2. számú melléklet: Üzleti felhőszolgáltatással és azt biztosító központtal szemben támasztott követelmények A GINOP 3.2.4 támogatási kérelemmel együtt beadott vállalati / üzleti felhőközpont / szolgáltatás megvalósíthatóság tanulmány kidolgozásakor szükséges az alábbi követelmények figyelembevétele és azok teljesítésének részletes kifejtése a jelen dokumentumban meghatározott struktúrában: 1. Az üzleti felhőszolgáltató (IaaS, PaaS vagy SaaS) központ műszaki követelményei Ebben a pontban azokat az alap műszaki követelményeket határozzuk meg, melyek teljesítése elengedhetetlenül szükséges ahhoz, hogy a KKV-k számára – a konstrukció céljaival összhangban – minőségi üzleti felhőszolgáltatást nyújtsanak a támogatott IT vállalatok. a)
Minimum felhasználói követelmények
A felsorolt felhasználói követelmények – amennyiben az adott felhőben szolgáltatott üzleti megoldásnál értelmezhető – betartása kötelező, nem teljesítése kizáró ok. –
Magyar nyelvű felhasználói felület: Az alkalmazások biztosítsanak magyar nyelvű környezetet a felhasználói felületen (teljes a magyar ékezetek alkalmazása, magyar nyelvűek a legördülő és hierarchikus menük, a nézetek, a megtekintési listák, a mezőnevek, a gombok, a hibaüzenetek, az összes, illetve az aktuális műveletre vonatkozó súgó információk stb.).
–
Többnyelvűség: az infrastruktúra menedzsment megoldásnak, a platform keretrendszerének, illetve az alkalmazásnak képesnek kell lennie továbbfejlesztés (a szolgáltatás funkcionális elemeinek változtatása) nélkül biztosítani a több (a magyaron kívül még legalább három EU-ban is hivatalosan használt) nyelven történő elérhetőséget, ha arra szükség lesz (pl. a Felhívás 4.4.2 rész 3. Tartalmi értékelési 17. szempont vállalásakor a projekt zárásakor).
–
Magyar nyelvű felhasználói kézikönyv: a nyújtott szolgáltatásokhoz legalább magyar nyelvű kézikönyvet kell biztosítani.
–
Felhasználó oldali platformfüggetlenség: Az üzleti felhőszolgáltatónak olyan megoldást kell szolgáltatnia, amely operációs rendszer tekintetében a Magyarországon használt PC (Windows, Mac Os X, Linux) és mobil (Android, IOS, Windows Phone) kliensek legalább 85%-án futtatható.
–
Jogosultság kezelés: A rendszer alkalmazzon jogosultságkezelést a felhasználók azonosításával és a különböző funkciók elérhetőségének jogosultsághoz rendelésével.
Az egyes szolgáltatott üzleti IaaS, PaaS vagy SaaS megoldásokban biztosítani kell, hogy a szolgáltatást igénybevevő egyes jogi személyek (KKV-k) csakis és kizárólag a saját adataikhoz férjenek hozzá.
Biztosítani kell, hogy az alkalmazások felhasználói egyedi azonosítókon keresztül férjenek hozzá az alkalmazáshoz.
A rendszer tegye lehetővé, hogy a felhasználó a felhő alkalmazás(ok)ba való belépéskor csak egyszer azonosítsa magát és ezután a rendszer minden releváns alkalmazás(ai)hoz további autentikáció nélkül hozzáférhessen, amennyiben azt úgy igényli a felhasználó.
A jogosultság kezelésben meg kell különböztetni az üzemeltetői és felhasználói jogosultságokat.
Biztosítani kell a jelszavak felhasználó általi változtatását. Az alkalmazások a jelszavakat csak titkosítva tárolhatják.
–
Naplózás: Az egyes egyedi felhasználók rendszerbe történő be és ki jelentkezését naplózni kell.
–
Jogszabályi megfelelés: Az üzleti felhőszolgáltatásként nyújtott alkalmazásnak meg kell felelni a vonatkozó jogszabályoknak (pl. pénzügyi / számviteli megoldások esetében a számviteli törvényben előírtaknak), a jogszabályi környezet változásait legkésőbb az adott jogszabály hatálybalépéséig, vagy a jogszabály változásban előírtak szerint le kell követnie.
–
Terméktámogatás: Az üzleti felhőszolgáltatásként nyújtott alkalmazásnak a gyártó vagy fejlesztő (ill. a terméktámogatásra a gyártó vagy fejlesztő által felhatalmazott szervezet) által támogatott megoldásnak legalább a projekt megvalósítási időszakának végétől 5 évig támogatottnak kell lenni vagy legyen követő verziója, amelyre ezen időszak alatt díjmentes az átállás.
–
Verzió kezelés: A felhőben az infrastruktúra/platform/alkalmazás verziókezelése legyen támogatott.
–
Biztonságos kommunikáció: Az alkalmazás legyen képes HTTPS biztonságos kommunikációra.
–
Testre szabhatóság: Az alkalmazás olyan módon legyen kialakítva, hogy paraméterezéssel könnyen testre szabható legyen megfelelve az általános vállalati (célcsoport) elvárásoknak. b)
Architektúra követelmények
A felsorolt architektúrális követelmények – amennyiben az adott felhőben szolgáltatott üzleti megoldásnál értelmezhető, azaz ha a támogatási kérelem keretében keretében történik az architektúra kiépítése, eszközök beszerzése vagy a támogatást igénylő saját tulajdonban lévő architektúrával rendelkezik és ezt felhasználja a szolgáltatás biztosításához – betartása kötelező, nem teljesítése kizáró ok. –
Robosztus architektúra: Az alkalmazások architektúráját úgy kell megtervezni és megvalósítani, hogy az képes legyen a megcélzott számú felhasználó biztonságos és gyors kiszolgálására.
–
Kliens- szerver architektúra: a szolgáltatott alkalmazás kettő, vagy több rétegű architektúrára kell épüljön.
–
Méretezhetőség: Az alkalmazások architektúrájának (hardver és szoftver) biztosítania kell a megcélzott felhasználó számhoz szükséges méretre való felbővítését.
–
Hibatűrő, redundáns kialakítás: A szolgáltató központoknál olyan mértékben szükséges hibatűrő, redundáns infrastruktúrát kialakítani, amely összhangban áll a vállalt szolgáltatási szint (kiemelten a rendelkezésre állás) paraméterekkel.
–
Integrált és szigetszerű működés: szabványos, dokumentált interfész biztosítása, ha ez releváns, legalább egy, az adott piacon elterjedt vállalati alkalmazáshoz.
–
Felhasználói interfész: Az alkalmazások felhasználói interfészét az egyes alkalmazások esetében úgy kell kialakítani, hogy azok biztosítsák az alkalmazás képernyők, oldalak elvárható sebességű, elérhetőségét az általánosan elterjedt, kereskedelmi forgalomban rendelkezésre álló szélessávú internet kapcsolatokon keresztül. c)
–
Infrastrukturális követelmények Az alkalmazásokat futtató hardver környezetet minimálisan a következő paraméterekkel rendelkező gépteremben (hosting) kell elhelyezni a gyártó által előírt követelmények betartásával:
a gépek hőtermelésének megfelelő légkondicionálás;
az eszközök illetéktelen személyek általi hozzáférése elleni védelme;
az előírásoknak megfelelő tűzvédelmi infrastruktúra;
a bekapcsolt KKV-k számának, felhasználóinak, és a használt alkalmazásoknak megfelelő sávszélességű hálózati (szélessávú internet) csatlakozás;
a gépek teljesítmény felvételének megfelelő, szünetmentes áramellátást biztosító rendszer;
–
Biztosítani kell az alkalmazások által kezelt adatok rendszeres mentéséhez szükséges backup rendszert;
–
Biztosítani kell a szolgáltatói rendszer szoftver, hardver, és hálózati elemeit monitorozni képes felügyeleti rendszert minimálisan olyan mértékig, melynek segítségével a vállalt SLA szintek mérhetők; d)
Mentési követelmények
–
Adatok mentése, archiválása: Biztosítani kell az adatok és rendszerek időszakos napi, heti, havi, éves mentését a vállalt szolgáltatási szinthez illeszkedő mentési rend alapján. A rendszerek tegyék lehetővé a rendszer és rendszerparaméterek mentését is (sys backup). Követelmény az adatmentés, archiválás korszerű, hibamentes és konzisztens teljesítése, ezért az ügyféladatok CD-re, DVD-re történő (folyamatos) kiírása nem elegendő, illetve elfogadható.
