartás; − jogosulatlan hozzáférés bármely hálózathoz, rendszerhez, eszközhöz vagy adathoz; − bármely hálózat, rendszer, vagy eszköz működésének jogosulatlan megszakítása; − kéretlen üzenetek küldése vagy marketing; és − rosszindulatú programok terjesztése. CMS Budapest A felhő szerződések adatvédelmi rendelkezései A felhőszolgáltató adatfeldolgozó lesz Esetenként lehet adatkezelő: ha a felhőszolgáltató saját célra kezeli a felhőben tárolt adatokat, pl. szolgáltatás továbbfejlesztése. GDPR 28. cikke szerinti adatfeldolgozói szerződést kell kötni, az ott meghatározott kötelező tartalmi elemekkel Felhőszolgáltató átvilágítása: tanúsítások, szabványok, magatartási kódexek, szabályzatok, incidens adatok, erőforrások, szakértelem, referenciák Ügyfél adatok logikai elkülönítése Incidensmenedzsment Adatvesztés, sérülés, megsemmisülés, adatvédelmi bírság, adatvédelmi incidens legyen kivétel a felelősségkorlátozás/kizárás alól CMS Budapest A felhőszolgáltató alvállalkozói (supply chain) − A legtöbb felhőszolgáltató alvállalkozói szerződésekre támaszkodik a szolgáltatásnyújtás során. Például: egy adattárolási szolgáltatásokat nyújtó felhőszolgáltató más felhőszolgáltatók szervereit használhatja (ha ez költséghatékony). − Rugalmas és széles körű jogosítványok a felhőszolgáltató oldalán az alvállalkozók igénybevételével kapcsolatban vs. működési és jogi kockázat, valamint az alvállalkozó adminisztrációja és felelősségének kérdése. − Felhőszolgáltató alvállalkozóiért. felel az CMS Budapest Adatok hordozása, visszaadása, törlése a felhőből Adattörlés GDPR 28. cikk (3) g) Az adatfeldolgozó az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő. Mi lesz a biztonsági másolatokkal? Mi történik jogvita esetén? Hogyan lehet beárazni a szolgáltatást követő feladatokat? CMS Budapest A felhőszolgáltató felelőssége Szavatosságok − A felhőszolgáltatásokat az SLA-nak szolgáltatásleírásnak megfelelően nyújtják. vagy más − „as is” - minden más kifejezett vagy hallgatólagos szavatosság (pl. a célnak való megfelelés, a megfelelő minőség, a jogsértés hiánya) a jogszabály által megengedett mértékig kizárt. − Külön ki szokták zárni: a felhőszolgáltatás vagy az azon keresztül elérhetővé tett szoftver működése zavartalan vagy hibamentes. − Jogszabályoknak való megfelelés (gyógyszeripar, pénzügyi intézmények, kormányzati szervek) – ha nem jogszabályi követelmény, akkor kizárják − SaaS esetén: specifikációnak, dokumentációnak való megfelelés − Harmadik felek szerzői jogai - jogszavatosság CMS Budapest A felhőszolgáltató felelősség korlátozása Felelősségkorlátozás A felhőszolgáltató felelőssége általában az ügyfél által - jellemzően a felelősséget megalapozó eseményt megelőző 12 hónapban fizetett díjak összegére korlátozódik. Lehetséges kivételek harmadik felek szellemi tulajdonjogainak megsértése titoktartási és adatvédelmi kötelezettségek megsértése CMS Budapest A felhőszolgáltató felelősség korlátozása Egyéb felelősségkorlátozási rendelkezések közvetett, következményes, véletlen károk felmerülése esetén „büntető jellegű kártérítés” kiszabása esetén bevételkiesés, nyereségkiesés, a várható megtakarítások elvesztése, jó hírnév sérelme, adatvesztés esetén Az ügyfelek kötelezettsége biztonsági másolatok készítése IaaS, PaaS esetén, de lehet a felhőszolgáltatóé SaaS esetén. CMS Budapest A felhőszolgáltató felelőssége – üzletmenet folytonosság Üzletmenetfolytonosság és vis maior Fontos a katasztrófahelyreállítás vagy az üzletmenetfolytonossági eljárások (BCP) vizsgálata. A számítási felhő az internetet vagy magánhálózatot használ a szolgáltatás nyújtására – kitettség: a hálózat meghibásodása, a kapcsolat elvesztése, szolgáltatáskimaradás, kiberbiztonság, adatvesztés. CMS Budapest A felhőszolgáltató felelőssége – üzletmenet folytonosság Ideális esetben az üzletmenet-folytonosság kockázatának további minimalizálása érdekében az ügyfél jogosult lehet a BCP bármely módosításának felülvizsgálatára és jóváhagyására. A valóság a felhőszolgáltatások során minden ügyfél a szállító meglévő rendszerét használja. Alternatív megoldásként az ügyfél előzetes értesítést kérhet, ha a BCP megváltozik, és felmondhatja a szolgáltatási szerződést, ha a felülvizsgált BCP nem felel meg az ügyfél saját üzletmenet-folytonossági követelményeinek. Vagy az ügyfél megadhat minimális követelményeket a BCP-re vonatkozóan (és előzetes értesítést kérhet, ha a felhőszolgáltató olyan változtatásokat tervez, amelyek nem felelnek meg ezeknek a feltételeknek). CMS Budapest A felhőszolgáltató felelőssége – vis maior Figyelni kell a felhőszolgáltatási szerződés vis maior rendelkezésének megfogalmazásakor - sok esetben a felhőszolgáltató észszerű ellenőrzése alá eső események esetében is kizárják a felelősséget, illetve olyan