–
Adatok és a rendszer visszatöltése: A rendszerek biztosítsák a mentett adatok és a rendszerparaméterek hibamentes, konzisztens visszaállítását.
–
Adatok elérhetősége: Az elektronikus adathordozókon tárolt adatok, állományok utólagos elolvasását, használatát mindenkor biztosítani kell az erre szolgáló eszközök esetleges módosítása, cseréje esetén is.
2. Az üzleti felhőközpontban működtetett szolgáltatásmenedzsmenttel szemben támasztott követelmények A támogatási kérelmet benyújtónak az üzleti felhőszolgáltató központ szolgáltatásmenedzsmentjét az ebben a fejezetben leírt ajánlások szerint kell kialakítani a szolgáltatások indulásáig. Az előírt követelmények illeszkednek a vonatkozó nemzetközi szabványok (ITIL - ISO 20000-1) előírásaihoz, de nem követelik meg azok teljes körű alkalmazását és minősítés megszerzését, kivéve akkor, ha a kedvezményezett ITIL (ISO 20000-1) szabvány bevezetésére vállalást tesz többlet értékelési pontért (lásd Felhívás 4.4.3 rész 15. szempont) . A támogatást igénylőnek a szolgáltatás menedzsment alatt a következő területeket kell szabályozni, és egyrészt a támogatási kérelem Megvalósíthatósági tanulmányában a főbb paramétereket megadni, másrészt a megvalósítás eredményeként felálló szolgáltatóközpont működését tételesen kidolgozott eljárások mentén szabályozni:
Szolgáltatási szint biztosítás, és szolgáltatásjelentés
Kapacitásgazdálkodás
Rendelkezésre állás menedzsment
IT szolgáltatásfolytonosság menedzsment
Konfigurációkezelés
Változáskezelés
Kiadáskezelés
Incidenskezelés
Problémakezelés
Alkalmazás és infrastruktúra üzemeltetés
Szolgáltatásértékesítés és bevezetés
Az alább részletesen kifejtett elvárások mentén kell kidolgozni a Kedvezményezettnek a szolgáltatási menedzsment szabályozást, melyet a projekt megvalósításának zárására el kell készítenie, a projekt megvalósításának Támogató általi dokumentum alapú és helyszíni ellenőrzésein be kell mutatni. a) Szolgáltatási szint biztosítás és szolgáltatásjelentés A szolgáltatási szint biztosítása az a folyamat, amely meghatározza az üzleti igények szerinti IT szolgáltatási követelményeket, definiálja és megtárgyalja az ügyféllel a szolgáltatási célokat, azokat a szolgáltatási szint megállapodásban (Service Level Agreement) rögzíti, majd implementálja, figyeli, folyamatosan értékeli és menedzseli azokat.
Követelményrendszer A szolgáltatási szint biztosítási folyamatok, tevékenységek hatékony ellátásának biztosítása érdekében az üzleti felhőközpontokat működtető szervezeteknek a szolgáltatási szint biztosítási folyamatot az alábbi követelmények figyelembevételével kell megszervezniük és működtetniük: –
Szolgáltatási szint megállapodások felülvizsgálata: A szolgáltatási szint megállapodás alapú szerződéseket minimum a szolgáltatási szerződésben vállalt gyakorisággal felül kell vizsgálni.
–
Szolgáltatásmenedzsment egyeztetések: Az ügyfelek igényei alapján, szolgáltatás menedzsment kérdésekben egyeztetéseket kell az IaaS, PaaS vagy SaaS üzleti felhőszolgáltatónak szervezni. Az ügyfelek által egy adott időszakon (pl. egy éven) belül kérhető szolgáltatásmenedzsment egyeztetések számát a felhőszolgáltató a szolgáltatási szerződésben korlátozhatja.
–
Szolgáltatási szint jelentések: Az üzleti felhőközpontot működtető szervezetnek szolgáltatási szint jelentést kell készítenie minimum az alábbi tartalommal:
–
A támogató közreműködő szervezet monitoringja számára szükség esetén helyszínen ellenőrizhetően negyedéves gyakorisággal havi, negyedéves és éves összesített statisztikák a központhoz bejelentett incidensekről és változás, illetve szolgáltatás kérésekről, valamint a szolgáltatási szint paraméterek teljesüléséről és azok időbeli változásáról;
Az üzleti felhőszolgáltatásokat igénybe vevő ügyfelek részére az egyedi szolgáltatási szerződésben rögzített gyakorisággal, de minimum negyedévente havi, negyedéves és éves statisztikák a felhőközponthoz bejelentett incidensekről és változás, illetve szolgáltatás kérésekről, valamint a szolgáltatási szint paraméterek teljesüléséről és azok időbeli változásáról;
Ügyfelelégedettség felmérés: Az üzleti felhő központot működtető szervezetnek a fenntartási időszakban legalább éves rendszerességgel ügyfél-elégedettségi felmérést ajánlott lebonyolítania a szolgáltatások felhasználói körében, melynek keretében a megkérdezetteknek minimálisan az egyes szolgáltatások minőségi paramétereinek fontosságát és a szolgáltatások minőségi paramétereknek való megfelelését kell értékelniük egy 5-ös skálán (5 a legjobb, 1 a legrosszabb érték). b) Kapacitásgazdálkodás
A kapacitásgazdálkodási folyamat feladata, hogy a lehető leghatékonyabb módon biztosítsa az IT infrastruktúra ügyfél igényekhez illeszkedő kapacitását, azaz azt, hogy minimális legyen az IT erőforrások túlterhelése, illetve azok alacsony kihasználtsága. Követelményrendszer Az üzleti felhőszolgáltatónak kapacitásgazdálkodási folyamatot kell kialakítani és működtetni az alábbi követelmények figyelembevételével: –
Szolgáltatás és eszköz monitoring: A szolgáltató központot működtető szervezetnek biztosítania kell a szolgáltatások és eszközök kapacitásgazdálkodás szempontjából lényeges paramétereinek rendszeres mérését.
A szolgáltató központot működtető szervezetnek az egyes infrastruktúra-, platform- vagy alkalmazásszolgáltatások esetében minimálisan az alábbi paraméterek méréséről kell gondoskodnia a garantált szolgáltatási idősávon belül:
Párhuzamosan bejelentkezett felhasználók száma legalább óránkénti bontásban;
Adatbázis tranzakciók száma legalább óránkénti bontásban;
Szolgáltatáshoz kapcsolódó adatbázis, felhasznált tárolóhely kapacitás növekedési üteme;
Az üzleti felhőszolgáltató központot működtető szervezetnek az egyes IT erőforrások esetében minimálisan az alábbi paraméterek méréséről kell gondoskodnia a garantált szolgáltatási idősávon belül:
Web, alkalmazás és adatbázis szerverek esetében: o
CPU kihasználtság legalább óránként;
o
Memória kihasználtság legalább óránként;
o
Háttértár kihasználtság legalább hetente;
o
Hálózati forgalom;
Hálózat esetében: o
Rendelkezésre álló sávszélesség kihasználtsága legalább óránként;
o
Adatforgalom legalább naponta;
–
Szolgáltatás és eszköz monitoring adatok gyűjtése: Az IaaS, PaaS vagy SaaS üzleti felhőszolgáltató központot működtető szervezetnek a működtetett monitoring rendszerek által gyűjtött adatokat, illetve az azokból összeállított idősorokat legalább 1 évre visszamenőleg meg kell őriznie, és kérésre át kell adnia az ügyfél KKV-k részére.
–
Monitoring adatok elemzése: A működtetett monitoring rendszerek által gyűjtött adatokat az üzleti felhőszolgáltató központot működtető szervezetnek rendszeresen elemeznie kell, fel kell tárnia a gyűjtött adatok tekintetében megfigyelhető trendeket, a normál / várt működéstől eltérő, kirívó mérési eredményeket és szükség esetén azok okát. A gyűjtött adatok alapján a szolgáltató központot működtető szervezetnek elemeznie kell a jövőben várható kapacitáskihasználtságot is.
–
Erőforrások hangolása: A gyűjtött monitoring adatok elemzése alapján az üzleti felhőszolgáltató központot működtető szervezetnek gondoskodnia kell az IT erőforrások megfelelő hangolásáról.
–
Szükséges változtatások végrehajtása: A gyűjtött monitoring adatok elemzése alapján a szolgáltató központot működtető szervezetnek gondoskodnia kell a szolgáltatási szint megállapodásban meghatározott szolgáltatási szintek biztosítása érdekében szükséges IT beruházások változáskezelési folyamat keretében történő megvalósításáról.
–
Kapacitás problémák kezelése: Az ügyfél KKV-k az üzleti felhőszolgáltató központot működtető szervezetnek kapacitásgazdálkodáshoz kapcsolódó problémákat, incidenseket is bejelenthetnek, amelyeket a normál incidens menedzsment, illetve kapcsolódó problémamenedzsment folyamat keretében az üzleti felhőszolgáltató központoknak ki kell vizsgálnia. A szolgáltatási
szint megállapodásban meghatározott szolgáltatási szintek a kapacitásgazdálkodással kapcsolatos incidensekre is kiterjednek. –
Kapacitás tervek elkészítése: A feltárt üzleti igények és a gyűjtött monitoring adatok elemzése alapján az üzleti felhőszolgáltató központot működtető szervezetnek legalább éves rendszerességgel üzleti szintű kapacitástervet kell készítenie. c) Rendelkezésre állás menedzsment
A rendelkezésre állás menedzsment az a folyamat, amely a szolgáltatási szint megállapodásban (Service Level Agreement) rögzített rendelkezésre állási paramétereket méri, azok teljesítése érdekében a szükséges beavatkozásokat kidolgozza, végrehajtja. Követelményrendszer Az üzleti felhőszolgáltató központot működtető szervezetnek rendelkezésre állás menedzsment folyamatokat kell kialakítani, azokat működtetni és ellenőrizni kell, az alábbi követelmények figyelembe vételével: –
Szolgáltatás monitoring: Az üzleti felhőszolgáltató központot működtető szervezetnek ügyfelenként biztosítania kell az infrastruktúra-, platform- vagy alkalmazásszolgáltatások rendelkezésre állásának mérését.
–
Az IaaS, PaaS vagy SaaS üzleti felhőszolgáltató központot működtető szervezetnek az egyes infrastruktúra-, platform- vagy alkalmazásszolgáltatások esetében a rendelkezésre állás mérési rendszerét úgy kell kialakítania, hogy képes legyen megkülönböztetni a saját felelősségi körébe tartozó szolgáltatás kiesési időszakokat az ügyfél KKV-k felelősségi körébe tartozó szolgáltatás kiesési időszakoktól. Tipikusan szabályozandó a hálózati (Internet) csatlakozás, a felhasználó telephelyén elhelyezett, de az üzleti felhőszolgáltató tulajdonát képező eszközök (pl. szerver) kieséséből eredő szolgáltatás kiesési idő felelősének meghatározása, ennek hatása a rendelkezésre állás paraméter értékére, stb.
–
Rendelkezésre állás mérési adatok gyűjtése: A szolgáltató központot működtető szervezetnek a rendelkezésre állási / szolgáltatás kiesési adatokat legalább 5 évre visszamenőleg meg kell őriznie, és kérésre át kell adnia szolgáltatást igénybe vevő KKV részére.
–
Rendelkezésre állás mérési adatok elemzése: A rendelkezésre állási / szolgáltatás kiesési adatokat az üzleti felhőszolgáltató központot működtető szervezetnek elemeznie kell, fel kell tárnia a szolgáltatás kiesések okát, és a problémakezelési, illetve változáskezelési folyamat keretében meg kell határoznia a szolgáltatás kiesések megelőzésének, vagy lehető leggyorsabb elhárításának módszereit.
–
Szükséges változtatások végrehajtása: A gyűjtött rendelkezésre állási adatok elemzése alapján a szolgáltatás kiesések megelőzése, illetve elhárítása, és a szolgáltatási szint megállapodásban meghatározott rendelkezésre állási paraméterek betartása érdekében az üzleti felhőszolgáltató központot működtető szervezetnek gondoskodnia kell a szükséges változtatások, illetve beruházások végrehajtásáról.
–
IT infrastruktúra tervezés a rendelkezésre állási követelményeknek megfelelően: Az üzleti felhőszolgáltató központot működtető szervezetnek a szolgáltatási infrastruktúrát úgy kell megterveznie, illetve továbbfejlesztenie, hogy az képes legyen megfelelni az ügyfél KKV-k rendelkezésre állási követelményeinek. d) IT szolgáltatásfolytonosság menedzsment
Az IT szolgáltatásfolytonosság menedzsment keretében az üzleti felhőszolgáltatást nyújtó szervezetnek fel kell készülni az esetleges rendkívüli események hatására történő szolgáltatás kiesések kezelésére, ilyen esetekben a szolgáltatás minél gyorsabb visszaállítására. Követelményrendszer –
Üzleti hatás elemzés készítése: Az üzleti felhőszolgáltatások megtervezésekor a szolgáltatást nyújtó szervezetnek figyelembe kell vennie az egyes infrastruktúra- vagy platformszolgáltatásokkal vagy alkalmazásokkal támogatott ügyfél oldali folyamatok feltételezett, üzleti tevékenységre gyakorolt hatását. Ennek elemzése alapján kell meghatározni a maximális elfogadható szolgáltatás kiesési időket. A KKVk-al kötött szolgáltatási szerződésben rögzíteni kell a szolgáltatásfolytonosságra vonatkozó paramétereket.
–
Kockázatelemzés készítése, szükség esetén felülvizsgálata: Az üzleti felhőszolgáltató központot működtető szervezetnek meg kell határoznia az IT szolgáltatásokhoz és erőforrásokhoz kapcsolódó, folyamatos működésüket befolyásoló kockázatokat, illetve azok mértékét és ez alapján az egyes infrastruktúra-, platform- vagy alkalmazásszolgáltatásokat és IT erőforrásokat kockázati kategóriákba kell sorolnia.
–
Kockázatmenedzsment: Az üzleti felhőszolgáltató központot működtető szervezetnek a kockázatfelmérés eredménye alapján kockázatcsökkentő intézkedéseket kell megfogalmaznia, végrehajtania.
–
Informatikai Katasztrófa-elhárítási Terv készítése, eljárások kidolgozása, tesztelése és azok felülvizsgálata: az üzleti felhőszolgáltatást nyújtó szervezetnek olyan Informatikai Katasztrófaelhárítási Tervet kell készíteni és olyan eljárásokat kell kidolgozni, amelyek jelentős hatású incidens bekövetkezése esetén is lehetővé teszik az üzleti felhőszolgáltató központ számára a szolgáltatások folyamatos nyújtását, illetve azok visszaállítását és helyreállítását a szolgáltatási szerződésekben vállalt feltételek szerint.
–
Tesztelés: Az üzleti felhőszolgáltató központot működtető szervezetnek rendszeresen, legalább évente, illetve a szolgáltatásokban bekövetkező változásokkal összhangban dokumentált módon tesztelnie kell a szolgáltató központ szolgáltatás visszaállítási képességeit. e) Információvédelem irányítása
Az információvédelem irányítása folyamatok megszervezésének célja, hogy az üzleti felhőszolgáltató a szolgáltatási szerződésekben vállalt adatvédelmi és titoktartási kötelezettséget maradéktalanul teljesíteni tudja.
Az előírt követelmények illeszkednek a vonatkozó nemzetközi szabványok (elsősorban ISO 27001) előírásaihoz, de nem követelik meg azok teljes körű alkalmazását és minősítés megszerzését, kivéve akkor, ha a kedvezményezett ISO 27001 (IT Biztonság) szabvány bevezetésére vállalást tesz többlet értékelési pontért (lásd Felhívás 4.4.3 rész 16. szempont) Követelmények Az IaaS, PaaS vagy SaaS üzleti felhőszolgáltatást nyújtó szervezetnek biztonsági szabályozási rendszert kell kidolgoznia és működtetnie, minimum az alábbi tartalommal: –
Biztonsági irányelvek meghatározása: az informatikai infrastruktúra beszerzésénél, fejlesztésénél, üzemeltetésénél és selejtezésénél alkalmazandó általános biztonsági elvárások megfogalmazása.