esetben, amikor a kockázatot a felhőszolgáltatónak kellene viselnie (vírus, malware, internet, áramkimaradás, stb.) Csak akkor mentesüljön a felhőszolgáltató a felelősség alól, ha megpróbálta végrehajtani a BCP-t, de a vis maior esemény miatt nem tudta megtenni. Biztosítás. CMS Budapest Felhőszolgáltatás a pénzügyi szektorban . CMS Budapest Felhőszolgáltatás a pénzügyi szektorban (MNB ajánlás) Teendők felhő igénybe vétele esetén: IT/IT sec Compliance/jog IT kockázatelemzés Átvilágítás (alkalmasság, jó hírnév, pénzügyi helyzet, etikai standardok, conflict, HR, kapacitás, adatvédelem, IT security, adatelkülönítés Kiszervezési elemzés (Kiszervezés? Kritikus/fontos funkció?) Szerződés kötelező elemei Felhő előny-hátrány elemzés (üzleti igényekre alkalmas-e, más szolgáltatások figyelembe vétele, kockázatok, IT sec költségek, adat migrálás, kilépési költségek és lehetőségek) Kiszervezési szabályzat 102 MOL Nyrt. | 2022. október 19. CMS Budapest Felhőszolgáltatás a pénzügyi szektorban (MNB ajánlás) Teendők felhő igénybe vétele esetén: IT/IT sec Compliance/jog Lényegességi értékelés (a felhővel végzett tevékenység lényeges-e) Előzetes kockázatelemzés (várt előnyök és költségek, működési kockázatok, IT és jogi kockázatok, szolgáltatás helye, BCR) Exit stratégia, akcióterv a felhőszolgáltatás megszüntetésére, kockázatcsökkentési intézkedések MNB bejelentés: felhő és kiszervezés is! Felhőszolgáltatások nyilvántartása Kiszervezett szolgáltatások nyilvántartása 103 MOL Nyrt. | 2022. október 19. CMS Budapest Felhőszolgáltatás a pénzügyi szektorban (MNB ajánlás) A felhő szerződések kötelező tartalmi elemei: Felhő ajánlás kötelező szerződéselemek 104 MOL Nyrt. | 2022. október 19. Kiszervezési ajánlás kötelező szerződéselemek (ha kiszervezés is) CMS Budapest Felhőszolgáltatás a pénzügyi szektorban (MNB ajánlás) Legfontosabb szerződéses rendelkezések: Audit jog a felügyeletnek – alvállalkozók felett is, helyszíni ellenőrzés Üzletmenet folytonosság: vis maior, felmondási idők, szerződés megszűnése utáni továbbszolgáltatás Speciális felmondási jogok az ügyfélnek Szerződésmódosítás, változásmenedzsment szabályok és eljárásrend IT és adatbiztonság, adattárolás helye SLA-k, KPI-ok, kötbérek, felelősség, mérés és ellenőrzés 105 MOL Nyrt. | 2022. október 19. CMS Budapest Felhőszolgáltatás a pénzügyi szektorban (MNB ajánlás) Legfontosabb szerződéses rendelkezések: Adattörlés, visszaszolgáltatás Tanúsítás 42/2015 Korm. rendelet szerint Biztosítékok, garanciák, kártérítés IP jogok, licencek Visszaélés felderítés támogatása 106 MOL Nyrt. | 2022. október 19. CMS Budapest DORA rendelet szerinti feladatok a felhőszolgáltatásokra Újdonságok az MNB ajánlásokhoz képest: IT biztonsági stratégia, kiberbiztonsági szabályzatok (információbiztonsági, hálózatbiztonsági, jogosultság és hozzáférés kezelési szabályzat, stb.) eljárások (tesztelés, audit, változásmenedzsment, mentés, incidenskezelés, BCP, DRP), protokollok és eszközök kötelező tartalommal nemzetközi standardokon alapuló információbiztonsági irányítórendszer három védelmi vonal modellnek megfelelően az irányítási, kontroll és belső ellenőrzési funkciók különválasztása ICT kockázatkezelési keretrendszer éves felülvizsgálata ICT ellenőr az ICT kockázatkezelési keretrendszer ellenőrzésére digitális reziliencia stratégia kötelező tartalommal kockázati forgatókönyvek készítése és éves felülvizsgálata kötelező tartalommal válságkommunikációs terv és médiaszóvivő a mentési rendszernek az alaprendszertől eltérő védett környezetben, attól elkülönülten kell lennie, a katasztrófa helyreállítási helyszínnek (DR site) pedig földrajzilag elkülönültnek, azonnal hozzáférhetőnek és a kulcsszolgáltatások ellátására képesnek kell lennie 107 MOL Nyrt. | 2022. október 19. CMS Budapest Megszerzett jogok, hozzáférések – AI licencia házassága az on-prem és cloud modellekkel Mi ez? AI megoldás Gépi tanulási algoritmus, neurális hálózat Kié? Ki használhatja? Fejlesztőé/szolgáltatóé Csak licencia/hozzáférés Terület/entitás/tiltott használat/etikus használat Tanító adatok és instrukciók Adatbázis tanításra Fejlesztő/használó Adatvédelem, forrás: egy user vagy több, AI user group, Big data Production data Betáplált adatok, amivel az AI az eredményt létrehozza On-prem: használóé Cloud: szolgáltatóé/használóé/AI user group adatok Egy vagy több felhasználónak van joga AI kimeneti eredmény A production data alapján létrehozott eredmény On-prem: használóé. Cloud: Customer Content – használóé. Output =/= Customer Content Ha a szolgáltató tanította, a kimenetre használati jogot szerezhet (adatvédelem!) AI evolúció Az AI megoldás tanításon és azt követő használaton alapuló iterációja Statikus AI: szolgáltatóé. Dinamikus AI: többszereplős kérdés, közös jog vagy kijelölt jogosult