–
Biztonsági szabályzat kidolgozása: Az üzleti felhőszolgáltatónak a biztonsági irányelvek alapján, biztonsági szabályzatot kell kidolgozni, biztosítani kell annak betartását, alkalmazását és felülvizsgálatát minimum az alábbi területekre vonatkozóan:
Szabályozniuk kell az IT eszközök és erőforrások kezelését és osztályozását IT biztonsági szempontból;
Szabályozni kell a személyi / személyzeti biztonság kérdéseit;
Szabályozni kell az IT eszközök és erőforrások fizikai védelmét;
Szabályozni kell az üzemeltetett, illetve használt rendszerek hozzáférés ellenőrzését (beleértve, de nem kizárólag a jelszavak használatának szabályozását);
Szabályozni kell az információs rendszerek beszerzésére, fejlesztésére, telepítésére és fenntartására vonatkozó biztonsági kérdéseket;
Szabályozniuk kell az alkalmazott titkosítási eljárásokat és azok használatát (amennyiben szükséges ilyen titkosítási eljárások használata a nyújtott szolgáltatásoknál);
Szabályozni kell a biztonsági incidensek kezelését; f) Konfigurációkezelés
A konfiguráció kezelés szabályozásának a célja, hogy a szolgáltatás nyújtásához használt szoftver és hardver infrastruktúra mindenkori pontos konfigurációja dokumentált, ezáltal kontrollált és reprodukálható legyen. Követelmények Az üzleti felhőszolgáltató központot működtető szervezetnek konfigurációkezelési folyamatot kell kidolgoznia és működtetnie, minimum az alábbi feltételekkel: –
Konfigurációs elemek nyilvántartása: Az üzleti felhőszolgáltató központ működése szempontjából releváns konfigurációs elemek adatait és azok kapcsolatait nyilván kell tartani. Relevánsnak tekintendő minden lényeges, nyújtott szolgáltatáshoz kapcsolódó IT erőforrás / konfigurációs elem, beleértve, de nem kizárólag:
Szerverek;
Alapszoftver példányok (pl. operációs rendszerek, adatbázis-kezelők, vírusvédelmi eszközözök a futtató szerverhez kapcsolódóan);
Futó üzleti és egyéb támogató alkalmazás példányok (instance-ok szerverhez kapcsolódóan);
Rendelkezésre álló és felhasznált szoftver licenszek;
Interfészek;
Adatbázisok;
Szolgáltató oldali hálózati eszközök
Ügyfél telephelyén elhelyezett és szolgáltató központ által üzemeltetett eszközök (szoftver és hardver);
Egyéb infrastruktúra elemek (pl. mentő eszközök, szoftverek, tűzfal);
Alvállalkozók által nyújtott szolgáltatások (pl. Internet szolgáltatás);
Rendszer, folyamat és szabályozási dokumentációk;
Ügyfél szervezetek, telephelyek és szolgáltatásnyújtásban ügyfél oldalon közreműködő munkatársak (üzemeltető szervezet tagjai, kulcsfelhasználók, végfelhasználók, szolgáltatás menedzserek);
Szolgáltatás nyújtásában közreműködő szereplők;
–
Konfiguráció változások követése, kezelése: Az üzleti felhőszolgáltató központ működése szempontjából releváns konfigurációs elemek változásait követni (dokumentálni) kell, a konfigurációs elemek változáskezelési eljárásait szabályozni kell.
–
Hiteles szoftver tár működtetése: Az üzleti felhőszolgáltató központot működtető szervezetnek hiteles szoftver tárat kell kialakítani és működtetnie, amelyben nyilvántartja a támogatott szoftver elemek bevizsgált, jóváhagyott (telepítő) verzióit, illetve azok másolatát. A hiteles szoftver tárat legalább logikailag el kell különíteni a fejlesztési, teszt és éles környezettől. A szolgáltató központot működtető szervezetnek gondoskodnia kell a hiteles szoftver tár mentéséről és a mentések biztonságos tárolásáról. g) Változáskezelés
A változáskezelési folyamatok működtetésének a célja, hogy minden, a szolgáltatói rendszer változtatására irányuló igény, kérés, annak végrehajtása vagy esetleges elutasítása dokumentáltan követhető, visszakereshető legyen. Követelmények Az üzleti felhőszolgáltató központot működtető szervezetnek változáskezelési folyamatokat kell kidolgoznia és működtetnie, az alábbi feltételekkel: –
A változáskezelési folyamatoknak minimum az alábbi típusú változás igények kezelésére kell kiterjedni:
–
Ügyfél (KKV) oldali szolgáltatás igények kezelése;
Ügyfél (KKV) oldali változás igények kezelése (az ügyfél szervezetek által feladott – konfigurációváltozást okozó – változás kérelmek);
Belső változáskezelés (az üzleti felhőszolgáltató központ működtetése során felmerülő belső – pl. incidensekhez, problémákhoz kapcsoló – változás igények);
A változáskezelési folyamatnak szabályozni kell:
a változás igény fogadását, rögzítését;
a változási igény jóváhagyását / elutasítását;
a szükséges változtatás megtervezését, végrehajtását, ellenőrzését;
a változást kezdeményező és a változás által érintett ügyfél KKV-k tájékoztatását;
–
Konfigurációs változások végrehajtása: Amennyiben egy változás végrehajtása a konfigurációs elemek változásával jár, az üzleti felhőszolgáltató központot működtető szervezetnek gondoskodnia kell a konfigurációs adatok szükséges megváltoztatásáról. IT eszköz konfigurációs adatainak változtatását kizárólag változáskezelési eljárás keretében szabad végrehajtani.
–
Hierarchikus eszkaláció: A változás és szolgáltatás igények végrehajtása során felmerülő problémákat továbbítani kell nagyobb (megfelelő) hatókörrel rendelkező szerepkört betöltő személyek felé. h) Kiadáskezelés
A kiadáskezelés célja, hogy az üzleti felhőszolgáltatást nyújtó kiadásai (verziói, release-ek) kontrolláltan kerüljenek megtervezésre, tesztelésre majd az éles rendszeren történő bevezetésre annak érdekében, hogy a rendszer a lehető legnagyobb mértékben megfeleljen a mindenkori felhasználói igényeknek, az átállás a lehető legkisebb zökkenőkkel történjen. Követelmények Az üzleti felhőszolgáltató központot működtető szervezetnek kiadáskezelési folyamatot kell kidolgoznia és működtetnie, minimum az alábbi tevékenységek szabályozásával: –
Kiadás tervezés: A kiadás tartalmának egyeztetése az érintett szervezeti egységekkel (mind az IaaS, PaaS vagy SaaS szolgáltatói, mind szükség szerint a szolgáltatást igénybe vevő KKV oldalon), a kiadás funkcionális, időbeli és területi terjedelmének meghatározása, a kiadáskészítés és bevezetés ütemtervének és erőforrástervének elkészítése, szerepkörök és felelősségek meghatározása, visszaállítási tervek készítése.
–
Kiadás specifikáció és megvalósítás: A kiadás tervezés során meghatározott feltételeknek és ütemezésnek megfelelően a kiadás specifikációjának elkészítése, egyeztetése az érintett szervezeti egységekkel (mind az üzleti felhőszolgáltatói, mind szükség szerint a szolgáltatást igénybe vevő KKV oldalon), a specifikációk jóváhagyása és az új kiadás, valamint kapcsolódó dokumentációk elkészítése.
–
Kiadás tesztelése, átvétele: Az új kiadás tesztelése, a specifikációkban rögzített feltételeknek való megfelelésének ellenőrzése, valamint sikeres teszteléseket követően a kiadás átvétele.
–
Bevezetés előkészítés, képzés: Az új kiadás bevezetésének és élesbe állításának megtervezése, amennyiben szükséges a felhasználók és támogató személyzet felkészítése az új kiadás használatára, illetve szolgáltatására, üzemeltetésére.
–
Bevezetés, telepítés: Az új kiadás bevezetése, élesbe állítása, a kapcsolódó dokumentációk átadása, a kiadáshoz kapcsolódó változások átvezetése a konfigurációs adatbázisban, az új kiadás felvétele a hiteles szoftver tárba. i) Incidenskezelés
Az incidenskezelés szabályozásának célja, hogy minden, az IaaS, PaaS vagy SaaS szolgáltatással kapcsolatos probléma dokumentáltan, ellenőrzött módon kerüljön bejelentésre, rögzítésre, kivizsgálásra és megoldásra, ezáltal ne fordulhasson elő, hogy problémák megoldása elsikkad, valamint az incidens kezeléssel kapcsolatos SLA paraméterek dokumentáltak, mérhetők legyenek. Követelmények Az üzleti felhőszolgáltató központot működtető szervezetnek incidens kezelési folyamatot kell kidolgoznia és működtetnie a következő feltételekkel: –
Incidenskezelési feladatok: Az ügyfél KKV-k, vagy az SaaS szolgáltató központ működésében közreműködő egyéb szervezetek által észlelt incidensekkel kapcsolatban az SaaS szolgáltató központot működtető szervezetnek legalább az alábbi incidenskezelési tevékenység elvégzését kell szabályoznia, illetve ezek ellátására kell felkészülnie:
az incidensek fogadása, rögzítése;
az incidensek priorizálása, hatás szerinti kategorizálása;
az incidensek kivizsgálása, megoldása, a megoldás ellenőrzése;
szükség szerint hierarchikus vagy funkcionális eszkaláció;
az ügyfél KKV-k rendszeres tájékoztatása az incidensek megoldásának előrehaladásáról;
–
Incidensek dokumentálása: Az üzleti felhőszolgáltató központot működtető szervezetnek biztosítani kell a fenti incidenskezelési feladatok megfelelő szintű dokumentálását, minimum az egyes feladatok megkezdésének, befejezésének időpontjával, az incidens súlyosságával, megoldásának eredményével, hogy az incidens kezeléssel kapcsolatos SLA paraméterek mérhetőek legyenek.
–
Incidensek bejelentésére az üzleti IaaS, PaaS vagy SaaS szolgáltató központot működtető szervezetnek az alábbi lehetőségeket kell biztosítania az ügyfél KKV-k számára:
Kötelezően: incidens bejelentése telefonon;
Amennyiben az üzleti felhőszolgáltató központ rendelkezik szolgáltatásmenedzsment rendszerrel, az incidens közvetlen rögzítése az incidenskezelési eljárást támogató szolgáltatásmenedzsment rendszerben;
Amennyiben az üzleti felhőszolgáltató központ nem rendelkezik szolgáltatásmenedzsment rendszerrel, az incidens bejelentése e-mailben;
–
Bejelentéshez szükséges információk: Az üzleti felhőszolgáltató központot működtető szervezetnek meg kell határoznia, hogy a különböző típusú incidensek feladásához az ügyfél KKVk-nak minimum milyen (általános és technikai) információkat kell megadniuk az incidens bejelentése során.
–
Hierarchikus eszkaláció: Az incidensek elhárítása során biztosítani kell, hogy a felmerülő problémák továbbításra kerüljenek nagyobb (megfelelő) hatókörrel, vagy nagyobb, illetve speciális szakértelemmel, tapasztalattal rendelkező személyek felé, ezáltal a probléma megoldásra kerüljön.
–
Változáskezelési folyamat kezdeményezése: Az incidensek megoldása során azonosított végrehajtandó változások (pl. eszközcsere) esetén a változáskezelési folyamatot kell kezdeményezni.
–
Problémakezelési folyamat kezdeményezése: Amennyiben az incidensek kiváltó oka nem ismert, és ez az incidens ismételt bekövetkezését is okozhatja, a problémakezelési folyamatot kell kezdeményezni. j) Problémakezelés
A problémakezelés célja, hogy az incidens kezelés kapcsán előforduló, rutinszerűen nem megoldható problémák kezelésre kerüljenek (pl. az alkalmazás kód / logika módosítását igénylő hibaelhárítás). Követelmények Az üzleti felhőszolgáltató központot működtető szervezetnek probléma kezelési folyamatot kell megterveznie és működtetnie a következő feltételekkel: –
Problémakezelési feladatok: Az üzleti IaaS, PaaS vagy SaaS szolgáltató központot működtető szervezetnek legalább az alábbi problémakezelési tevékenységeket kell szabályoznia, illetve ezek ellátására kell felkészülnie a probléma típusától függően:
Problémák rögzítése, priorizálása;
Problémák kategorizálása hatás és valószínűség szerint;
Problémák kivizsgálása;
Problémák kiváltó okának azonosítása, kerülő megoldások definiálása;
Változáskezelési eljárás kezdeményezése;
A problémamegoldás módszerének kiválasztása és végrehajtása, valamint a végleges megoldás dokumentálása;
Problémák sikeres elhárításának ellenőrzése;
Bejelentők és érintettek rendszeres tájékoztatása;
–
Tudásbázis létrehozása, működtetése: A szolgáltató központot működtető szervezetnek a problémakezelés keretében kivizsgált hibák és azonosított végleges, illetve kerülő megoldásuk adatait tudásbázisban kell nyilvántartaniuk, és a tudásbázist az incidenskezelési folyamatot támogató munkatársak számára elérhetővé kell tenniük. k) Alkalmazás és infrastruktúra üzemeltetés
A üzleti felhőszolgáltató központ alkalmazás üzemeltetési tevékenységének fő kritériuma, hogy a szolgáltatott alkalmazások szolgáltatási szerződésekben rögzített SLA paraméterei biztosíthatók legyenek. Követelmények Az SLA paraméterek biztosíthatósága érdekében az üzleti felhőszolgáltató központot működtető szervezetnek minimálisan az alábbi tevékenységeket kell szabályozni és végrehajtani: –
Az üzleti IaaS, PaaS vagy SaaS szolgáltató központban kezelt adatokról backup verzió készítése és szükség esetén ezen adatok helyreállítása, valamint a backup készítés és helyreállítás szabályozása, az SLA szerződésekben vállalt paraméterek alapján.
–
A szerverek menedzselésével és támogatásával összefüggő feladatok ellátása, valamint ezek szabályozása, melynek keretében az alábbi tevékenységeket kell elvégeznie:
A szerverkörnyezetnek megfelelő operációs rendszer és az ehhez kapcsolódó utility szoftver támogatása és karbantartása, patchek menedzselése.
Licenszek menedzselése.
Szerverekkel és operációs rendszerekkel diagnosztizálása, helyreállítása.
Szerverek kiválasztásához, méretezéséhez ajánlások készítése az üzleti igényeknek való megfelelés érdekében.
A szerver környezettel kapcsolatos hozzáférési kontrollok és engedélyek kialakítása, karbantartása, hozzáférések menedzselése, valamint a biztonsági patchek kezelése.
A szerverek közötti munkaterhelések kiegyensúlyozása, feladatok megosztására vonatkozó előírások meghatározása.
Szerverek folyamatos karbantartása, cseréje.
kapcsolatos
incidensek
támogatása,
–
Az üzleti felhőszolgáltató központban működő belső hálózatok menedzselése, valamint a külső hálózati szolgáltatóval való kapcsolattartás.
–
Az adattárolással kapcsolatos tevékenységek elvégzése és szabályozása, mely keretében az alábbi feladatokat el kell látni:
Tároló eszközök menedzselése, méretezése, beszerzése, konfigurációja, működtetése;
Szükség esetén az archivált adatok visszanyerése;
–
Az adatbázis adminisztrációs feladatok ellátása, melynek keretében biztosítania kell az adatbázisok optimális teljesítményét, biztonságát, valamint funkcionalitását.
–
A jogosultság menedzsment (címtár szolgáltatások), szabályozása, melynek keretében meg kell akadályoznia a jogosulatlan hozzáférést a közös erőforrásokhoz, a jogosult felhasználók hozzáférését pedig biztosítania kell.
–
A szolgáltatott speciális, cél alkalmazások menedzsment feladatainak szabályozása az alkalmazás fejlesztőjének, gyártójának előírásait figyelembe véve, ezen feladatok ellátása.
3. Szolgáltatás értékesítés és bevezetés A szolgáltatás nyújtása kizárólag írásban rögzített szolgáltatási szerződés megkötése mellett történhet. A szolgáltatási szerződésben a nyújtott szolgáltatás tekintetében minimálisan a következőkben meg kell állapodnia az igénybevevővel:
A szolgáltatás minőségi paramétereiről (rendelkezésre állás, releváns válaszidők, egyéb fontos minőségi elemek);
A szolgáltatás nyújtásához szükséges technikai feltételekről;
A szolgáltatási díjról;
Az egyes kötbér elemek (pl. SLA nem teljesítése esetén) mértékéről, alkalmazásának feltételeiről;
A szolgáltatás megkezdésének időpontjáról;
A szolgáltatás lemondásainak feltételeiről;
Többlet szolgáltatás igénybevételének módjáról;
Az adatvédelmi vállalásokról / feltételekről;
A karbantartási feltételekről;
Támogatási szolgáltatásokról;
Szoftver frissítések rendjéről, feltételeiről;
A szolgáltatás igénybevételéhez kötődő oktatási tevékenységekről;
4. A szolgáltatás személyi, szervezeti háttere Az üzleti felhőszolgáltatónak megfelelő létszámú és képzettségű humán erőforrással kell rendelkeznie, hogy a szolgáltatói szerződésekben vállalt kötelezettségeit teljesíteni tudja. Szükség szerint, amennyiben az SLA szerződésben rögzített üzemidő megköveteli, több műszakos, ill. folyamatos munkarendben kell biztosítania az üzemeltetést, hibaelhárítást és ügyfélszolgálatot az alábbiak szerint: –
Minimálisan az SLA megállapodásokban rögzített üzemidő alatt – szükség szerint folyamatos vagy többműszakos munkarendben – biztosítani kell humán erőforrásokat:
Telefonos helpdesk szolgáltatás biztosításához (első szintű probléma kezelés);
–
Operátori szolgáltatás biztosításához;
Munkaidőben folyamatosan, ill. munkaidőn kívül, az SLA szerződés szerinti hibaelhárítási időhöz illeszkedően kell humán erőforrást biztosítani:
Alkalmazás gazda szerepkörben, az alkalmazás szintű hibaelhárítás, jogosultság és változáskezelés biztosításához;
Rendszeradminisztrátor szerepkörben, a rendszerszintű hibaelhárítás, jogosultság és változáskezelés biztosításához;
A fent meghatározott munkaerő állomány lehet saját alkalmazott, ill. szerződéses alvállalkozó. 5. Direkt és közvetített szolgáltatás A GINOP 3.2.4 kedvezményezett az üzleti IaaS, PaaS vagy SaaS szolgáltatást nyújthatja közvetlenül a végfelhasználó számára, vagy szolgáltathat viszonteladók mögött is (közvetített szolgáltatás). Ez esetben követelmény, hogy a viszonteladóval a konstrukcióban előírtaknak megfelelő szerződéses (ÁSZF) viszonnyal rendelkezzen a kedvezményezett, a valós végfelhasználók kilétéről, a szolgáltatás igénybevételének helyéről, az igénybevevő jogi személyek számáról és az egyes igénybevevő KKV-k fele nyújtott szolgáltatásra jutó, közvetített szolgáltatási díjról megbízható, auditálható adatokkal rendelkezzen, ezekről a Felhívásban és mellékletében előírt adatközlést biztosítson. 6. A támogatást igénylő kedvezményezett (IaaS, PaaS vagy SaaS szolgáltató) és a szolgáltatást igénybevevő KKV-k szerződéses kapcsolatának követelményei a) Általános szerződési feltételek (ÁSZF) Az üzleti felhőszolgáltatónak ki kell dolgozni azokat az általános szerződéses feltételeket (a későbbiekben ÁSZF), melyek meghatározzák a KKV-k fele nyújtott szolgáltatás alapvető szolgáltatási feltételeit. Az ÁSZF-et nyilvános ajánlattételnek kell tekinteni. Ettől az üzleti felhőszolgáltató csak az egyes felhasználókkal kötött egyedi szerződés alapján, abban az ÁSZF-től való eltéréseket tételesen felsorolva térhet el. A szolgáltatás katalógus, az a szolgáltatási árlista és a kedvezménystruktúra tekintetében az egyedi szerződésekben az üzleti felhőszolgáltató nem térhet el az ÁSZF-ben rögzítettektől. Amennyiben a szolgáltató az állami (uniós) támogatással létrehozott infrastruktúrára alapozva a piacon új szolgáltatást kíván nyújtani, árat vagy kedvezmény struktúrát változtatni, ezt az ÁSZF ill. mellékleteinek módosításával teheti meg. Az ÁSZF tervezett főbb pontjairól a támogatást igénylő kedvezményezettnek a támogatási kérelem Megvalósíthatósági Tanulmányában leírást kell adnia, a végső ÁSZF kidolgozása a pályázat keretében elszámolható tevékenység. Az ÁSZF részét kell – minimum – képezze majd a következők szabályozása: –
Az üzleti felhőszolgáltató által nyújtott szolgáltatások pontos meghatározása (szolgáltatás katalógus, mely mind az SLA megállapodás, mind a szolgáltatási árlista alapját is képezi);
–
Szolgáltatások bevezetésének feltételei, a felhasználó oldali követelmények;
–
Az egyes szolgáltatások bevezetésének folyamata, a bevezetés árazásának struktúrája;
–
Szolgáltatások árazása, árazás alapját képező tényezők (felhasználószám, tranzakciószám, stb.), azok mérési módszere, felülvizsgálatának módja, gyakorisága (a konkrét, számszerű szolgáltatási díjakat a szolgáltatási árlista tartalmazza);
–
Szolgáltatás változtatások árazásának struktúrája:
alapdíj részét képező változtatások, illetve azok száma;
alapdíj részét nem képező változtatási igények esetében a standard szolgáltatás igények végrehajtásának árazása;
nem standard változások (időalapú) elszámolásának szabályai;
–
Fizetési feltételek meghatározása, fizetési, számlázási folyamat, fizetési ütemezés bemutatása;
–
Adatvédelmi, adatkezelési, IT biztonsági szabályok bemutatása;
–
Szoftver licenszek jogtiszta használatának garantálása;
–
A szerződés teljesítésének biztosítására vonatkozó rendelkezések, kötbér feltételek;
–
Szerződésmódosítás, a szerződés megszűntetésének és felmondásának szabályozása;
–
Szolgáltatásnyújtásba alvállalkozók bevonásának lehetőségei, feltételei;
–
Vitás kérdések rendezése;
–
A szerződés megszűnésekor az SaaS szolgáltatónál tárolt ügyféladatok átadásának módja, feltételei az ügyfél KKV számára;
–
Általános szerződéses feltételek, irányadó jogszabályok;
–
Az ÁSZF módosításának szabályozása;
Az ÁSZF-ben kötelezően vállalandó garanciák –
Szoftver licenszek jogtiszta használatának garantálása SaaS és PaaS szolgáltatás esetén az azt biztosítónak garantálnia kell, hogy a felhasználó KKV számára jogtiszta szoftver licenszeket biztosít, alkalmazkodva az adott szoftver / alkalmazás gyártója / fejlesztője (a továbbiakban szoftver tulajdonos) által biztosított licenszelési lehetőségekhez, így:
Az üzleti felhőszolgáltatónak megfelelő jogosultsággal kell rendelkeznie a licenszek továbbadására / használatba adására a szolgáltatást igénybevevő felhasználók fele;
A licensz jogok biztosítása történhet:
–
o
Egyfelől olyan szoftver elemek alkalmazásával, amelyek eleve az SaaS szolgáltatáshoz fejlesztett, un. multi-tenant alkalmazások. Ezeknél a szoftvereknél a licenszelés eleve alkalmazkodik az SaaS típusú felhasználáshoz;
o
Másfelől hagyományos licenszelésű szoftver elemek alkalmazásával, ahol a SaaS szolgáltató olyan licensz használati jogokat birtokol, amelyek lehetővé teszik a harmadik fél felé nyújtott SaaS szolgáltatások nyújtását;
o
A fenti két licence típus együttes (szoftver elemenként más-más típus) alkalmazásával;
A szolgáltatást igénybe vevő KKV-k semmilyen felelősséggel nem tartozhatnak azokért a károkért, amelyek a szolgáltató fenti kötelezettségének megsértéséből erednek.
Az SaaS szolgáltatást igénybe vevő KKV-k felelősséggel tartoznak azért, hogy a biztosított licenceket az SaaS szolgáltatóval megkötött szerződésnek megfelelően használják fel.
Adatok és üzleti titkok védelme Az üzleti felhőszolgáltatók megfelelő titoktartási kötelezettséget kell vállaljanak a szolgáltatást igénybe vevő KKV-k fele, minimum a következő kötelezettségek vállalásával:
A szolgáltatást igénybevevő adatait 3. fél számára nem szolgáltatja ki, a szolgáltatást igénybevevő ennek megsértéséből eredő, minden – bizonyítható – kárát köteles megtéríteni. Az ÁSZF-ben a kártérítési kötelezettséget kizárólag a nem szándékosan okozott kár tekintetében maximálhatja az SaaS szolgáltató. A kártérítési összeg maximuma nem lehet kisebb az éves szolgáltatási díjnál. Nem vonatkozik ez a tiltás azokra az esetekre, amelyekben a üzleti felhőszolgáltató az érvényes jogszabályok szerint kötelezett az adatszolgáltatásra (pl. jogszerű hatósági megkeresések tejesítése).
Az üzleti felhőszolgáltatónak az ÁSZF-ben egyértelmű kötelezettséget kell vállalnia a szolgáltatást igénybe vevő ügyfeleitől tudomására jutott üzleti titkok védelmére. Beleértve, de nem kizárólag vállalnia kell, hogy: o
Egy szolgáltatást igénybevevő KKV számára exkluzívan kifejlesztett speciális modulokat, üzleti logikát csak az adott felhasználó engedélyével használja fel más felhasználóknál.
o
A szolgáltatást igénybe vevő KKVk-nál folytatott üzleti gyakorlatot, stratégiát bizalmasan kezeli;
b) Szolgáltatási szint (SLA) megállapodás A támogatást igénylő üzleti IaaS, PaaS vagy SaaS szolgáltatónak az alábbiakban meghatározott követelmények alapján kell kidolgoznia az SLA megállapodás tervezetet, amelynek főbb pontjairól a támogatási kérelem Megvalósíthatósági Tanulmányában és majd az ÁSZF mellékleteként leírást kell adnia. Ügyfél KKVk-al kötött szolgáltatási szint megállapodás tartalmi elemei –
Szolgáltatás nyújtásának területi és időbeli korlátai;
–
Szolgáltatási szint paraméterek definíciója, elvárt értéke, azok mérési és számítási módja;
–
Szolgáltatási idősáv szabályozása, választható szolgáltatási idősávok;
–
A szolgáltatás igénybevételéhez szükséges, ügyfél KKV oldali minimum hardver és infrastruktúra követelmények;
–
Esetlegesen az ügyfél KKV telephelyén elhelyezett hardver eszközök adminisztrációs, illetve karbantartási feladatai és az ezek ellátásáért felelős szervezet, valamint hozzáférés biztosítása ezen eszközökhöz;
–
Szolgáltatás keretében nyújtott első és második szintű felhasználó támogatás, annak igénybevételének módja;
–
Szolgáltató által az ügyfél számára biztosított testre szabott, illetve standard dokumentációk és azok karbantartási módja, gyakorisága;
–
Szolgáltatási szint jelentések tartalma, elkészítésük gyakorisága, egyeztetési és jóváhagyási folyamatuk;
–
Szolgáltatási szint sértések mérésének módszere, szolgáltatási szint sértések elszámolási időszaka, elszámolások éves gyakorisága, szolgáltatási díj sértések elszámolási módszerének meghatározása, felelősségkorlátozások;
–
Szolgáltatási szerződés felülvizsgálatának szabályai;
Ügyfél szervezetekkel kötött szolgáltatási szint megállapodás szerződéses feltételeivel szemben támasztott követelmények A GINOP 3.2.4 támogatási kérelem keretében felállított üzleti felhőközpont által az ügyfél szervezetekkel kötött szolgáltatási szint megállapodásoknak minimálisan az alábbi követelményeknek kell megfelelniük, az alábbi követelmények figyelembevételével kell elkészülniük: –
A projekt keretében felállított üzleti felhőszolgáltatóközpontoknak az egyes, szolgáltatáskatalógus részeként definiált alkalmazás és interfész szolgáltatások rendelkezésre állását, azaz az alkalmazás és interfész szolgáltatások felhasználók általi elérhetőségét és használhatóságát minimum az alábbi időintervallumban (továbbiakban Garantált Szolgáltatási Idősávban) kell biztosítaniuk, kivéve amennyiben az ügyfelekkel az üzleti felhőközpont ettől eltérő Garantált Szolgáltatási Idősávokban állapodik meg: Szolgáltatás típus
Garantált Szolgáltatási Idősáv
Portál alkalmazás szolgáltatás; a KKV ügyfeleinek nyújtott elektronikus ügyintézést biztosító alkalmazások; folyamatos termelést támogató alkalmazások;
Minden nap 0 órától 24 óráig
Üzleti infrastruktúra és platformszolgáltatások, alkalmazások;
Munkaidőben, vagy ha ez nem meghatározott munkanapokon 8 óra 00 perctől 18
óra 00 percig vagy ha az SLA megállapodásban rögzítve van az ügyfél igénye szerinti időben –
A Garantált Szolgáltatási Idősávban a GINOP 3.2.4 projekt keretében felállított üzleti felhőközpontoknak a szolgáltatásokat a Szolgáltatási Szint Megállapodásban rögzített minőségi paramétereknek megfelelően kell nyújtaniuk.
–
A Garantált Szolgáltatási Idősávon belül a támogatási kérelem keretében felállított üzleti felhőközpont definiálhat az ügyfelekkel kötött szolgáltatási szint megállapodásokban tervezett rendszeres leállásokat, azaz olyan időszakokat, amelyben az üzleti felhőközpont karbantartás céljából a szolgáltatást az Ügyféllel egyeztetett terv alapján rendszeresen felfüggeszti. A tervezett rendszeres leállás időszaka miatti szolgáltatás szünetelés a szolgáltatás rendelkezésre állását nem befolyásolja, a tervezett rendszeres leállást a szolgáltatás kiesési időbe nem kell beleszámolni.
–
Havi, Negyedéves és Éves Szolgáltatás Rendelkezésre Állás: Arányszám (százalékos értékben kifejezve), amely megmutatja, hogy egy naptári hónapon, negyedéven, illetve éven belül a szolgáltatás tényleges elérhetősége az ügyfelek számára hogyan viszonyul a névleges (maximálisan lehetséges) elérhetőség értékéhez. Mérési módszere: ((Időszakra vonatkozó napi garantált szolgáltatási idősávok összege) – (Időszakra vonatkozó tervezett rendszeres leállások időtartamának összege) – Σ(Hibaelhárítási idő)) / ((Időszakra vonatkozó napi garantált szolgáltatási idősávok összege) – (Időszakra vonatkozó tervezett rendszeres leállások időtartamának összege)) A mérés helye: A szolgáltató központ külső hálózati kapcsolatánál, vagy egy olyan alkalmas mérési ponton, amely jellemzően jól méri a szolgáltatás központ oldali elérhetőségét.
–
Hibaelhárítási idő: Az egyes hibák bejelentése, azaz a hibajegyek kiállítása és lezárása között a Szolgáltató felelősségében eltelt idő Garantált Szolgáltatási Idősávra eső része, kritikus rendszerhibák esetén (A hiba miatt a felhasználók számára nem lehetséges az alkalmazás szolgáltatás funkcióinak üzemszerű használata). Mérési módszere: (Hibajegy lezárási időpontja)-(Hibajegy kiállításának időpontja) –(Időszakok, amelyek nem képezik részét a szolgáltatási szint paraméter mérésének)
–
A GINOP 3.2.4 projekt keretében felállított üzleti felhőközpontoknak a minimálisan meghatározott, mérendő szolgáltatási szint paraméterek esetében legalább az alábbi szolgáltatási szintek teljesítését kell vállalniuk (ebbe nem számít bele a szolgáltató központon kívül eső okokból kieső időszak, pl.: a hálózatszolgáltatás hibái miatt keletkező kiesések) Szolgáltatási szint paraméter Éves Szolgáltatás Rendelkezésre Állás
Paraméter minimális értéke 99,5%
c) Szolgáltatási árlista, árképzés szabályozása Az üzleti felhőszolgáltató árképzésének transzparensnek kell lenni a felhasználók fele. Az árképzés módját, a hatályos listaárakat az ÁSZF mellékletét képező szolgáltatási árlistának tartalmaznia kell. A szolgáltatási árlista alapja az ÁSZF-ben meghatározott szolgáltatás katalógus. A szolgáltatási árlista összeállításánál be kell tartani a jelen fejezetben bemutatott követelményeket. Az üzleti felhőszolgáltatónak a szolgáltatási árlistában előre meg kell határozni: –
Az egyes szolgáltatások bevezetésének költségét, amennyiben az nem állapítható meg fix összegben, az árazás struktúráját és az alkalmazható egységárakat;
–
Az egyes szolgáltatások igénybevételének havi (éves) díját;
–
Az előre nem beárazott tevékenységeknél alkalmazható óradíjakat;
–
A szolgáltató által biztosított kedvezményeket, azok igénybevételének feltételeit;
–
A szolgáltatási díj emelésének feltételeit, maximális értékét;
–
A jelen fejezetben részletezett, egyéb díjtételeket;
Kedvezmények adásának lehetősége (opcionális) –
–
Az üzleti felhőszolgáltatók a KKV-k fele csak átlátható módon kínálhatnak kedvezményeket. A kedvezmények feltételeit a szolgáltatási árlistában be kell mutatni. Kedvezmény adható például (de nem kizárólag):
A felhasználó szám alapján;
Az éves szerződéses összeg alapján;
Az igénybevett szolgáltatások mennyisége alapján (pl. a 3. alkalmazás díjára 30% kedvezmény a listaárból);
Az üzleti felhőszolgáltató a kedvezmény struktúrájában maximum 15%, nem normatív alapú, üzletpolitikai kedvezményt alkalmazhat;
A szolgáltatási díj emelése A szolgáltatási díjat az ÁSZF-ben és az egyedi szolgáltatási szerződésben rögzített feltételek mellett lehet módosítani. A szolgáltatás katalógus, a szolgáltatási árlista és a kedvezménystruktúra tekintetében az egyedi szerződésekben az IaaS, PaaS vagy SaaS szolgáltató nem térhet el az ÁSZF-ben rögzítettektől. Amennyiben a szolgáltató az állami (uniós) támogatással létrehozott infrastruktúrára alapozva a piacon új szolgáltatást kíván nyújtani, árat vagy kedvezmény struktúrát változtatni, ezt az ÁSZF ill. mellékleteinek módosításával teheti meg.
A szolgáltatási szerződés ügyfél oldali felmondásának költségei A GINOP 3.2.4 projekt keretében felállított üzleti felhőközpontok nem kérhetnek semmilyen ellenszolgáltatási díjat az ügyfeleiktől, amennyiben azok normál felmondás keretében lemondják valamely szolgáltatás igénybevételét, kivéve, ha az ügyfél KKV-k a szolgáltatás igénybevételét hűségszerződés aláírásával kezdték meg. Ebben az esetben a hűségszerződésben rögzített feltételekkel mondhatják fel a KKV-k a szerződést, ill. mondhatnak le egyes szolgáltatásokat. A bevezetési költségek halasztott fizetése (opcionális) A GINOP 3.2.4 projekt keretében felállított üzleti felhőközpontoknak lehetővé tehetik az ügyfeleik számára, hogy a szolgáltatás bevezetési díjak megfizetését ne egy összegben, hanem részletfizetés keretében teljesítsék, azonban a bevezetési díjakat a szolgáltatási díjaktól elkülönítetten kell kezelni, a kötbér csak a tényleges szolgáltatási díjakra vonatkozhat. A szolgáltatás bevezetési díjak teljes kiegyenlítéséig az IaaS, PaaS vagy SaaS szolgáltató hűség szerződés aláírását kérheti a szolgáltatást igénybe vevő KKV-tól. Hűségszerződés (opcionális) –
Az üzleti felhőszolgáltató indokolt esetben hűségszerződés aláírását kérheti a szolgáltatást igénybevevő KKV-tól. Indokolt esetnek tekinthető:
Amennyiben a bevezetési költségekre az üzleti felhőszolgáltató halasztott fizetési lehetőséget biztosít. Ez esetben a hűségszerződés maximális hossza a bevezetési költségek megfizetésének időtartama lehet;
Hűségszerződéshez kötött díjkedvezmények biztosítása esetén. A hűségszerződés hossza ez esetben a nyújtott kedvezmény mértékével arányos kell legyen, de maximális mértéke 5 év.
Külön felszámolható / fel nem számolható költségek –
A támogatott GINOP 3.2.4 projekt keretében felállított infrastruktúra-, platform- vagy alkalmazásszolgáltató központok által nyújtott szolgáltatások éves szolgáltatási díjának tartalmaznia kell az átlagos, éves normál működésből fakadó változások végrehajtásának költségét is. Az ügyfél KKV-k csak akkor kötelezhetőek további szolgáltatási díjak megfizetésére, ha a szolgáltatás igényeik meghaladják a szolgáltatási szerződésben meghatározott átlagos, éves normál működésből fakadó változások számát (a normál működésből fakadó, standard változásokat az ügyfél KKV-kkal éves szinten kell elszámolni).
–
Nem számolhat fel az üzleti felhőszolgáltató semmilyen költséget a KKV-k részére sem a szolgáltatói rendszerek hibáinak kijavításáért, sem a hiba okának megállapításáért.
A szolgáltató által fizetendő kötbérek A szolgáltató a szolgáltatás hibás teljesítése esetén a KKV-k számára kötbért köteles fizetni. A kötbérek struktúráját és összegét a szolgáltatási árlistában meg kell határozni. Kötbér kötelezettséget kell vállalni minimum a vállalt rendelkezésre állástól való elmaradás esetén.
d) Egyedi szolgáltatói szerződés Az üzleti felhőszolgáltató és a szolgáltatást igénybe vevő KKV egyedi szolgáltatási szerződést kell kössön. Az egyedi szolgáltatói szerződés minimális tartalma –
A szerződő felek pontos meghatározása;
–
A szolgáltatás katalógus alapján a szolgáltatást igénybevevő KKV által bevezetett alkalmazások meghatározása;
–
Az egyes szolgáltatások bevezetésének pontos ütemezése (projekt terv), a bevezetés költsége (a szolgáltatási árlista alapján);
–
Az egyes szolgáltatások igénybevételének mennyiségi paraméterei (az ÁSZF-ben meghatározott modell alapján);
–
Az igénybevett szolgáltatások árazása (a szolgáltatási árlista alapján);
–
Fizetési ütemezés, mind a bevezetési költségek (szükség szerint halasztott) fizetése, mind a havi (éves) szolgáltatási díjak tekintetében;
–
Minden, az ÁSZF-ben foglaltaktól való eltérés pontos meghatározása;
Az egyedi szolgáltatói szerződéssel szemben támasztott követelmények –
Az üzleti felhőszolgáltató az egyedi szerződésben sem térhet el azoktól a kötelező előírásoktól, melyeket a GINOP 3.2.4 kiírás és mellékletei határoztak meg.
7. A felhőszolgáltatások bizalmassági szolgáltatási követelményei A létrehozandó felhőközpontnak alkalmasnak kell lennie saját vállalkozási ügyfelei irányába bizalmi szolgáltatások nyújtására, ott ahol ez értelmezhető és releváns, elősegítendő a papír alapú dokumentáció csökkenését, az üzleti folyamatok felgyorsítását és egyszerűsítését. Ez a szolgáltatás kiterjedhet a központ és ügyfelei közti üzleti folyamatok kezelésére, de önálló szolgáltatásként is nyújtható. Az alábbi (a) és b) pontokhoz kapcsolódó követelmények betartása elvárt: a) Elektronikus dokumentumok, tranzakciók, üzenetek, levelek és egyéb adatok 2.1. elektronikus hitelesítése és letagadhatatlanságnak biztosítása fokozott biztonságú tanúsítványon alapuló vagy minősített elektronikus aláírással / bélyegzővel és minősített időbélyegzővel, 2.2. sértetlenségnek biztosítása fokozott biztonságú tanúsítványon alapuló elektronikus aláírással / bélyegzővel vagy minősített időbélyegzővel, 2.3. keletkezési vagy végrehajtási idejének hiteles igazolása minősített időbélyegzővel,
2.4. aláírásának és időbélyegzésének ellenőrzése, 2.5. hosszú távú érvényességének megőrzése, 2.6. bizalmasságának biztosítása titkosítással. b) A felhőszolgáltatásnak biztonságos, SSL-tanúsítvány-alapú adatcsatornát kell használnia az felhőszolgáltatás felhasználói felé. A fenti követelményeket a felhőszolgáltató a következő módokon elégítheti ki: ● az 2.1., 2.2. és 2.3. követelményt ○ a felhőszolgáltatást nyújtó rendszer belső moduljával, vagy ○ külső aláírás-szolgáltató felhőszolgáltatásával és/vagy időpecsételési szolgáltatásával; ● az 2.4. követelményt ○ a felhőszolgáltatást nyújtó rendszer belső moduljával, vagy ○ külső aláírás-ellenőrzést szolgáltató felhőszolgáltatásával; ● az 2.5. követelményt ○ a felhőszolgáltatást nyújtó rendszer belső moduljával, amely archiválja az adatokat, és ha szükséges, felülpecsételi őket, vagy ○ külső archiválásszolgáltató felhőszolgáltatásával; ● a 2.6. követelményt ○ a felhőszolgáltatás nyújtó rendszer belső titkosító moduljával, vagy ○ külső adattitkosítási lehetőséget nyújtó felhőszolgáltatással; ● a b) követelményt SSL-tanúsítvány igénylésével, és rendszerbe integrálásával. c) Fentiekhez kapcsolódva ajánlott a támogatást igénylő számára bizalmi szolgáltatóval integrált tanúsítványigénylési folyamatok és tanúsítvány-életciklus–menedzsment implementálása.
Az üzleti felhőszolgáltatásokat érintő további informatikai-műszaki-szakmai fogalmak, kérdések, ajánlások kapcsán javasoljuk az alábbi Iparági egységes fogalomtár használatát és alkalmazását: http://ivsz.hu/wp-content/uploads/2015/09/IVSZ-adatkozpont-fogalomtar.pdf
